Statlege verksemder som vurderer å etablere ein internrevisjonsfunksjon

Størrelse: px
Begynne med side:

Download "Statlege verksemder som vurderer å etablere ein internrevisjonsfunksjon"

Transkript

1 Rettleiar Veileder Statlege verksemder som vurderer å etablere ein internrevisjonsfunksjon

2 DFØ 12/2011, 1. opplag

3 Forord Å ta stilling til om verksemda skal etablere ein internrevisjonsfunksjon, er ei viktig avgjerd. Dersom det er lagt godt til rette for at internrevisjonen kan fungere etter formålet, kan han tilføre verksemda stor nytteverdi. Internrevisjonen er ein uavhengig funksjon som jobbar etter internasjonale faglege standardar, og som har heile organisasjonen som arbeidsfelt. Han evaluerer korleis internkontrollen i verksemda fungerer, og tilrår forbetringar. Men ein slik funksjon har òg ein kostnad, som ofte berre verksemder av ein viss storleik kan forsvare. Denne rettleiaren drøftar enkelte forhold som kan vere viktige for verksemder som vurderer å etablere internrevisjon. Når verksemda vurderer desse forholda, kan det gi eit grunnlag for å ta stilling til spørsmålet om å etablere ein internrevisjon. Det er verksemda sine eigne nytte- og kostnadsvurderingar som bør leggjast til grunn. Direktoratet for økonomistyring (DFØ) har ikkje gjort nokon vurderingar av om fleire verksemder enn i dag bør etablere internrevisjon. Rettleiaren kan vere til nytte for leiarar i statlege verksemder, styre, tilsette i departement som jobbar med etatsstyring, og for eventuelle nytilsette leiarar av internrevisjonen. Delar av rettleiaren kan vere av interesse også for verksemder som alt har etablert internrevisjon. Vi tek gjerne imot tilbakemeldingar på bruk av rettleiaren, ikkje minst frå verksemder som etter utgivinga bruker han aktivt når dei vurderer om det er formålstenleg å etablere ein internrevisjonsfunksjon. Vi er takknemlege for dei verdifulle innspela vi har fått undervegs frå representantar frå internrevisjonane i Forsvarsdepartementet, Skattedirektoratet og NAV, i tillegg til Norges Interne Revisorers Forening. Vi rettar òg ein takk til Deloitte AS, som har gitt viktige bidrag til rettleiaren, særleg til kapittel 5. November 2011 Marianne Andreassen, direktør DFØ 3

4 Innhald Forord Formålet med rettleiaren og bruken av han Kva er internrevisjon og internkontroll? Korleis skil internrevisjon seg frå andre kontrollfunksjonar i verksemda? Kva er spesielt med internrevisjon i staten? Forholdet mellom verksemda og det overordna departementet Korleis sikre internrevisjonen nok handlefridom innanfor rammene av etats- og verksemdsstyringa i staten? Forholdet mellom internrevisjonen og eit eventuelt styre Kva verksemder kan ha særleg nytte av internrevisjon? Sjekkliste Vurderingsfase...14 Trinn 1: Kartleggje og analysere utfordringar og behov knytte til oppfølging av internkontrollen...15 Trinn 2: Vurdere alternative internrevisjonsmodellar Etableringsfase Trinn 3: Avklare rolle, rammer og ressursar Trinn 4: Avklare formål og prinsipp for metodikk og prosess Trinn 5: Intern forankring og kommunikasjon Avslutning

5 1 Formålet med rettleiaren og bruken av han Formålet med denne rettleiaren er å støtte leiarar i statlege verksemder som skal ta stilling til om ein internrevisjonsfunksjon er eit eigna verkemiddel i leiinga sitt arbeid for å styrkje verksemdas samla styring og kontroll. For verksemder som bestemmer seg for å etablere ein internrevisjon, gir rettleiaren òg eit grunnlag for å velje ein passande modell for å organisere internrevisjonsfunksjonen og til å utvikle rutinar. Rettleiaren kan òg vere til nytte for styre, tilsette i departement som jobbar med etatsstyring, og for eventuelle nytilsette leiarar av internrevisjonen. Kapitla 1-4 og punkt 5.2 av rettleiaren kan vere av interesse også for verksemder som alt har etablert internrevisjon. I dei innleiande kapitla av rettleiaren gjer vi greie for kva internrevisjon er, og kva særtrekk ved statleg styring som gir spesielle utfordringar ved etablering og bruk av internrevisjon i statlege verksemder. Vidare gir vi ei kort framstilling av nokre kriterium som verksemdene bør ta med i vurderinga av om dei kan ha nytte av internrevisjon. Rettleiaren er bygd opp som ei blanding av tekst av meir rettleiande karakter og spørsmål med «sjekkpunkt». Verksemda sine svar på spørsmåla og eigne vurderingar i forhold til rettleiinga gir eit grunnlag for å ta stilling til om verksemda vil ha nytte av ein internrevisjon, og vil òg gi støtte til å gjennomføre sjølve prosessen med å etablere ein internrevisjon. 2 Kva er internrevisjon og internkontroll? Internrevisjon er definert slik: En uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sine målsetninger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for governance, risikostyring og kontroll. 1 Governance vil her seie kombinasjonen av prosessar og strukturar som er implementerte for å informere, leie, styre og overvake aktivitetane i organisasjonen som er retta mot måloppnåing. 2 1 Definisjonen er henta frå «Etiske regler og standarder for profesjonell utøvelse av internrevisjon» (januar 2011), i den vidare framstillinga omtala som «IIA-standardane», frå the Institute of Internal Auditors. Arbeidet til internrevisjonen er basert på desse standardane. Norges Interne Revisorers Foreining (NIRF) er eit såkalla National Institute av IIA og er ein interesseorganisasjon for alle som arbeider med eller har interesse for fagområda internrevisjon, verksemdsstyring, risikostyring og internkontroll. 2 Definisjonen er henta frå IIA-standardane. 5

6 Det er mange ulike oppfatningar av kva som ligg i omgrepet internkontroll. I tråd med definisjonen i COSO-rammeverket 3 legg vi i denne rettleiaren til grunn at internkontroll dreier seg om langt meir enn kontrollaktivitetar, og at tiltak for å forbetre prosessar for å støtte måloppnåing er omfatta av omgrepet. Det vil seie at internkontrollen mellom anna omfattar forhold som fordeling av roller og ansvar, kompetanse, etiske retningslinjer, kultur, haldningar, informasjon og kommunikasjon. COSO definerer internkontroll slik: Internkontroll er en kontinuerlig prosess iverksatt, gjennomført og overvåket av institusjonens styre, ledelse og ansatte. Den utformes for å gi en rimelig grad av sikkerhet for måloppnåelse innen tre kategorier: Målrettet, effektiv og hensiktsmessig drift Pålitelig intern og ekstern rapportering Overholdelse av lover og regler samt interne retningslinjer Det er verksemdsleiinga som er ansvarleg for å etablere god internkontroll, og som skal sjå til at den blir følgd opp i alle ledd i organisasjonen. Oppgåva til internrevisjonen er på sjølvstendig grunnlag å evaluere kor effektive og formålstenlege prosessar for risikostyring, kontroll og governance organisasjonen har. 4 Krav til internkontroll er heimla i Reglement for økonomistyring i staten («reglementet») 14. I 4 i reglementet er det vidare krav om at styring, oppfølging, kontroll og forvalting skal vere tilpassa risiko og vesentlegheit. Det er ikkje noko krav om internrevisjon i reglementet, men internrevisjon kan vere eit verktøy for verksemdsleiaren for å forsikre seg om at krava i reglementet blir oppfylte. Internrevisjonen skal vere ein sjølvstendig og uavhengig del av organisasjonen og skal til dømes ikkje få oppgåver som inneber ansvar for å etablere og gjennomføre internkontroll. Internrevisjonens systematiske gjennomgang og vurderingar av sentrale dokument, system og praksis bidreg til å gi eit heilskapleg bilete av korleis internkontrollen fungerer både innanfor dei ulike delane av verksemda og samla sett. Med god kompetanse, ei uavhengige rolle og fugleperspektiv på verksemda kan internrevisjonen også fungere som rådgivar og støtte for verksemdsleiaren og linjeorganisasjonen og slik sett vere ein viktig katalysator for forbetringar i verksemda. Internrevisjonskonseptet byggjer på at det er eit trekantforhold mellom ein prinsipal (styre- eller verksemdsleiaren), som er oppdragsgivar for internrevisjonen, ein agent (dei ulike delane av organisasjonen), som er revisjonsobjektet, og ein uavhengig internrevisjon, som på vegner av verksemdsleiaren skal sjå etter om internkontrollen til verksemda fungerer som planlagt. 2.1 Korleis skil internrevisjon seg frå andre kontrollfunksjonar i verksemda? Ein internrevisjon er ikkje noka erstatning for internkontrollen i verksemda. Internkontroll er eit linjeansvar og skal vere integrert i styringa og oppgåveløysinga til verksemda. Internkontroll skal derfor gjennomførast på alle nivå og i alle funksjonar i verksemda. Gjennomføring av risikostyring og oppfølging av internkontroll er normalt delegert til linjeleiarar på ulike nivå. Det vil òg vere medarbeidarar som har i oppgåve å gjennomføre internkontrollaktivitetar. 3 Committee of Sponsoring Organization står bak COSO-rammeverka «Intern kontroll et integrert rammeverk» og «Helhetlig risikostyring et integrert rammeverk». 4 Jf. definisjonen av internrevisjon i IIA-standardane. 6

7 Velrenommerte rammeverk for internkontroll, til dømes COSO-rammeverket, har fokus på risikostyring. Også Direktoratet for økonomistyrings (DFØ) metodedokument «Risikostyring i staten» framhevar at ei vurdering av risiko og vesentlegheit skal liggje til grunn for det samla styrings- og kontrollopplegget til verksemda. Internkontrollen skal bidra til å redusere den attverande risikoen 5 i verksemda til eit akseptabelt nivå, jamfør figur 1. Tiltak for å redusere risikoen kan omfatte organisatoriske tiltak som fullmakter, arbeidsdeling og opplæring, fastsetjing av arbeidsprosedyrar og kontrollrutinar og kontrollar som er innebygde i IT-systema. Det blir ofte kalla førstelinjekontrollar. Dei fleste verksemder har ulike typar stabs- og linjeeiningar med særleg ansvar for å vareta internkontrolloppgåver for éin eller fleire leiarar, til dømes rekneskaps- eller rapporteringseiningar, controllerar og kvalitetsrådgivarar, som bidreg med analysar, oppfølging, fagleg rettleiing og kontroll av at rutinar og regelverk blir følgde. Det blir kalla andrelinjekontrollar. Som eit ekstra «tryggleiksnett» (tredjelinjekontroll) kan verksemda etablere ein uavhengig funksjon (internrevisjon) som systematisk kan evaluere verksemda og gi ei uavhengig og objektiv stadfesting av om internkontrollen er god nok (effektiv og formålstenleg). Dei forskjellige kontrollnivåa er illustrerte i figur 1 nedanfor. Linja Ibuande risiko Førstelinjekontrollar Prosessar med integrerte kontrollar Organisatoriske tilbak som fullmakter og arbeidsdeling Fastsetjing av arbeidsprosedyrar og kontrollrutiner Rekneskap og rapportering Risikostyring Kontrollerar, kvalitetsrådgivarar, stabsfunksjonar Andrelinjekontrollar Analysar Overvåking/kontroll med at rutinar og regelverk blir etterlevd Kvalitetsgjennomgangar Internrevisjon Tredjelinjekontrollar Testing og vurdering av etablert internkontroll Attverande risiko Figur 1 Ulike kontrollnivå for å sikre god internkontroll 5 Ibuande risiko er nivået på risikoen når ein ikkje tek omsyn til dei ulike tiltaka og kontrollaktivitetane som er etablerte for å redusere han. Attverande risiko er nivået på risikoen når ein tek omsyn til tiltaka og kontrollaktivitetane som ein set i verk når ein vurderer risikoen (jamfør «Risikostyring i staten», DFØ (2005)). 7

8 The Institute of Internal Auditors (IIA) har fastsett etiske reglar og internasjonale standardar for utøving av internrevisjon. Standardane definerer nokre grunnleggjande prinsipp for korleis internrevisjon bør utøvast. Eigenskapsstandardane gjeld krav til organisasjonar og personar som utfører internrevisjon, mens utøvingsstandardane fastset kvalitetskriterium for utøving av internrevisjon. I tillegg kjem implementeringsstandardar, som gjeld konkrete typar stadfestings- eller rådgivingsoppdrag som internrevisjonen kan ta på seg. IIA forvaltar òg sertifiseringar 6 for ulike område innanfor internrevisjon. Ein ny standard 7 tredde i kraft ved inngangen til 2011 og slår fast at internrevisjonen kan komme med ei overordna fråsegn om kvaliteten på internkontrollen til verksemda. Ei overordna fråsegn vil i praksis byggje på både informasjon frå internrevisjonens eigne undersøkingar og på informasjon frå andre tilsyns- og kontrollfunksjonar, både interne og eksterne. Det vil gi leiinga ei samla oversikt over «helsetilstanden» til internkontrollen. Meirverdien av ein internrevisjon ligg i det at han på eit uavhengig og objektivt grunnlag kan gjere verksemdsleiaren trygg på at internkontrollen fungerer som han skal, i alle delar av organisasjonen. Det at ein internrevisjon arbeider etter IIA-standardane, tilfører ein ekstra kvalitetsdimensjon og bidreg til å sikre at evalueringar i form av revisjonsoppdrag blir gjennomførte i samsvar med profesjonskrava til objektivitet, fagleg dyktigheit og aktsemd. DFØ er kjent med at ikkje alle funksjonar som blir kalla internrevisjon, følgjer IIA-standardane fullt ut. DFØ meiner at alle funksjonar som blir kalla internrevisjon, bør forplikte seg til å følgje IIA-standardane. Ei slik plikt kan takast inn i instruksen for internrevisjonen. 6 Dei mest kjende sertifiseringane er CIA (Certified Internal Auditor), CCSA (Certification in Control Self-Asessment), CFSA (Certified Financial Services Auditor) og CGAP (Certified Governmental Auditing Professional). I tillegg til desse fire internasjonale sertifiseringane forvaltar NIRF ordninga «Diplomert intern revisor». 7 IIA-standard 2450 Overordnede uttalelser 8

9 3 Kva er spesielt med internrevisjon i staten? Dersom ei statleg verksemd skal etablere ein internrevisjonsfunksjon, må ho ta omsyn til den styringsmessige konteksten internrevisjonen skal operere i. Rettleiaren er retta inn mot ordinære forvaltingsorgan. Forvaltingsorgana er hovudmodellen for korleis grunnleggjande statlege oppgåver skal organiserast. Eit forvaltingsorgan er ikkje noko eige rettssubjekt, men ein del av staten som «juridisk person». Statsråden har konstitusjonelt og politisk ansvar for at verksemda blir driven innanfor rammene som Stortinget har sett innanfor sektoren. Statlege verksemder er omfatta av fleire regelverk for statsforvaltinga, mellom anna Stortingets løyvingsreglement, reglementet som regjeringa har fastsett, og føresegnene om økonomistyring i staten («føresegnene»), som Finansdepartementet har fastsett. I samsvar med 4 i reglementet «Grunnleggende styringsprinsipper» skal alle verksemder tilpasse styringa, oppfølginga, kontrollen og forvaltinga til eigenarten, risikoen og vesentlegheita til verksemda. I kapittel 2.4 i føresegnene «Intern kontroll» går det fram at det er verksemdsleiinga som har ansvar for å sjå til at den interne kontrollen er tilpassa risiko og vesentlegheit, at han fungerer tilfredsstillande, og at han kan dokumenterast. 3.1 Forholdet mellom verksemda og det overordna departementet Eit forvaltingsorgan er økonomisk og administrativt underlagt det overordna departementet (som sjølv er eit forvaltingsorgan). Statsbudsjettet og det årlege tildelingsbrevet til underliggjande verksemder inneheld mål, oppgåver og budsjettrammer for verksemda. I utgangspunktet kan det overordna departementet jamleg instruere forvaltingsorgana i alle spørsmål dersom ikkje lova hindrar eller avgrensar det. I praksis blir departementets styring (instruksjon) av underliggjande verksemder utøvd gjennom tildelingsbrev og etatsstyringsdialogen. Denne dialogen legg vekt på å gi verksemda føreseielege rammer og mest mogleg sjølvstende med tanke på korleis ho skal løyse samfunnsoppdraget sitt og vareta den interne styringa av verksemda, jamfør mål- og resultatstyring som det overordna styringsprinsippet i staten. Dei siste tiåra har det vore ein tydeleg trend i retning av større sjølvstende for forvaltingsorgana, både formelt og uformelt. Det stiller stadig større krav til at leiarar i statlege verksemder er bevisste på korleis dei best mogleg kan vareta ansvaret for god internkontroll i verksemda. Som etatsstyrar har departementet eit overordna ansvar for at underliggjande verksemder har forsvarleg styring og kontroll. Departementet må i utøvinga av kontrollansvaret byggje på internkontrollen til verksemda og vil kunne ha nytte av at underliggjande verksemder har ein internrevisjonsfunksjon som kan stadfeste at internkontrollen fungerer som han skal. Eit departement kan gjennom etatsstyringsdialogen ta initiativ til å vurdere om ei underliggjande verksemd bør etablere ein internrevisjonsfunksjon. Departement bør likevel overlate den endelege avgjerda om det skal etablerast internrevisjon, til verksemdsleiaren. Eit pålegg om å etablere internrevisjon frå departementet vil gripe inn i dei interne forholda i verksemda og utfordrar prinsippet om at det er verksemdsleiaren som er ansvarleg for jamleg å vurdere om verksemda har god nok styring og kontroll. Eit slikt krav eller pålegg frå det overordna departementet kan òg reise tvil om kven som reelt sett er oppdragsgivaren for internrevisjonen. 9

10 I statsforvaltinga i Noreg er det ikkje tradisjon for at departementa etablerer eigne internrevisjonseiningar. Eit unntak frå denne praksisen er Forsvarsdepartementets internrevisjon, som har departementet og tre underliggjande etatar som verkeområde. 3.2 Korleis sikre internrevisjonen nok handlefridom innanfor rammene av etats- og verksemdsstyringa i staten? Verksemder som vel å etablere ein internrevisjon, må leggje til rette for at den kan utføre arbeidet sitt i tråd med IIA-standardane. IIA-standard 1110 stiller krav til at internrevisjonen skal vere organisasjonsmessig uavhengig. 8 Av IIAs utdjuping av denne standarden om organisasjonsmessig handlefridom går det fram at det er oppnådd når revisjonssjefen rapporterer funksjonelt til styret og elles har direkte kommunikasjon og samhandling med styret. Det øvste leiings-/styringsnivået i eit ordinært forvaltingsorgan er verksemdsleiaren. Verksemdsleiaren er normalt òg oppdragsgivar for internrevisjonen. Internrevisjonen er dermed ikkje heilt uavhengig, men står i eit linjeforhold til verksemdsleiaren. Internrevisjonen vil likevel vere uavhengig frå nivåa under verksemdsleiaren. Når verksemdsleiaren er oppdragsgivar, kan det innebere ein risiko for at handlefridommen og objektiviteten til internrevisjonen blir svekt. For å styrkje handlefridommen til internrevisjonen innanfor desse rammene bør verksemda utarbeide instruksar som tydeleg definerer kva mandat internrevisjonen har til å gjennomføre uavhengige gjennomgangar. Som oppdragsgivar for internrevisjonen vil det vere verksemdsleiaren som godkjenner årsplanen for internrevisjonen. Revisjonsplanen bør baserast på ei overordna risikovurdering og på drøftingar av risikobiletet mellom verksemdsleiaren og revisjonssjefen. Det bør leggjast stor vekt på synspunkta til revisjonssjefen. Internrevisjonen må òg ha myndigheit til å kunne omprioritere oppgåver dersom det er nødvendig ut frå risikoforholda i verksemda. Det er viktig å understreke overfor organisasjonen at internrevisjonen skal evaluere internkontrollen til verksemda på vegner av verksemdsleiaren, og at internrevisjonen skal ha full tilgang til all informasjon som er nødvendig for å vareta kontrollfunksjonen og kunne utføre oppdraga sine. I tråd med at verksemdsleiaren er oppdragsgivar for internrevisjonen, skal internrevisjonen rapportere til verksemdsleiaren etter at reviderte einingar har hatt høve til å uttale seg om resultatet av revisjonen og tilrådingar om tiltak. Dersom internrevisjonen og den reviderte eininga ikkje blir einige om kva tiltak det er nødvendig å setje i verk, skal det følgjast opp av verksemdsleiaren. Det kan òg oppstå usemje mellom verksemdsleiaren og internrevisjon, til dømes om behova for tiltak for å redusere risikoen på eit område (internrevisjonen meiner at verksemda tek uforsvarleg høg risiko), eller det kan oppstå situasjonar der internrevisjonens observasjonar av avvik er knytte til verksemdsleiaren. Internrevisjonen kan då saman med verksemdsleiaren ta forholdet opp 8 IIA-standard 1110 Organisasjonsmessig uavhengighet: «Revisjonssjefen må rapportere til et nivå i organisasjonen som gjør det mulig for internrevisjonen å ivareta sitt ansvar. Revisjonssjefen må bekrefte overfor styret, minst en gang årlig, at internrevisjonen er uavhengig.» 10

11 med departementet. Verksemda bør i samband med ei eventuell etablering av ein internrevisjonsfunksjon fastsetje retningslinjer for korleis slike situasjonar skal handterast. Det bør òg avklarast om departementet skal få fast rapportering om arbeidet til internrevisjonen, og korleis det skal skje. Det kan til dømes vere oversending av årsrapporten til internrevisjonen. 3.3 Forholdet mellom internrevisjonen og eit eventuelt styre Eit ordinært forvaltingsorgan har som hovudregel ikkje noko styre som øvste styringsnivå i verksemda. Det har samanheng med at verksemda ikkje er noko sjølvstendig rettssubjekt, men ein del av staten, og blir styrt av det overordna departementet. For ein nærmare omtale av dette viser vi til Fornyings- og administrasjonsdepartementets rettleiar «Bruk av styrer i staten» (2006). Det er likevel fleire statlege verksemder, også forvaltingsorgan, som har eit styre. Det er gjerne verksemder med ein viss grad av sjølvstende i faglege spørsmål, ofte regulert gjennom lover eller forskrifter, eller med økonomisk-administrativt sjølvstende gjennom unntak frå hovudprinsippa 9 i løyvingsreglementet. Styret i eit forvaltingsorgan har likevel ikkje det same ansvaret som styret i eit aksjeselskap. På grunn av det konstitusjonelle og politiske ansvaret til statsråden har ikkje styret i eit forvaltingsorgan fullt ansvar, verken juridisk, økonomisk eller konstitusjonelt. 10 Sjølv om ei verksemd har eit styre, er det ikkje gitt at internrevisjonen bør rapportere til det. I vurderinga av om ein eventuell internrevisjon skal rapportere til eit styre, er det viktig å vere klar over dei store variasjonane som finst i statlege verksemder når det gjeld oppgåvene, ansvaret og myndigheita til styret. I nokre tilfelle er ansvaret til styret avgrensa til i praksis å vere eit fagleg råd som kan støtte verksemda ved å ha ein annan kompetanse enn det verksemda (eller departementet) sjølv har. Formålet med eit slikt styre vil vere å tilføre verksemda eit breiare grunnlag for faglege avgjerder eller innsikt i ulike brukargrupper eller målgruppers behov. I nokre verksemder har styret myndigheit til å gjere vedtak i konkrete saker. Styre blir òg brukte i verksemder som har stor fagleg og/eller økonomiskadministrativ handlefridom, og der styret fungerer som eit styringsledd mellom departementet og verksemda. Styrets oppgåver er då til dømes strategisk styring av verksemda, økonomisk kontroll og oppfølging av verksemdsdrifta, og kontroll med at verksemda tilfredsstiller fastsette krav. Dersom det er tilfellet, er det normalt formålstenleg at internrevisjonen rapporterer til styret. 9 Hovudprinsippa i løyvingsreglementet er fullstendigheits-, eittårs-, kontant- og bruttoprinsippet. Det er særleg det siste (bruttoprinsippet) det er gitt unntak frå, såkalla nettobudsjetterte verksemder. 10 «Bruk av styre i staten», rettleiar frå FAD (2006). 11

12 4 Kva verksemder kan ha særleg nytte av internrevisjon? Kor stort behov ei verksemd og leiaren har for internrevisjon, vil variere. Verksemder som vurderer å etablere internrevisjon, bør gjere ei kost-nytte-vurdering basert på dei forholda som er mest relevante for dei. Ein internrevisjon i tråd med krava som IIA-standardane fastset, vil innebere ein stor kostnad for verksemda, mellom anna i samband med anskaffing av revisjonskompetanse og vedlikehald av denne gjennom sertifiseringar og deltaking i faglege forum som krevst for å behalde sertifiseringar. Det finst òg andre (og kanskje billigare) måtar å forbetre internkontrollen i verksemda på, og dei kan vere eit godt alternativ til å etablere internrevisjon. Det er i første rekkje tiltak som gir linjeorganisasjonen betre kapasitet til å følgje opp og forbetre internkontrollen i verksemda. Også enkeltståande evalueringar av område som ein opplever som spesielt utfordrande eller problematiske, kan vere eit alternativ til å etablere ein permanent internrevisjonsfunksjon. Nedanfor drøftar vi nokre forhold som kan vere relevante når ein skal ta stilling til om internrevisjon skal etablerast. Lista er ikkje komplett, og det er ei viss overlapping mellom forholda som er omtalte. Kvaliteten på internkontrollen i verksemda Det er ingen eintydig samanheng mellom behovet for internrevisjonstenester i ei verksemd og kvaliteten på den etablerte internkontrollen. I ei verksemd med svak internkontroll vil internrevisjonen kunne avdekkje kvar det er størst risiko for styringssvikt, feil og manglar. Basert på observasjonar kan internrevisjonen òg gi råd om forbetringar i internkontrollen som gjer verksemda meir robust og førebyggjer negative hendingar. Nytteverdien av det vil likevel vere avhengig av at leiinga og linjeorganisasjonen har kapasitet og motivasjon til å følgje opp tilrådingane til internrevisjonen. Ei verksemd med god internkontroll kan i utgangspunktet klare seg utan internrevisjonstenester. Internrevisjonen vil likevel bidra til stadig å setje vidareutvikling av internkontrollen på dagsordenen. I tillegg vil behovet for internrevisjon vere knytt til om rapporteringa som skjer i linja, gir god nok sikkerheit for at internkontrollen fungerer som forventa, eller om ein ønskjer ei uavhengig stadfesting frå internrevisjonen. Storleiken og kompleksiteten til verksemda Ein internrevisjon kan vere eit formålstenleg verkemiddel for store og komplekse verksemder, med omfattande krav og utfordringar knytte til internkontroll. Kompleksitet kan både vere knytt til måten verksemda er organisert på, og til samansetjinga av produkta og tenestene verksemda skal levere. I ei verksemd med fleire styringsnivå, geografisk spreiing og stort spenn i oppgåvene er det meir krevjande for leiaren å ha den nødvendige oversikta over korleis internkontrollen fungerer. Også kompleksitet i tenesteproduksjonen kan tilseie at det er behov for ein internrevisjon som kan gi kvalifiserte og objektive vurderingar av kvaliteten i produksjonen. Verksemder med store transaksjonsvolum (inn- og utbetalingar) kan ofte ha høg risiko knytt til IKT-systema, bevisste eller ubevisste menneskelege feil eller svikt i rutinane. Ein uavhengig kontroll av desse i regi av internrevisjonen kan førebyggje og eventuelt avdekkje misleghald. 12

13 Internrevisjonens metodikk for testing og kontroll kan gjere verksemda tryggare på at kontrollane som er innebygde i systema og rutinane, faktisk fungerer. Ei stor verksemd målt i tilsette eller budsjett vil lettare kunne forsvare kostnadene som er knytte til drift av internrevisjonen. Store verksemder har likevel ofte administrasjonsavdelingar, stabar, kontrollerfunksjonar, tekniske fagmiljø eller liknande som utfører kontrolloppgåver. Det må derfor vurderast kor mykje ein internrevisjon kan tilføre utover det. Risiko og vesentlegheit Kor omfattande og kritisk risiko ei verksemd er eksponert for, er eit anna forhold som kan vurderast. Hyppige endringar i omgivnadene som påverkar verksemda og risikobiletet, gjer det krevjande å gjennomføre god risikostyring og halde internkontrollen oppdatert. Vesentlegheit kan komme til uttrykk gjennom at verksemda har høgt politisk prioriterte oppgåver og mange brukarar, at ho er omdømmesensitiv, o.a. Det tilseier at verksemda må ha stort fokus på internkontroll, og at ho må vere trygg på at internkontrollen fungerer på alle område. Nokre statlege verksemder har samfunnskritiske oppgåver, det vil seie at verksemda står overfor risiko knytt til liv og helse. Sidan toleransen for feil er tilnærma lik null i slike verksemder, er det svært strenge krav til internkontrollen. Då kan ein internrevisjon gi viktige bidrag og korrektiv og gi leiinga kvalifiserte vurderingar av om systemet fungerer godt nok. 13

14 drawing slide and d Guides... y drawing een 7.40 cm 2.91 Inches 6.00 cm 2.36 Inches 5 Sjekkliste Ein framgangsmåte for å vurdere behovet for internrevisjon og etablering av ein internrevisjonsfunksjon er nærmare beskriven i sjekklista. Framgangsmåten er skjematisk framstilt i figur 2. Trinn 1 Trinn 2 Trinn 3 Trinn 4 Kartleggje og analysere utfordringar og behov knytte til oppfølging av internkontrollen Vurdere alternative IR-modellar Avklare rolle, rammer og ressursar Avklare formål, prinsipp for prosess og metodikk Kartlegging, analyse og vurdering av løysingar Etablering av internrevisjon Aktivitetar Kartleggje verksemdsomfanget Risikovurderingar sannsynlegheiter og konsekvensar Evaluering av dagens internkontroll (første- /andrelinje) Vurdere kva internrevisjonen/ tredjelinja kan tilføre Avklare omfang og kompleksitet Vurdere behov for kapasitet og kompetanse opp mot ulike internrevisjonsmodellar Vurdere behov for å utvikle andre kontrollfunksjonar Avklare kva kapasitet verksemda har til å nyttiggjere seg internrevisjon Avstemme mot budsjett Bestemme ønskt framdrift Avklare formål og rolle for internrevisjonen Avgjere organisering og ønskt kapasitet og kjernekompetanse Etablere føringar og forventingar til kommunikasjon med leiinga Fastsetje budsjett og årsverk Bestemme mandat og instruks, fullmakter, ansvar Definere prinsipp for prosess og metodikk Definere prinsipp for samhandling med verksemdsleiinga Trekkje opp grensesnitt mot andre kontrollorgan internt og Riksrevisjonen Definere kravspesifikasjon for tilsetjingar eller kjøp av tenester Resultat Avgjere om det skal etablerast internrevisjon Konkludere med kva internrevisjonsmodell som passar for verksemda Avgjere organisering, overordna styringsdokument, budsjettmidlar Definere målsetjinga, oppgåvene og kompetansekrava til internrevisjonen 8.00 cm 3.15 Inches Trinn 5 Intern forankring og kommunikasjon Informere og involvere verksemda i arbeidet med å identifisere korleis internrevisjonen kan bidra til verdiskaping Informere det overordna departementet og Riksrevisjonen Etablere ein prosess for å evaluere ytingane til internrevisjonen Skape avtalt forståing hos interessentar av internrevisjonens rolle og bidrag til verksemda cate position wing Guides Figur 2 Framgangsmåte for å vurdere behov for og etablering av internrevisjon 2010 Deloitte AS cm 4.61 inches 0.2 inches 0.2 inches Verksemdsleiaren har det overordna ansvaret for at prosessen blir gjennomført, og vil i varierande grad vere aktivt involvert i dei ulike trinna i prosessen. Han eller ho må likevel ha ei sentral rolle i aktivitetane i trinn 1 og 2, mens det i trinn 3 og 4 vil vere naturleg at (den påtroppande) leiaren for internrevisjonen tek ei aktiv rolle i prosessen. 5.1 Vurderingsfase 0.50 cm 0.50 cm Vurderingsfasen omfattar aktivitetane som inngår i trinn 1 og 2, jamfør figur 2 ovanfor. Formålet med denne fasen er å få eit grunnlag for å avgjere om etablering av ein internrevisjonsfunksjon vil vere det rette svaret på verksemdsleiaren sitt behov for å styrkje oppfølginga av internkontrollen. Ved å gjennomføre vurderingsfasen vil ein òg få eit betre grunnlag for å ta stilling til kva internrevisjonsmodell som vil vere best for verksemda cm 4.61 inches 14

15 Trinn 1: Kartleggje og analysere utfordringar og behov knytte til oppfølging av internkontrollen Formålet med trinn 1 er å kartleggje og vurdere utfordringar og behov knytte til leiinga si oppfølging av internkontrollen, også kvaliteten på avgjerdsgrunnlaget og styringssystemet generelt. Kartlegginga og analysen må gjennomførast slik at det blir høve til å konkludere med om internrevisjon vil vere eit eigna tiltak for å gjere det lettare for verksemdsleiaren å følgje opp ansvaret for internkontrollen. Følgjande framgangsmåte kan nyttast: a) Definer mandat for arbeidet og prosessen knytt til å skaffe eit avgjerdsgrunnlag for om det bør etablerast internrevisjon. b) Identifiser og gjennomgå dokumentasjon knytt til styrings- og kontrollsystemet til verksemda. Dokument som kan gi informasjon om styrings- og kontrollutfordringane i verksemda: Dokumentasjon/beskriving av styrings- og kontrollsystemet i verksemda Styringsdokument med mål og resultatkrav Risikovurderingane til verksemda Resultatrapportar Oversikter over rapporterte avvik i verksemda Gjennomførte analysar og evalueringar i verksemda Merknader/kommentarar frå Riksrevisjonen dei siste åra og dokumentasjon av korleis merknadene er følgde opp Referat frå etatsstyringsdialogen med departementet Møtereferat og annan dokumentasjon som inneheld informasjon om korleis leiinga følgjer opp internkontrollen c) Gjennomfør samtalar med personar som har oppgåver knytte til internkontroll. 15

16 Denne malen og desse sjekkpunkta kan nyttast i kartlegginga: Sjekkpunkt Kommenter status, utfordringar og svakheiter Hovudspørsmål Fungerer internkontrollen i verksemda godt nok? Er det etablert felles styringsprinsipp i verksemda? Er det fastsett og kommunisert etiske retningslinjer for verksemda? Er det god nok tryggleik for at styringsprinsipp og eventuelle retningslinjer blir etterlevde på alle nivå? Er det godt samsvar mellom kompetanse, ansvar og myndigheit på ulike nivå i organisasjonen? Har verksemda god kompetanse på internkontroll på alle nivå? Er verksemdsleiaren og linjeleiarane sikre på at risikoar blir identifiserte og handterte på ein forsvarleg måte innanfor ansvarsområdet? Er det ofte feil eller svikt i systema, prosessane og rutinane? Finst det dokumentasjon på systematiske andrelinjekontrollar i verksemda, og fungerer dei i tråd med forventingane? Har verksemda nok kapasitet til analyse, rapportering og oppfølging? 16

17 Hovudspørsmål Vil ein internrevisjon vere eit effektivt tiltak i forhold til kontrollutfordringane i verksemda? Medfører eigenarten til verksemda (til dømes storleik, risiko, kompleksitet i oppgåveportefølje, hyppige endringar eller mykje merksemd frå politikarar eller media) spesielle utfordringar knytte til internkontroll? Har verksemdsleiaren kapasitet til å følgje opp kontrollspennet sitt? Er rapporteringa i linja så god at leiinga får eit rett bilete av korleis verksemda fungerer? Har evalueringar og analysar i verksemda avdekt forhold som ikkje er fanga opp av dei etablerte styrings- og kontrollsystema? Har Riksrevisjonen eller andre eksterne kontrollorgan (tilsyn) påpeikt svikt eller svakheiter i styrings- og kontrollsystema til verksemda? Er det påpeikt forhold i styringsdialogen med departementet som verksemda ikkje var kjende med, og som indikerer svikt i styrings- og kontrollsystema? Er det i styringsdialogen med underliggjande verksemdsnivå avdekt svakheiter som burde vore rapporterte tidlegare? Har leiarane si oppfølging av internkontrollen avdekt manglar og svikt som skulle vore rapportert tidlegare? Samla vurdering: Gjennomgå svakheitene og utfordringane som er identifiserte, og vurder kva tiltak det kan vere formålstenleg å setje i verk for å styrkje internkontrollen. 17

18 Behovet for å etablere ein uavhengig tredjelinjekontroll (internrevisjon) er avhengig av fleire forhold, mellom anna om risikoen i verksemda blir vurdert som høg, og om det vil vere vanskeleg og ressurskrevjande å få etablert tiltak som vil gi leiinga nok sikkerheit for at internkontrollen fungerer som venta i verksemda. Leiinga må òg vurdere om det er nødvendig og mogleg å etablere ein funksjon med dei strenge krava til handlefridom og etterleving av kjende revisjonsstandardar som bør kjenneteikne ein internrevisjon, eller om verksemda har behov for meir generell leiarstøtte i form av evaluerings- og oppfølgingskapasitet. d) Hent eventuelt inn erfaringar frå samanliknbare verksemder med internrevisjon. e) Konkluder. Kontrollutfordringane som er identifiserte, kan handterast mellom anna ved å vidareføre eksisterande styrings- og kontrollsystem å styrkje den interne kontrollen (førstelinjekontrollen) å etablere eller styrkje interne kontrollfunksjonar/stabar (andrelinjekontrollar) å etablere ein internrevisjonsfunksjon (tredjelinjekontroll) Dersom verksemda vel å etablere ein internrevisjonsfunksjon, må alle det får følgjer for, vere innforstått med at meirverdien knytt til det mellom anna er avhengig av at internrevisjonen får rammevilkår som gjer han i stand til å opptre i tråd med krava og standardane som IIA stiller til ein profesjonell internrevisjon. For verksemder som vel å ikkje etablere nokon internrevisjonsfunksjon, er det ikkje aktuelt å gå gjennom dei neste trinna i sjekklista. Trinn 2: Vurdere alternative internrevisjonsmodellar Behovet for internrevisjonstenester kan dekkjast på ulike måtar. Dersom verksemda vel å etablere ein internrevisjonsfunksjon, må dei vurdere kva modell som vil vere best eigna. Alternative modellar som blir praktiserte i dag, er beskrivne nedanfor, med opplysningar om kva som blir rekna som fordelar og ulemper ved dei ulike modellane. 18

19 Modell 1 Eiga eining med fast tilsette revisorar 11 Beskriving Modellen inneber at verksemda etablerer ei ny organisatorisk eining med ansvar for internrevisjon. Internrevisorar som blir tilsette i eininga, kan rekrutterast både eksternt og internt. Fordelar Fordelen med ein slik revisjonsmodell er at internrevisjonen blir ein del av organisasjonen og får unik kunnskap om verksemda og kulturen og verdiane der. I tillegg vil internrevisjonen opparbeide spisskompetanse om styrings- og kontrollsystem, risikobiletet og drifta i verksemda. Denne kunnskapen vil vere fullt tilgjengeleg for verksemda ved at revisorane er ein del av kompetansemiljøet i organisasjonen. Ulemper Ulempa med ei slik organisering er at ein blir mindre fleksibel med omsyn til storleik og kompetansemessig samansetjing av internrevisjonen. Tilsetjingar inneber faste kostnader og dermed ein risiko for at kostnaden ikkje vil stå i forhold til nytten. Det kan òg vere vanskeleg å etablere ei eining som er stor nok til å utgjere eit robust nok internt fagmiljø. Vurderingar i forhold til eigen organisasjon: 11 Dette er den vanlegaste måten å organisere internrevisjonen på, særleg i store verksemder som til dømes NAV. 19

20 Modell 2 Full outsourcing 12 Beskriving Denne modellen føreset at alle internrevisjonstenester blir kjøpte frå eksterne fagmiljø. Det vil seie at verksemda må hente inn anbod på tenestene og gjere avtale med ein leverandør/leverandørar av denne typen tenester. Fordelar Ein fordel med denne modellen er at kompetansesamansetjinga og ressursbruken for internrevisjon kan endrast heile tida og tilpassast behovet i det enkelte revisjonsprosjektet og verksemda sitt samla behov for internrevisjonstenester over tid. Internrevisjonsressursane som blir nytta, er normalt òg ein del av eit større revisjonsmiljø som vil halde seg oppdatert om utviklinga innanfor faglege og metodiske tema. Revisjonsressursane vil òg representere eit eksternt perspektiv som kan bidra til å auke kvaliteten på vurderingane og tilrådingane til internrevisjonen. Ulemper Ei ulempe kan vere at verksemda blir avhengig av ein ekstern leverandør, og at kunnskapen og forståinga som blir opparbeidd om verksemda over tid, ikkje blir like tilgjengeleg. Ein ekstern leverandør har heller ikkje same høvet til å bli kjend med verksemdskulturen og observere udokumenterte kontrollar som ein tilsett internrevisor. Bruk av ein slik modell krev òg at verksemda har god nok bestillarkompetanse til å få tak i denne typen teneste og til å følgje opp kontrakt og leveransar. Modellen utfordrar den uavhengige rolla til internrevisjonen ettersom nokon i verksemda vil ha ansvar for å skaffe og følgje opp revisjonstenestene. Ofte har ein slik modell mykje til felles med anskaffing av ekstra evalueringskapasitet. Ein kan derfor stille spørsmål ved om denne modellen tilfredsstiller kriteria for å vere ein internrevisjon, i og med at modellen føreset at alle tenestene blir kjøpte eksternt. Vurdering i forhold til eigen organisasjon: 12 Universitetet i Bergen er eit døme på ei statleg verksemd som nyttar denne løysinga. 20

21 Modell 3 Tilsett revisjonssjef som kjøper eksterne revisjonstenester 13 Beskriving Modellen inneber at det blir tilsett ein revisjonssjef som kjøper tenester frå dei eksterne fagmiljøa med best kompetanse i forhold til prisen på tenestene. Tenestene kan kjøpast hos éin eller fleire leverandørar, avhengig av kompetansebehovet. Fordelar Modellen gir god forankring av funksjonen i organisasjonen og gjer det mogleg å setje saman team på tvers av fagområde og ulike rådgivingsmiljø. Han gir stor fleksibilitet med tanke på ressursbruk. Fordi leiaren er tilsett i verksemda, vil denne modellen på ein betre måte enn ved outsourcing bidra til at kompetanse som blir utvikla i internrevisjonsavdelinga, kjem den statlege verksemda til gode. Ulemper Ulempa med ein internrevisjon med berre éin person er at vedkommande ikkje er ein del av eit fagmiljø. Då kan det òg vere utfordrande å få leiaren godt nok forankra i organisasjonen. Det kan medverke til at det blir vanskeleg å behalde personar i ei slik stilling over tid. Om revisjonssjefen sluttar, kan det vere utfordrande å sikre kontinuitet og kompetanseoverføring til erstattaren. Vurdering i forhold til eigen organisasjon: 13 Meir vanleg er det at internrevisjonar har fleire fast tilsette internrevisorar, men at det likevel blir sett av budsjettmidlar til å kjøpe tenester. 21

22 Modell 4 Tilsett revisjonssjef med team frå eiga verksemd Beskriving Éin modell kan vere å byggje eit internt kompetansemiljø rundt revisjonssjefen ved at ein nyttar tilsette i verksemda frå ulike fagfelt til å delta i revisjonsprosjekt. For å få godt utbyte av ein slik modell må verksemda vere stor nok til at ein kan finne personar med fagkompetanse som organisatorisk har ei uavhengig stilling i forhold til kvarandre. Fordelar Denne modellen har fordelar knytte til forankring i organisasjonen og kunnskap om verksemda. Fordi det blir nytta interne ressursar, kan implementeringa av forbetringstiltak bli meir effektiv. Modellen kan bidra til meir samhandling mellom fagmiljøa i verksemda ved at dei deltek i tverrfaglege revisjonsteam. Modellen legg òg til rette for betre læring og kompetanseoverføring i verksemda. Ulemper Modellen kan innebere rollekonfliktar og risiko for å komme i konflikt med krav til handlefridom og objektivitet. Når ein nyttar kompetanse frå miljø som ikkje har revisjonskompetanse, vil revisjonssjefen få meirarbeid med å lære opp personar i den revisjonsfaglege delen av arbeidet. Ordninga kan òg medføre større risiko for feil i gjennomføringa av revisjonsoppdraga fordi ein nyttar medarbeidarar utan revisjonskompetanse. Det kan òg vere utfordringar knytte til om relevante fagmiljø kan stille ressursar til disposisjon i den perioden revisjonen skal gjennomførast. Vurdering i forhold til eigen organisasjon: 22

23 I tillegg til dei fire modellane som er beskrivne ovanfor, kan ein etablere modellar som er ein kombinasjon av modellane 1 og 4 og modellane 3 og Desse kombinasjonane inneber at ein tilsett revisjonssjef kan nytte eigne tilsette og i tillegg velje å kjøpe tenester frå eksterne fagmiljø og/eller nytte ressursar frå interne kompetansemiljø. Når ein skal velje revisjonsmodell, må ein vurdere spesifikke forhold i verksemda opp mot dei generelle fordelane og ulempene som er knytte til dei ulike internrevisjonsmodellane. Nedanfor følgjer kontrollspørsmål som kan vere til hjelp i den samanhengen. I kolonnen «Kommenter/grunngi» kan ein gi ei kort beskriving av situasjonen i verksemda og kva verksemda ønskjer/treng. Oppgi òg for kvart spørsmål kva som kan vere aktuelle internrevisjonsmodellar. Svara i tabellen vil dermed vise om det er revisjonsmodellar som ikkje er aktuelle, og om det er modellar som peiker seg ut som dei mest aktuelle. Kontrollspørsmål Kommenter/grunngi Er verksemda så stor at det er forsvarleg å etablere ei revisjonseining som er stor nok (kritisk masse) til å fungere som eit attraktivt kompetansemiljø? Er det vesentleg for verksemda å etablere ein revisjons-modell med stor grad av forankring i verksemda? Blir det nødvendig med nytilsetjingar for å dekkje breidda i kompetansebehovet til internrevisjonen (til dømes revisjon, IT, juss, økonomi, forvalting, verksemds- og risikostyring)? Er verksemda stor nok, og er ho organisert slik at det går an (ut frå behovet for å sikre handlefridom) å nytte interne ressursar i revisjonsteam? Vil linjeorganisasjonen ha nok kapasitet til å gi frå seg ressursar i dei periodane det skal gjennomførast revisjonar? Forts. neste side 14 Det finst òg modellar og praksis for samarbeid mellom internrevisjonar. Forsvarsdepartementets internrevisjon og Forsvarssjefens internrevisjon samarbeider mellom anna om revisjonsmetodikk. I ein viss grad nyttar statlege verksemder såkalla «peer reviews» når dei skal evaluere internrevisjonar, det vil seie at dei samanliknar seg med andre internrevisjonar. 23

24 Har verksemda erfaring med å nytte interne ressursar i revisjonsteam, til dømes i samband med interne kvalitetsrevisjonar? Vil behovet for internrevisjonstenester i verksemda variere frå år til år? Har verksemda ressursar og kompetanse til å bestille tenester og følgje opp ein kontrakt/kontraktar om leveransar av internrevisjonstenester? Har verksemda behov for eller ønskjer ho å få erfaring med bruk av internrevisjon før ho vel ein endeleg revisjonsmodell? 5.2 Etableringsfase Trinn 3: Avklare rolle, rammer og ressursar Skal internrevisjonsfunksjonen ha legitimitet i organisasjonen og overfor omgivnadene, må han tilfredsstille grunnleggjande krav til handlefridom, objektivitet og kompetanse, slik det mellom anna går fram av krava i standardane og dei etiske retningslinjene til IIA. Desse krava blir mellom anna tilfredsstilte gjennom organisatorisk plassering og rapportering, kompetanse, rolleavklaring og tildeling av ansvar og myndigheit. Dersom handlefridommen eller objektiviteten er eller verkar å vere svekt, bør det handterast i samsvar med IIA-standard Organisatorisk plassering må sikre handlefridommen til internrevisjonen Internrevisjonsfunksjonen skal vere uavhengig av organisasjonseiningane, verksemdsområda og prosessane han skal revidere. Desse forholda er retningsgivande: Internrevisjonen bør organisatorisk vere knytt til det øvste styrings-/leiingsnivået i verksemda. Internrevisjonen bør rapportere til verksemdsleiaren eller til styret i verksemder der det er formålstenleg. Det bør avklarast om det skal vere fast rapportering om arbeidet til internrevisjonen til departementet (til dømes årsrapporten), og korleis det eventuelt skal skje. Det kan òg oppstå spesielle situasjonar der det er behov for å lyfte ei sak til overordna departement for avgjerd og oppfølging, til dømes dersom verksemdsleiaren og internrevisjonen ikkje blir einige om vesentlege observasjonar eller behov for tiltak. Det bør fastsetjast retningslinjer for korleis leiaren for internrevisjonen saman med verksemdsleiaren kan ta kontakt med departementet i slike situasjonar. Verksemdsleiaren skal gi faglege fullmakter til revisjonssjefen, som understøttar den faglege handlefridommen. Internrevisjonen bør i det daglege arbeidet rapportere til verksemdsleiaren. 24

25 Rammene for internrevisjonen må innarbeidast i instruksar og retningslinjer Det bør utarbeidast skriftlege instruksar og retningslinjer som internrevisjonens oppdragsgivar skal godkjenne. Styringsdokumenta må omfatte følgjande: Instruks for internrevisjonen som definerer einingas formål og oppgåve, rapporteringslinjer, myndigheit og ansvar. 15 Stillingsinstruks for leiaren av internrevisjonen som mellom anna inneheld referansar til etiske reglar, god revisjonsskikk og IIA-standardar og eventuelt andre faglege standardar som gjeld for verksemda. Retningslinjer og prosedyrar for arbeidet til internrevisjonen. Desse bør beskrive hovudprinsippa i internrevisjonens metodar og framgangsmåte ved gjennomføring, rapportering og oppfølging av revisjonsprosjekt. Retningslinjer for rapportering bør mellom anna innehalde krav om at kopi av revisjonsrapportar alltid skal sendast til overordna nivå i forhold til den eininga som er revidert. Vidare bør retningslinjene påpeike at revisjonsdirektøren har fridom til å fastsetje årsplan. Retningslinjene bør òg innehalde prinsipp for når internrevisjonen kan/skal rapportere til overordna departement, og korleis det skal skje. Det er gitt ein meir utdjupande omtale av dette i trinn 4. Informasjon om korvidt internrevisjonen skal kunne ta på seg rådgivingsoppdrag, og i kva omfang. Avtale om/prinsipp for koordinering og samarbeid mellom Riksrevisjonen og internrevisjonen. 16 Internrevisjonen må ha kompetanse og kapasitet som sikrar at han kan vareta rolla si og oppfylle formålet sitt Oppdragsgivaren må ta stilling til kva kompetanse og kapasitet internrevisjonen bør disponere. Formålet med og rolla til revisjonen er viktig for denne vurderinga. Verksemda må derfor avklare forhold som har noko å seie for kompetanse og kapasitet: Gjennomgå instruksen for internrevisjon 17 og vurdere kva det har å seie for kompetanse- og ressursbehovet til internrevisjonen. Bruke risikovurderinga til verksemda til å kartleggje kva behov internrevisjonen har for kompetanse og ressursar. Vurdere krava til basiskompetanse i revisjonseininga, til dømes kunnskap og kompetanse om verksemda, inkludert styringssystem og fagområde, dessutan kompetanse innanfor internrevisjon, risikostyring, internkontroll, juss, økonomi og finans, IT, samfunns- og organisasjonsvitskap. Definere personlege eigenskapar som er ønskjelege hos internrevisorane, som evne til heilskapstenking, grundigheit, kreativitet, kommunikasjons- og samarbeidsevne. Ta stilling til i kva grad kompetanse og kapasitet skal sikrast gjennom eigne ressursar eller ved kjøp av tenester. Internrevisjonen må disponere midlar og stillingsheimlar Basert på organisering og kva kapasitet og kompetanse det vil vere behov for, må verksemda fastsetje budsjett og klarere nødvendige årsverk. 15 IIA-standard 1000 Formål, fullmakter og ansvar. 16 INTOSAI GOV 9150: Coordination and Cooperation between SAIs and Internal Auditors in the Public Sector. 17 IIA-standard 1000 Formål, fullmakter og ansvar og IIA-standard 1200 Faglig dyktighet og tilbørlig faglig aktsomhet. 25

26 Trinn 4: Avklare formål og prinsipp for metodikk og prosess Internrevisjonen skal ha myndigheit, fullmakt og ansvar som gjer han i stand til å gjennomføre oppdraget sitt For at internrevisjonen skal kunne utøve funksjonen sin i samsvar med god praksis og faglege standardar, bør retningslinjer som beskrive i trinn 3 under rammene for internrevisjonen, tredje kulepunkt, innehalde følgjande element: Internrevisjonen skal ikkje ha myndigheit som inneber at han kan gi pålegg til einingar eller personar som blir reviderte. Det skal mellom anna sikre at revisjonen ikkje kjem i situasjonar der funksjonen i ettertid skal kontrollere/revidere sine eigne avgjerder. Internrevisjonen skal ha høve til å komme med innspel til forbetringar og endringar i form av tilrådingar om tiltak. Internrevisjonen skal kunne informere/rapportere om prinsipielle og vesentlege forhold til verksemdsleiaren eller styret. I særskilde tilfelle kan internrevisjonen saman med verksemdsleiaren (eller styreleiaren) ta kontakt med det overordna departementet for drøfting og avgjerd. 18 Internrevisjonen må ha tilgang til all informasjon som er nødvendig for at han skal kunne utføre oppdraget sitt og vareta kontrollfunksjonen på vegner av verksemdsleiaren, eventuelt styret. Internrevisjonen skal ha teieplikt om alle forhold han får kjennskap til ved utøvinga av funksjonen, og skal signere ein særskild teielovnad. Revisjonsdirektøren skal sjølv fastsetje årsplanen etter drøftingar med verksemdsleiinga. Internrevisjonen bør på sjølvstendig grunnlag kunne omprioritere oppgåver innanfor ein godkjend plan dersom det er nødvendig ut frå endringar i risikoforholda i verksemda. Metodikken og prosessane til internrevisjonen må tilfredsstille faglege krav og dekkje behova til verksemda Internrevisjonen er ein sjølvstendig og uavhengig del av organisasjonen og må utøve rolla si i samsvar med faglege standardar som er gitt av IIA, og anerkjend praksis. Internrevisjonen kan derfor ikkje ta på seg oppgåver som er ein del av den ordinære internkontrollen til verksemda, eller utøve funksjonen sin på ein måte som gjer at det kan stillast spørsmål ved objektiviteten og handlefridommen til internrevisjonen. Avklaringar/beskrivingar av prosessane og metodikken til internrevisjonen bør innehalde følgjande: Prinsipp/retningslinjer for samhandling/dialog med leiarar og linjeeiningar i organisasjonen. Prinsipp/retningslinjer for samhandling/dialog med internkontrolleiningar i organisasjonen, internkontrollansvarlege, controllerar, HMS-ansvarlege eller liknande. Framgangsmåte ved utarbeiding av årsplan, inkludert drøftingar mellom revisjonssjefen og verksemdsleiinga, og korleis internrevisjonens eigne risikovurderingar saman med risikoanalysane til verksemda skal leggjast til grunn for planlegginga. Krav til revisors oppdragsplanlegging og rapportering. Informasjon om korleis og kven i verksemda som skal behandle og/eller godkjenne planar, rapportar og prosjekt som internrevisjonen utarbeider. Det må fastsetjast krav til oppfølging av foreslåtte tiltak i revisjonsrapportar, inkludert prioritering av tiltak, ansvar og fristar for gjennomføring. Informasjon om korleis internrevisjonen skal kontrollere og rapportere om verksemda følgjer opp avgjerdene knytte til kva ein har blitt einige om i tidlegare gjennomførte revisjonar. 18 Ettersom internrevisjonen i statlege verksemder normalt rapporterer til verksemdsleiaren, samtidig som departementet har eit overordna ansvar for kontroll og oppfølging, er det nødvendig å tilpasse IIA-standard 2600 Avklaring i forbindelse med toppledelsens aksept av risikoer. Jamfør òg omtale av forholdet mellom internrevisjon, verksemdsleiar og departement i kapittel

27 Informasjon om korleis prinsipielle og vesentlege forhold skal takast opp, og kven det skal rapporterast til, inkludert korleis forhold knytte til eventuelle misleghald/avvik skal handterast og rapporterast. Informasjon om reviderte einingar sitt høve til å uttale seg om rapportar frå revisor før dei blir endelege. Informasjon om korleis internrevisjonen skal opptre i forhold til Riksrevisjonen, og kva opplysningar det er naturleg/ønskjeleg å utveksle, til dømes internrevisjonens årsplan og årlege rapportar. Informasjon om korvidt revisjonsoppdraget skal omfatte heile verksemda og alle verksemdsområda. Informasjon om korleis internrevisjonen skal avklare og rapportere spesielle rådgivingsoppdrag for verksemda. Informasjon om korleis internrevisjonen skal avklare deltakinga i og utøve sin funksjon i interne prosjekt i verksemda. Informasjon om korleis eventuelle anskaffingar av eksterne ressursar skal skje. Informasjon om korvidt revisjonssjefen skal delta i leiarmøte i verksemda og eventuelle etatsstyringsmøte. Informasjon om korleis jamleg oppfølging og evaluering av internrevisjonsfunksjonen skal gjennomførast. Trinn 5 Intern forankring og kommunikasjon Etablering av ein internrevisjonsfunksjon er eit tiltak som vil påverke alle delar av verksemda. Ei eventuell avgjerd om å etablere ein slik funksjon må derfor vere godt forankra i toppleiinga og forstått og akseptert i resten av organisasjonen. Informasjonsopplegget må tilpassast etter storleiken, kommunikasjonsrutinane og eigenarten til verksemda. I vurderingsfasen er det viktig at leiarane i verksemda blir informerte om planlagde og pågåande prosessar knytte til vurderingar omkring etablering av ein internrevisjonsfunksjon. Ein bør informere om formålet med vurderinga, framgangsmåten, fristane og innhaldet i prosessen. Ein bør òg informere om kva internrevisjon er, og kva oppgåver revisjonsfunksjonen har. Ein bør informere når det er bestemt at ein skal etablere internrevisjon, og når det er valt revisjonsmodell. I etableringsfasen bør planlagde aktivitetar, framdrifta og korleis organisasjonen vil bli involvert, kommuniserast til relevante tilsette som leiarar, mellomleiarar og eventuelle kontrollfunksjonar. Det bør fortløpande informerast om resultat frå dei ulike trinna i prosessen og vesentlege avgjerder som blir tekne undervegs. Det bør òg informerast om det er teke avgjerder som kan vere viktige for eksisterande organisering, arbeidsoppgåver og ressursar i verksemda, til dømes dersom verksemda vel ein modell der dei tilsette skal delta i revisjonsoppdrag. Det overordna departementet og Riksrevisjonen bør orienterast når internrevisjonsfunksjonen er etablert. 27

28 5.3 Avslutning Eit val om å etablere internrevisjon bør vere gjenstand for grundig vurdering. Det er viktig at leiinga sørgjer for eit dokumentert og fullstendig avgjerdsgrunnlag, slik at ein er trygg på at avgjerdene blir tekne på eit best mogleg faktagrunnlag. Dersom den valde internrevisjonsmodellen inneber at det må tilsetjast personell, er det viktig å rekruttere leiaren av revisjonseininga først, slik at han eller ho kan involverast når resten av revisjonspersonellet skal rekrutterast. Verksemda bør då også vurdere om det er best å bemanne opp revisjonseininga gradvis, etter kvart som ein får erfaring med behov og nytteverdi. I samsvar med IIA-standardane 19 skal det utarbeidast eigne program for å kvalitetssikre og forbetre internrevisjonsfunksjonen. Formålet med det er å følgje opp at internrevisjonen arbeider i tråd med IIA-standardane, etiske reglar og instruksar som er fastsette av den enkelte verksemda. Det er derfor viktig å etablere rutinar for jamleg oppfølging og evaluering av internrevisjonsfunksjonen. 19 IIA-standard 1300 Program for kvalitetssikring og forbedring. 28

29

30 Denne rettleiaren er kun utgitt i elektronisk versjon. Direktoratet for økonomistyring Internett: E-post: postmottak@dfo.no Telefon:

Eksempelsamling med kommentarar. Styringsdokumenta instruks for økonomiog verksemdsstyring og tildelingsbrev frå departement til verksemd

Eksempelsamling med kommentarar. Styringsdokumenta instruks for økonomiog verksemdsstyring og tildelingsbrev frå departement til verksemd Eksempelsamling med kommentarar Styringsdokumenta instruks for økonomiog verksemdsstyring og tildelingsbrev frå departement til verksemd SSØ 01/2011, 1. opplag 1000 eks. Forord God statleg styring føreset

Detaljer

Informasjonsforvaltning i offentleg sektor. Rapport 2013:10 ISSN: 1890-6583

Informasjonsforvaltning i offentleg sektor. Rapport 2013:10 ISSN: 1890-6583 Informasjonsforvaltning i offentleg sektor Rapport 2013:10 ISSN: 1890-6583 Forord Det har lenge vore klart at offentleg sektor må nytte informasjonen sin på ein betre måte for å bli meir effektiv, gi betre

Detaljer

Kort om internkontroll for deg som er leder

Kort om internkontroll for deg som er leder Veileder Kort om internkontroll for deg som er leder DFØ 04/2013, 1. opplag Forord Som leder har du ansvar for virksomhetens internkontroll og for å tilpasse denne til risiko, vesentlighet og egenart.

Detaljer

Resultat frå evalueringa av Reform 97. Utarbeidd av Peder Haug

Resultat frå evalueringa av Reform 97. Utarbeidd av Peder Haug Resultat frå evalueringa av Reform 97 Utarbeidd av Peder Haug Resultat frå evalueringa av Reform 97 Utarbeidd av Peder Haug, forskingsleiar for evalueringa 1 2 Forord Noregs forskningsråd har på oppdrag

Detaljer

God betre best! Mål og strategiar for vidaregåande opplæring i Sogn og Fjordane 2012 til 2015

God betre best! Mål og strategiar for vidaregåande opplæring i Sogn og Fjordane 2012 til 2015 God betre best! Mål og strategiar for vidaregåande opplæring i Sogn og Fjordane 2012 til 2015 God betre best! Mål og strategiar for vidaregåande opplæring i Sogn og Fjordane 2012 til 2015 Side 1 1. INNLEIING

Detaljer

Trygge nok tenester til skrøpelege eldre? Funn frå planlagde tilsyn 2010 2012

Trygge nok tenester til skrøpelege eldre? Funn frå planlagde tilsyn 2010 2012 ARTIKKEL 2 Trygge nok tenester til skrøpelege eldre? Funn frå planlagde tilsyn 2010 2012 Tilsyn er risikoinformerte. Tilsynsorganet leitar der det er mest sannsynleg at det finst svikt som får alvorlege

Detaljer

Evaluering av Reform 97

Evaluering av Reform 97 Evaluering av Reform 97 Sluttrapport frå styret for Program for evaluering av Reform 97 Utarbeidd av Peder Haug Forskingsleiar 2003 1 Norges forskningsråd 2003 Norges forskningsråd Postboks 2700 St. Hanshaugen

Detaljer

Bruk av tvang i psykisk helsevern

Bruk av tvang i psykisk helsevern Internrevisjonen Bruk av tvang i psykisk helsevern Helse Vest RHF, september 2014 INNHALD Målgruppene for denne rapporten er styret og revisjonsutvalet på regionalt nivå, styra i helseføretaka, formelt

Detaljer

Plansatsinga i Møre og Romsdal fylke Frå forvaltning til utvikling?

Plansatsinga i Møre og Romsdal fylke Frå forvaltning til utvikling? Notat nr. 9/2007 Jørgen Amdam, Johan Barstad, Finn Ove Båtevik og Geir Tangen Plansatsinga i Møre og Romsdal fylke Frå forvaltning til utvikling? 2007 VOLDA Prosjekttittel Prosjektansvarleg Prosjektleiar

Detaljer

IMPLEMENTERING AV SKULEOMFATTANDE ARBEID

IMPLEMENTERING AV SKULEOMFATTANDE ARBEID IMPLEMENTERING AV SKULEOMFATTANDE ARBEID Av Sigrun K. Ertesvåg & Svein Størksen Om Respekt Dette heftet er produsert som en del av arbeidet under Respekt programmet, som består av kurs, veiledning og

Detaljer

Kompetanse for tilpasset opplæring. Artikkelsamling

Kompetanse for tilpasset opplæring. Artikkelsamling Kompetanse for tilpasset opplæring Artikkelsamling Redaktører: Grete Dalhaug Berg, Høgskolen i Volda og Kari Nes, Høgskolen i Hedmark Copyright Layout: Wallace Design C 2007 Utdanningsdirektoratet 2 Utdanningsdirektoratet

Detaljer

Gratisprinsippet i grunnskulen kollektive løysingar mot individuelle rettar.

Gratisprinsippet i grunnskulen kollektive løysingar mot individuelle rettar. Gratisprinsippet i grunnskulen kollektive løysingar mot individuelle rettar. Kva for utfordringar opplever rektor når foreldre ønskjer å gjennomføre prosjekt utanfor skulen si økonomiske ramme? Asbjørn

Detaljer

Strategisk arbeid med omstilling HMR 2016-2021

Strategisk arbeid med omstilling HMR 2016-2021 Saksframlegg Strategisk arbeid med omstilling HMR 2016-2021 Saksnr Utvalsnamn Møtedato Sak 2015/26 Styret for Helse Møre og Romsdal HF 06. mai 2015 Saksbehandlar: Dag Hårstad/ Espen Remme Arkivreferanse:

Detaljer

Nye samhandlingsformer og strukturendringar i Nordhordland

Nye samhandlingsformer og strukturendringar i Nordhordland Mer kan Nye samhandlingsformer og strukturendringar i Nordhordland Kjetil Lie og Audun Thorstensen (Telemarksforsking), Sven Haugberg (Asplan Viak) og Tor Erik Baksås (Ernst & Young) TF-notat nr. 18/2013

Detaljer

Regional plan for folkehelse - Fleire gode leveår for alle -

Regional plan for folkehelse - Fleire gode leveår for alle - Regional plan for folkehelse - Fleire gode leveår for alle - 2014 2025 Utgivar: Tittel: Hordaland fylkeskommune, Regionalavdelinga Regional plan for folkehelse - Fleire gode leveår for alle - Dato: 7.

Detaljer

RAPPORT x/2011. En beskrivelse av styringsmodellen i et departement

RAPPORT x/2011. En beskrivelse av styringsmodellen i et departement RAPPORT x/2011 En beskrivelse av styringsmodellen i et departement RAPPORT 2/2011 Innhold 1 Innledning... 3 2 God styring i et departement... 4 2.1 Definisjon av styring...4 2.2 Departementets oppgaver

Detaljer

Veileder Resultatmåling

Veileder Resultatmåling Veileder Resultatmåling Mål- og resultatstyring i staten SSØ 12/2010, 2. opplag 3000 eks. Forord God informasjon om egne resultater er en forutsetning for at statlige virksomheter skal kunne tilpasse seg

Detaljer

Veileder. Strategisk og systematisk bruk av evaluering i styringen

Veileder. Strategisk og systematisk bruk av evaluering i styringen Veileder Strategisk og systematisk bruk av evaluering i styringen DFØ 10/2011, 1. opplag 1000 eks. Forord Effektiv ressursbruk forutsetter styring basert på gode beslutningsgrunnlag. Evalueringer er en

Detaljer

Oversikt over interkommunalt samarbeid

Oversikt over interkommunalt samarbeid Oversikt over interkommunalt samarbeid Hjartdal kommune Forvaltningsrevisjonsrapport nr: 727 004 2007 Innhald Samandrag...iii 1 Innleiing...1 1.1 Bakgrunn...1 1.2 Problemstillingar...1 1.3 Avgrensing...1

Detaljer

Strategi for Språkrådet 2013 2015. Vedteken av styret i Språkrådet 21. februar 2013

Strategi for Språkrådet 2013 2015. Vedteken av styret i Språkrådet 21. februar 2013 Strategi for Språkrådet 2013 2015 Vedteken av styret i Språkrådet 21. februar 2013 Språksituasjonen og språkpolitikken Språksituasjonen i Noreg er i endring. Norsk med dei mange dialektane og dei to skriftlege

Detaljer

Når starten er god. En artikkelsamling om veiledning av nyutdannede lærere i barnehagen, grunnskolen og videregående opplæring

Når starten er god. En artikkelsamling om veiledning av nyutdannede lærere i barnehagen, grunnskolen og videregående opplæring Når starten er god En artikkelsamling om veiledning av nyutdannede lærere i barnehagen, grunnskolen og videregående opplæring Copyright C 2007 Utdanningsdirektoratet Layout: Wallace Design Ill.: Brian

Detaljer

GOD VIRKSOMHETSSTYRING. Grunnlag for god pasientbehandling. Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst

GOD VIRKSOMHETSSTYRING. Grunnlag for god pasientbehandling. Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst GOD VIRKSOMHETSSTYRING Grunnlag for god pasientbehandling Rammeverk for virksomhetsstyring, intern styring og kontroll, i Helse Sør-Øst Hamar, desember2010 1 Forord Å gi god og riktig pasientbehandling

Detaljer

Kunden og BIR. Rettleiar til forskrift om handtering av avfall frå hushald

Kunden og BIR. Rettleiar til forskrift om handtering av avfall frå hushald Kunden og BIR Rettleiar til forskrift om handtering av avfall frå hushald 1 Innhald Om BIR... 3 Formålet med rettleiaren... 4 Korleis rettleiaren er bygd opp... 4 Kapittel 1: Innleiande informasjon...

Detaljer

Styresak. Odd Søreide Strategi for arbeid med kvalitet i Helse Vest. Styresak 117/05 B Styremøte 14.12. 2005

Styresak. Odd Søreide Strategi for arbeid med kvalitet i Helse Vest. Styresak 117/05 B Styremøte 14.12. 2005 Styresak Går til: Styremedlemmer Selskap: Helse Vest RHF Dato: 06.12.2005 Sakbehandlar: Saka gjeld: Odd Søreide Strategi for arbeid med kvalitet i Helse Vest Styresak 117/05 B Styremøte 14.12. 2005 PRINSIPPSKISSE

Detaljer

Bruk av styrer i staten

Bruk av styrer i staten Veileder Bruk av styrer i staten Juni 2006 Veileder Bruk av styrer i staten Juni 2006 Forord............................................................. 4 Innledning.........................................................

Detaljer

Kjem du levande inn, kjem du levande ut men kva skjer så?

Kjem du levande inn, kjem du levande ut men kva skjer så? OPPFØLGINGSTILBODET ETTER EI ALKOHOLFORGIFTING Kjem du levande inn, kjem du levande ut men kva skjer så? tilsyn med sosial og helse RAPPORT FRA HELSETILSYNET 2/2007 MARS 2007 Rapport fra Helsetilsynet

Detaljer

Nasjonalt utviklingsprogram. Landbruksbygg og kulturlandskap Sluttrapport

Nasjonalt utviklingsprogram. Landbruksbygg og kulturlandskap Sluttrapport Nasjonalt utviklingsprogram Landbruksbygg og kulturlandskap Sluttrapport Februar 2013 1 Samandrag Denne sluttrapporten tek sikte på å samanfatte informasjon og lærdom frå utviklingsprogrammet Landbruksbygg

Detaljer

Strategi for det førebyggjande og helsefremjande arbeid ved Haukeland universitetssjukehus

Strategi for det førebyggjande og helsefremjande arbeid ved Haukeland universitetssjukehus Strategi for det førebyggjande og helsefremjande arbeid ved Haukeland universitetssjukehus Nynorskversjon Innhaldsliste 1 Innleiing... 3 1.1 Helse... 3 1.2 Folkehelse, førebyggjande og helsefremjande arbeid...

Detaljer

Retningslinjer. For lokalt gitt eksamen ved vidaregåande skular i Hordaland

Retningslinjer. For lokalt gitt eksamen ved vidaregåande skular i Hordaland Retningslinjer For lokalt gitt eksamen ved vidaregåande skular i Hordaland 2014 Retningslinjer for lokalt gitt eksamen 2014 2 Revisjon av retningslinjer for lokalt gitt eksamen Retningslinjene for lokalt

Detaljer