intern revisoren Nr 1 / SOMMER 2010 17. årgang MED LUFT UNDER VINGENE
REDAKTØRENS SPALTE I dette nummeret av Internrevisoren fortsetter vi den røde tråden fra forrige nummer og viser noe mer av bredden og mangfoldet i vårt yrke. Det spenner ikke helt fra Børs til Katedral, men det spenner i hvert fall fra Oslo Børs VPS til Frelsesarmeen med en tur innom luftfarten. Det illustrerer med tydelighet at intern revisjonens arbeidsoppgaver og prioriteringer vil formes ut fra behovene organisasjonen har for en uavhengig og objektiv tilbakemelding. Vi ser også at dagene er forbi da intern revisjon betydde at alle ressursene var ansatte i virksomheten, og vi har en artikkel og et intervju som illustrerer ulike modeller å organisere intern revisjon på med bruk av tjenester innkjøpt fra eksterne leverandører. Internrevisoren skal etter vår mening ha plass for faglige artikler om ulike temaer. Vi velger å markere at det er tre år siden varslerparagrafen kom inn i loven med et intervju med et selskap som tilbyr eksterne varslertjenester og en presentasjon av varsling i Universitetet i Oslo, en middels norsk by i befolkning med mer enn 30,000 ansatte og studenter. Kurset på BI har ikke bare en egen verdi for den som gjennomfører det, men kan også resultere i faglig fordypning som vi alle kan dra nytte av. Dette er bakgrunnen for Engelstads artikkel som tar for seg både historien bak, og ulike strukturer til sikkerhetslovgivning. Vi tror at dette både kan øke vår forståelse for det regelverket vi lever under, og gi oss en innsikt i forventet utvikling fremover. Sommeren er tiden for både vår egen årskonferanse og den internasjonale IIA konferansen. Vi kommer med et noe utradisjonelt blikk på årskonferansen i Stavanger med en reportasje fra bakerste benken i salen. Atlanta dekker vi med tre deltageres egne tilbakemeldinger på konferansens innhold og den merverdien de fikk med å delta. Det er kanskje ukjent for mange at vi har representanter i IIAs internasjonale komitéer. I et intervju med en komitédeltager får vi høre mer om hvordan man blir medlem i en slik komité, de temaer som blir behandlet og om den merverdien man selv kan sitte igjen med. På en personlig note er det med litt vemod jeg må gi stafettpinnen videre. Jeg føler meg privilegert som igjen har kunnet (etter mange års opphold) arbeide som redaktør i Internrevisoren. Det betyr mye for meg å kunne arbeide med spennende temaer og knytte kontakter med vår medlemsmasse på en så direkte måte. En trøst er at jeg fortsatt vil følge med i utviklingen men denne gangen fra scenen som visepresident i foreningen. Jeg takker for all støtte og entusiasme som jeg har opplevd å kunne hente fra medlemmene i redaksjonskomiteen og ønsker vår nye redaktør Janne Britt Saltkjel velkommen i redaktørstolen. Jeg vet at våre medlemmer vil støtte henne med artikler, temaer og synspunkter som gjør at Internrevisoren må leses av våre medlemmer. REDAKSJONS KOMITEEN Ansvarlig for dette nummeret av Internrevisoren Martin W. Stevens, leder Gjensidige Forsikring Postboks 276 1326 Lysaker M: 957 50 192 martin.stevens@gjensidige.no Sveinung Svanberg Universitetet i Oslo Postboks 1154 Blindern 0318 Oslo J: 22 85 62 89 s.k.svanberg@admin.uio.no Kari Øvsthus Sparebanken Vest Postboks 7999 5020 Bergen J. 55 21 78 92 kari.ovsthus@spv.no Bjarne Tveit Sparebanken Pluss Postboks 200 4662 Kristiansand J: 38 17 35 12 M: 982 81 580 bjarne.tveit@sparebankenpluss.no Rune E. Andersen - Styrets representant StatoilHydro ASA 4035 Stavanger M: 948 157 55 ruea@statoilhydro.com Se mer info på www.nirf.org 2 intern
Innhold 2 Redaktørens spalte 4 Styrets leder har ordet MED LUFT UNDER VINGENE: Ulike bransjer og ulike modeller for intern revisjon 6 Internrevisjonen i Frelsesarmeen 10 Restart av konsernrevisjonsordningen i Avinor 14 Samarbeidsmodell for internrevisjon i Oslo Børs VPS 18 Organisering av internrevisjonsfunksjonen 20 Outsourcing, co-sourcing intervju av Kjetil Kristensen, Ernst & Young Fag Varsling 22 Varsling av kritikkverdige forhold på arbeidsplassen hva skiller velfungerende fra ikkefungerende systemer? 24 Varslingsregimet ved UiO Fag Sikkerhet 27 Utvikling av sikkerhetslovgivning frem til i dag Forenings- og profesjonsnytt 31 Nyheter fra IIA og andre 33 Erfaringer fra internasjonalt komitearbeid, intervju av Trygve Sørlie 36 Årskonferansen 2010 Stavanger 38 Finansielt nettverksmøte april 2010 40 Internasjonal konferanse 2010 Atlanta 43 På Tampen NORGES INTERNE REVISORERS FORENING President Odd Anders Borgen Nordea Bank Norge ASA Postboks 1166 Sentrum 0107 Oslo J: 22 48 49 38, M: 48 11 96 63 odd.anders.borgen@nordea.com Informasjon- og kommunikasjonskomitéen Even Chiodera - leder ICA AS Postboks 6500 Rodeløkka 0501 Oslo M: 908 47 821 even.chiodera@ica.no Konferansekomitéen Siv Austad Hove - leder If Skadeforsikring Postboks 240 1326 Lysaker J: 67 84 08 81 M: 922 21 745 siv.austad@if.no Programkomitéen Siv Rosseland - leder DnB NOR Bank ASA 0021 Oslo J: 22 31 91 39 M: 982 06 857 siv.rosseland@dnbnor.no Redaksjonskomitéen Janne Britt Saltkjel - leder Deloitte AS Postboks 347 Skøyen 0213 Oslo Mobil 99 12 01 95 Jsaltkjel@deloitte.no Høringskomiteen Carl Gunnar Lunde - Leder SG Finans AS Postboks 105 1325 Lysaker M: 416 09 245 carl.gunnar.lunde@sgfinans.no Nominasjonskomitéen Ellen C. Braathen - leder Oslo Kommune, Byrådslederens kontor Rådhuset, 0037 Oslo J: 23 46 12 67 M: 930 54 880 ellencecilie.braathen@radhuset. oslo.kommune.no Foreningsekretariat Ellen Brataas Generalsekretær Tlf: 976 20 565 ellen.brataas@nirf.org Svein Stabekk Foreningssekretær Tlf.: 932 37 912 svein.stabekk@nirf.org Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika, 0115 Oslo post@nirf.org Besøksadresse: Munkedamsveien 3 B, 3. etg. 0161 Oslo Internrevisoren: Organ for Norges Interne Revisorers Forening, NIRF Antall utgivelser pr.år:2 Opplag: 1.000 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: desember 2010 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.m. Årsabonnement: Kr. 150 Annonsepriser: Kr. 5.000 for en helside Kr. 3.000 for en halvside (mva. tilkommer) Grafisk produksjon: Pr.info DM Hamar
Kortsiktige mål, governance og risikovillighet Styrets leder har ordet Internrevisjon er et yrke som er i rask utvikling. Utviklingen er ikke først og fremst drevet av oss selv, den er i større grad drevet av alle endringene som skjer rundt oss. Det siste tiåret har vi har hatt store internasjonale skandaler som Enron, Arthur Andersen, WorldCom og Parmalat, og senere finanskrisen og uroen i den internasjonale økonomien. Slike hendelser har satt søkelyset på hvordan virksomheter drives og overvåkes, og dette har også ført til store endringer for internrevisjonsbransjen. Mange internrevisjonsfunksjoner, spesielt i internasjonale selskaper, ble sterkt påvirket av Sarbanes-Oxley, og måtte som en konsekvens bruke mye ressurser på finansielle rapporteringsprosesser. Over tid vil oppdragsgiverne flytte sitt fokus til andre risikoer, og igjen vil internrevisjonen måtte tilpasse seg de forventninger som oppdragsgivere og toppledelse har til funksjonen. Men hva vil våre oppdragsgivere og toppledelse forvente seg av internrevisjonen fremover? Og i hvilken grad kan vi styre denne utviklingen selv? I skrivende stund pumpes det fortsatt mange tusen fat olje ut i Mexicogulfen som et resultat av BP s dypvannsboring. Det skal visstnok ikke ha manglet på advarsler om at virksomheten var sårbar for katastrofale hendelser, og ledelsen er blitt kritisert for ikke å ha gjort nok for å forhindre at oljekatastrofen har fått det omfanget vi har vært vitne til. Finansnæringen har blitt sterkt kritisert for å selge strukturerte produkter der kundene ikke forsto den underliggende risikoen og hvor kun selgeren av produktet realistisk sett ville tjene penger. Amerikanske banker har blitt kritisert for å pushe lån på enkeltfamilier som ikke hadde evne til å betjene disse, og som senere skulle vise seg å bli foranledningen til finanskrisen. Så kan en jo spørre seg om hvorfor slike hendelser kan oppstå. Hvorfor setter ikke virksomhetsledelsen foten ned for denne typen aktiviteter? Og er det noe fundamentalt galt i hvordan vi styrer dagens virksomheter? Det er vel ingen tvil om at det er et svært stort press på toppledere til å vise til gode resultater. Tidshorisonten er kort, og topplederne blir bedømt mer eller mindre kontinuerlig. Selv om eierskapet i store børsnoterte selskaper er ulikt sammensatt og graden av direkte eierstyring varierer fra selskap til selskap, har vi i de senere år sett en utvikling hvor det er et sterkt fokus på kortsiktig avkastning. Til tross for at eierskapet er diversifisert, og ledelsen og styret dermed har større innflytelse på virksomhetens mål, blir en drevet av markedets/analytikernes forventninger og av at selskapet skal hevde seg i sammenligningen med sine konkurrenter. Ofte betyr dette et mål om å skape høy avkastning så raskt som mulig. Også statlig virksomhet blir i stor grad påvirket av kortsiktige mål og resultater. For toppledelsen og styret er dette et dilemma. Det kan være lett å være enig i at det å maksimere avkastning til eierne er et godt prinsipp, dersom dette målet er langsiktig. Men regelmessig resultatfremleggelse og markedets kontinuerlige evaluering kan medføre kortsiktighet, og selskapene gjør det som kreves for å fremstå som vinnere i en svært transparent markedsplass. Eksemplene ovenfor med BP og finansnæringen kan være et utslag av ledelsens ambisjoner om å øke inntektene og/eller holde kostnadene nede, kombinert med begrenset sannsynlighet for at store negative hendelser skal inntreffe. Dermed er en villig til å leve med den risikoen aktivitetene medfører. En annen mulighet er selvsagt at ledelsen ikke fullt ut er klar over den iboende risikoen aktivitetene medfører, blant annet fordi denne informasjonen ikke kommer frem til toppledelsen eller fordi risikoen blir presentert på en utydelig måte. Et dilemma for ledelsen er uansett at dersom de ikke er med på den økonomiske veksten som for øvrig skjer i markedet, vil de ende opp med å gi eierne en lavere kortsiktig avkastning enn konkurrentene, selskapets markedsverdi vil bli lav, og selskapet vil være utsatt for fiendtlige oppkjøp. Så har egentlig internrevisjonen en rolle å spille i forhold til den type utfordringer jeg har pekt på ovenfor? Etter min mening er svaret ja, men dette er en svært krevende oppgave. For å lykkes, kreves en ganske annen arbeidsform enn det som er tradisjonell revisjon, hvor vi ser på nøkkelkontroller i verdikjedene. Det kreves en forretningsmessig dybdekompetanse og svært gode kommunikasjonsprosesser med ledere på flere nivåer, spesielt med toppledelsen. Det er vel og bra å gjennomføre tradisjonell revisjon med fokus på utforming av risikostyring og kontrollprosesser, etterlevelse av disse, osv. Slik revisjon vil nok fortsatt være vårt daglige brød, men tiden er også inne for å ta tak i mer ledelsesmessige eller strategiske utfordringer. Selvsagt ikke ved å overta deler av ledelsens ansvar, men gjennom å vurdere ulike aktiviteter på en kritisk og konstruktiv måte. Mange virksomheter har etablert eller er i ferd med å etablere ulike compliance og/eller risk management funksjoner, og det er viktig at vi i internrevisjonen tar vår plass i governance strukturen, og hvor vi blir en naturlig samtalepartner med toppledelsen. Dersom ikke vi tar denne rollen, kan vi være sikre på at andre assurance funksjoner vil søke denne posisjonen. Tiden er derfor inne for å være offensiv i vår kommunikasjon med oppdragsgivere og toppledelse, slik at vi i tiden fremover kan bidra med merverdi også når det gjelder virksomhetens governance prosesser. Vi besitter en kompetanse og en posisjon i virksomheten som må utnyttes til virksomhetens beste, og det er opp til oss selv å markedsføre vår styrke på dette området! God sommer! Odd Anders 4 intern
Tid for verdiskapning?* Snakk med oss om hvilken type internrevisjon som oppfattes som mest verdiskapende. Gratis benchmarkanalyse Ta kontakt for en gratis og uforpliktende benchmarkanalyse av din internrevisjonsfunksjon Vi måler kostnader, ressurser og verdiskapning opp mot et sammenlignbart utvalg. Analysene er relevante for både interne og outsourcede funksjoner Kontakt: karl-ludvig.mauland@no.pwc.com, eller petra.liset@no.pwc.com www.pwc.no *connectedthinking 2009 PricewaterhouseCoopers. PricewaterhouseCoopers-navnet refererer til individuelle medlemsfirmaer tilknyttet den verdensomspennende Pricewaterhouse- Coopers-organisasjonen. *connectedthinking er et registrert varemerke for PricewaterhouseCoopers. intern 5
Ulike bransjer og ulike modeller for intern revisjon Internrevisjonen i Frelsesarmeen Knut Edvard Akselsen er internrevisor i Frelsesarmeen.Akselsen er utdannet fra Agder distriktshøgskole, Bankakademiet og Handelshøyskolen BI i operasjonell revisjon og kvalitetssikring. Han har lang erfaring som intern revisor i Kommunalbanken, Den norske Industribank AS og SND. Han har vært internrevisor i Frelsesarmeen siden 2006. Fakta om Frelsesarmeen Organisering Frelsesarmeen er den norske administrative enheten av den verdensomspennende bevegelsen The Salvation Army, som arbeider i 120 land. På denne måten er Frelsesarmeen både helnorsk og global. I 2006 utnevnte Det høye råd den britiske juristen og frelsesoffiseren Shaw Clifton til Frelsesarmeens verdensleder. Han er den 18. i rekken av menn og kvinner som etter grunnleggeren William Booth (1829-1912) har hatt tittelen general. Internasjonal ledelse Generalen holder hus ved det internasjonale hovedkvarteret i London. Herfra ledes arbeidet i de 46 administrative enhetene - territoriene - som Frelsesarmeen har delt verden inn i. Gjennom en slik samordning av ressursene håper en å kunne holde administrasjonskostnader på et minimum og ha strategisk handlefrihet til å utføre oppdraget på best mulige måte. Armeen i Norge Frelsesarmeen i Norge, Island og Færøyene er organisert i ett territorium. Spredt over denne varierte geografien finner Frelsesarmeens arbeid sted. Tre ulike land med forskjellig språk og kultur. Mange forbinder Frelsesarmeen med sosialt arbeid, som går hånd i hånd med å spre evangeliet. Frelsesarmeen har ca. 40 institusjoner, blant annet innenfor rusomsorg, barnevern og eldreomsorg, dessuten Fretex, som er Norges største attføringsbedrift og bruktkjede, og er en sentral aktør innenfor miljø og gjenvinning. Frelsesarmeen har et vell av fritidsaktiviteter å by på. Alt fra babysang, speiding, dansegrupper, fotball og innebandy, sosiale fora for foreldre til et bredt spekter av sang- og musikkgrupper. Arbeidet er i stor grad knyttet til våre oppunder 120 korps (menigheter). Ved årsskiftet hadde vi 191 offiserer i aktiv tjeneste, og ellers 2245 ansatte, hvorav 965 i ulike former for sysselsetting gjennom Fretex. Videre har Frelsesarmeen 5930 soldater, som er uniformerte medlemmer, og 1213 tilhørige (medlem i Frelsesarmeen). Rundt om i territoriet har Frelsesarmeen 200 grupper for barn og unge med til sammen ca. 8000 medlemmer. I tråd med Frelsesarmeens militære struktur bærer frelsessoldatene uniform. Den fungerer som et visittkort og er i mange sammenhenger en god kontaktskaper. Folk kommer bort for å spørre om ting de lurer på om kristen tro, forbønn eller annen hjelp. Den visker dessuten ut skillet mellom fattig og rik. Uniformen skaper også fellesskapsfølelse og gruppetilhørighet, både nasjonalt og internasjonalt. Frelsesarmeen jobber ofte i tøffe miljøer, og da kan uniformen også ha en beskyttende funksjon. Frelsesarmeen er blitt et eget trossamfunn. Den som ønsker det, kan altså ha en kirkerettslig tilhørighet i Frelsesarmeen. Med registreringen som trossamfunn fulgte vigselsrett, og en rekke offiserer er i dag godkjente vigslere. Frelsesarmeen har mange støttespillere og bidragsytere, blant annet Coop, Mester Grønn og Kavlis Allmennyttige Fond. Foto: Frelsesarmeen/Ranveig Holden Bøe. Frelsesarmeens verdier Frelsesarmeen er et mangfoldig og særpreget kristent kirkesamfunn som viser omsorg for hele mennesket. Vi tilbyr Soup, soap and salvation i ord og handling for å møte menneskelige behov. "Suppe" møter fysiske behov, "såpe" fokuserer på enkeltmenneskets verdighet, og "frelse" handler om å formidle Guds grenseløse kjærlighet. 6 intern
Ulike bransjer og ulike modeller for intern revisjon Eksempel på arbeid som Frelsesarmeen driver Om Jobben Jobben startet opp i Oslo i 2005, og er et arbeidstreningstilbud for rusavhengige i regi av Frelsesarmeen. Det viktigste formålet er å gi brukerne meningsfylte dager og å redusere behovet for rus. Brukerne møter opp om morgenen og får utdelt et oppdrag, eller de kan få faste gjøremål over en periode. Etter arbeidsdagens slutt får de utbetalt motivasjonspenger. Eksempler på arbeidsoppgaver er vedproduksjon, gartnerarbeid, matlaging og oppussing. Resultatene er oppløftende. Det er rift om å få plass, sykefraværet er betraktelig lavere enn ellers i samfunnet, og viktigst: brukerne synes selv livet blir mer innholdsrikt. Foto: Frelsesarmeen/Carina Eide Øyan Generelt om revisjon i Frelsesarmeen Interne og eksterne revisorer gir ledelsen og andre grupper bekreftelse på at Frelsesarmeen følger interne og eksterne regler. Ulike interne revisjonsaktiviteter gir ledelsen en bekreftelse på at internkontrollsystemet fungerer tilfredsstillende og i henhold til ledelsens forventninger. Sitatene nedenfor er fra brukere i Oslo og forklarer bedre enn noe annet hva Jobben betyr - Hadde det ikke vært for Jobben, hadde jeg vært drita full før klokka ti. Mange ledige timer kan være destruktivt. Jobben sørger for struktur i livet, og motiverer for eksempel til å redusere rusmisbruk. - Nå kan jeg også si at jeg skal på Jobben. Det er ikke alle som synes det er hyggelig å bli spurt om hva de driver med. Den som møter opp på Jobben, får et svar å gi. - Med Jobben har jeg avansert i livet mitt. Når selvrespekten har fått juling det meste av livet, kan det å få jobb virke som et luftslott. Gjennom Jobben kan de minst håpefulle lykkes. - Jeg bidrar i samfunnet. Jobben gjør de ansatte rakere i ryggen. De er vant til nedlatende og engstelige blikk, men i Jobben får de klapp på skulderen og rosende ord fra forbipasserende. Intern revisjon Den interne revisjonen er en del av virksomheten og skal sørge for en fortløpende oppfølging og vurdering av virksomhetens interne kontrollaktiviteter. Ekstern revisor Revisjonsfirmaet FMØ revisjon DA er Frelsesarmeens eksterne revisor. FMØ revisjon DA avgir revisjonsberetning for Frelsesarmeen som konsern og for virksomhetene i Frelsesarmeen som er revisjonspliktige. Revisorens hovedoppgave er å vurdere om årsregnskapet er utarbeidet og fastsatt i samsvar med lov og forskrifter, og om den revisjonspliktiges ledelse har oppfylt sin plikt til å sørge for ordentlig og oversiktlig registrering og dokumentasjon av regnskapsopplysninger i samsvar med lov og forskrifter. Som en forvaltningsmessig oppgave skal revisoren også se etter at den regnskapspliktige har ordnet formuesforvaltningen på en betryggende måte. Internasjonal revisjon fra hovedkontoret i London Den internasjonale revisjonen utføres fra hovedkontoret i London. Målsettingen for denne revisjonen er å yte en intern revisjonstjeneste ved å evaluere økonomisystemenes og organisasjonens kapasitet og effektivitet, samt organisasjonens strategi og forskrifter. Som en del av inspeksjonen legges det fram regnskap for alle selskap Frelsesarmeen eier i Norge. Revisjonen går ut på å: - gjennomgå og rapportere med hensyn til finansoppgaver for hovedkvarteret og andre enheter i territoriet etter behov - vurdere økonomien og bruken av ressurser - tolke utviklingstendenser og påpeke økonomisk styrke og svakhet, og å anbefale bedre styring av finansene der hvor det er nødvendig - se til at den forretningsmessige driften er i samsvar med Frelsesarmeens internasjonale prinsipper og prosedyrer - gjennomgå etablerte rutiner for å forsikre seg om at de er i samsvar med Frelsesarmeens strategi, praksis og Ordrer og regler - se til at det som iverksettes, føres til resultater som er i samsvar med målsettingen - vurdere nåværende og fremtidige strategier intern 7
Ulike bransjer og ulike modeller for intern revisjon - se til at regnskapsførselen tilfredsstiller Frelsesarmeens krav - vurdere påliteligheten og integriteten når det gjelder opplysning om både finanser og virksomhet - sjekke autorisasjoner, balanser og transaksjoner i den grad det er nødvendig for å kunne oppnå ovenstående målsettinger Organisasjonskart Hvert år sendes alle årsregnskap med revisorberetning oversatt til engelsk til Frelsesarmeens internasjonale revisjon. Den besøker territoriet hvert tredje år og gjennomgår protokoller, regnskaper, ledelsesinformasjon og andre dokumenter. Frelsesarmeens internasjonale revisjon utarbeider en revisorrapport med anbefalinger over for eksempel rutiner, forskrifter og lignende som må forbedres gradert etter om det er høy, middels eller lav risiko for Frelsesarmeen. Nærmere om den interne revisjonen i Frelsesarmeen Organisatorisk plassering av den interne revisjonen Internrevisorens nærmeste overordnede er Frelsesarmeens forvaltningssjef, og den interne revisoren er medlem av forvaltningssjefens stab. Stillingens formål Internrevisoren skal ha ansvar for Frelsesarmeens internrevisjon og påse at Frelsesarmeen har god intern kontroll med regnskapsførsel og forvaltning, og at denne er i samsvar med offentlig lovgivning og Frelsesarmeens eget regelverk og kvalitetssystem. I samarbeid med ledelsen og øvrige ansatte skal internrevisoren bidra til at virksomheten drives i samsvar med Frelsesarmeens formål. Årsplan Planen innebærer valg av revisjonsprosjekter: en risiko- og vesentlighetsvurdering ut fra Frelsesarmeens formål, strategier (inkludert omdømmerisiko). Som en del av dette kommer kortsiktig og langsiktig resultatansvar. Kortsiktig resultatansvar innebærer nødvendig, god kontakt med samarbeidspartnere og aktivt oppsøke, motta og videreformidle relevant informasjon. Det langsiktige resultatansvar er å delta i drøftinger rundt drift og utvikling av virksomheten gjennom egen kompetanse, tanker og ideer. Årsplanen angir de revisjons- og rådgivningsoppgavene som den interne revisjonen skal gjennomføre. Årsplanen, herunder dokumentasjon av årsplanprosessen, er en viktig aktivitet. Den interne revisjonen må i samarbeid med forvaltningssjefen i Frelsesarmeen velge de revisjonene som er viktigst for Frelsesarmeen i henhold til formål og strategier. De fleste prosjektene går ut på å bekrefte at internkontrollen fungerer i henhold det som blant annet er fastsatt i kvalitetssystemet til Frelsesarmeen. Eksempel på revisjoner i 2010: NR Revisjonsområde Bakgrunn for valg av revisjonsområde Når GRUPPEREGNSKAP Plan for revisjon av grupperegnskap lages Hele året Revisjon av grupperegnskap INTERN KONTROLL IR vil kunne: Innen 4. kvartal IT-SIKKERHET o Gjennomføre kontroller for å avdekke svikt i sikkerhetsarbeidet (nærmere spesifikasjon av områder vil bli gjort senere) o Bidra med kvalitetssikringsaktiviteter o Gi råd innenfor fagfeltet intern kontroll REGNSKAP Kartlegging av tjenestebiler i Frelsesarmeen Innen 2. kvartal 8 intern
Ulike bransjer og ulike modeller for intern revisjon Planen skal angi tidspunkter for gjennomføringen av oppdragene. I tillegg til årsplanen kan det gjennomføres ekstra revisjoner ad hoc når overordnede ber om det. Internrevisoren skal også bidra med bistand og råd innenfor revisjonsfaglige spørsmål. Eksempel på en slik rådgivningsoppgave kan være å bistå ledelsen i utforming av skriftlig tilbakemelding (brev) til ekstern revisor fra alle virksomhetene i Frelsesarmeen med eget styre på bakgrunn av et lovkrav som er pålagt av revisor. 1. En vurdering av risikoen for at virksomhetens regnskap kan inneholde vesentlig feilinformasjon som skyldes misligheter 2. En redegjørelse for hvilke rutiner som er etablert for å avdekke og behandle risikoen for misligheter 3. En dokumentasjon av ledelsens skriftlige kommunikasjon til de ansatte knyttet til forretningspraksis og etisk adferd Gjennomføring av revisjoner En intern revisjon består oftest av 3 faser: 1. Det lages et planleggingsnotat og en risikovurdering 2. Varsling, oppstartmøte og gjennomføring 3. Rapport/konklusjon og oppfølging. Gjennom bekreftelses- og rådgivningsoppdrag gir den interne revisjonen virksomhetsledelsen tidlige varsler, samt foreslår og følger opp viktige forbedringstiltak. Rapportering Den interne revisjonen rapporterer status på gjennomføringen til forvaltningssjefen. Det utarbeides rapporter til de virksomhetene som blir revidert. Rapport sendes revidert enhet med gjenpart til overordnet enhet. Rapportformen vil kunne variere alt etter hva som anses som hensiktsmessig. Internrevisoren skal uoppfordret rapportere om feil, misligheter og andre forhold av større negativ betydning. Internrevisoren har, når det blir vurdert som nødvendig, adgang til å rapportere direkte til Frelsesarmeens øverste ledelse. Utfordringer for Frelsesarmeen i kontrollperspektiv Omdømmeprisen I 2006 ble Frelsesarmeen tildelt Omdømmeprisen. Den blir delt ut av Synovate MMI, og bygger på undersøkelser gjort gjennom året. Hele 86 prosent av Norges befolkning har et godt inntrykk av Frelsesarmeen. Kun fem prosent har et dårlig inntrykk. Ved utdelingen ble det blant annet sagt at «Frelsesarmeen svever så høyt over at det bare er å bøye seg i støvet». Kommandør Carl Lydholm takket for prisen, og tok den også som en utfordring til å fortsette arbeidet i William Booths ånd. ele 86 prosent av Norges befolkning har et godt inn- Htrykk av Frelsesarmeen. Den interne revisjonen avlegger årsrapport om internrevisjonsarbeidet til Frelsesarmeens finansstyre (Frelsesarmeens styre). bevare dette gode omdømmet og kunne En av Frelsesarmeens utfordringer blir å fortsette sin virksomhet med å hjelpe andre. Den interne revisjonen ønsker ved hjelp av sine kontrollaktiviteter å bidra med å bevare dette gode omdømmet som Frelsesarmeen har i den norske befolkningen. intern 9
Ulike bransjer og ulike modeller for intern revisjon Restart av konsernrevisjonsordningen i Geir Larsen er konsernrevisjonssjef i Avinor. Geir ble hentet inn til Avinor høsten 2008 og jobbet tidligere en årrekke med internrevisjon og rådgiving i KPMG. Han har også praksis som IKT prosjektleder og lederstillinger i kommunesektoren. Geir har tidligere vært medlem av NIRFs konferansekomite. Geir er utdannet ved Norges Kommunal- og Sosialhøgskole og er Master of Management fra BI. Konsernrevisjonen ble re-etablert høsten 2008 og har ansvaret for internrevisjonen i Avinor AS med tilhørende datterselskaper. Hensikten med re-etableringen var å posisjonere konsernrevisjonen som en integrert del av selskapets styringsog kontrollstruktur i samsvar med god praksis. Posisjonering av konsernrevisjonen Styreleder og konsernsjef støttet fra første stund aktivt opp om konsernrevisjonen og dette bidro til en god legitimering av funksjonen. Grunnlaget for posisjoneringsaktivitetene ble innarbeidet i en enkel plan som inneholdt to kjerneaktiviteter. Planen ble godt forankret hos styre, konsernledelse og øvrige samarbeidspartnere innen konsernet. Den ene kjerneaktiviteten ble bygget rundt utarbeidelse av en førstegenerasjons risiko- og vesentlighetsbasert revisjonsplan. Planen ble knyttet opp mot selskapets strategiske mål med tilhørende styringsperspektiver og initiativ. Konsernets toppledelse bidro aktivt med å definere revisjonsprosjekter som var linket opp mot strategiske mål og initiativ. Den andre kjerneaktiviteten inneholdt et sett av posisjoneringsaktiviteter som hadde som formål å sikre gode nok revisjonsprosesser, riktig bemanning og en hensiktsmessig organisasjonsstruktur. Dele kunnskaper på tvers innen konsernet Bygge sitt arbeid på standarder fastsatt av IIA/NIRF I den interne kommunikasjonen vedrørende konsernrevisjonens plass i kontrollkjeden ble modellen the three lines of defence benyttet konsekvent i møter med styret, ledelsen, samt i samarbeid med andre kontrollinstanser og samarbeidsorganer. Fakta om Avinor AS Hvert år benytter 40 millioner passasjerer Avinors flyplasser Avinor har omkring 800 000 flybevegelser per år Cirka 3000 ansatte i selskapet Avinor er et aksjeselskap. Staten eier 100 prosent Avinor er selvfinansiert og får ingen faste statlige tilskudd Inntektene fordeles mellom trafikkinntekter fra flyselskapene og kommersiell virksomhet på flyplassene 4 av 46 flyplasser går med overskudd (OSL, Stavanger, Bergen og Trondheim) og subsidierer dermed de øvrige Lufttrafikktjenesten drives til selvkost Utgifter til security dekkes av securityavgiften AVINORS HER ER AVINOR OPPGAVER Flyplass Øvrige enheter for tårn og kontrollsentraler Svalbard/Longyer Andøya/Andenes Bardufoss Stokmarknes/Skagen Harstad-Narvik/Evenes Leknes Svolvær/Helle Værøy Røst Honningsvåg/Valan Hammerfest Hasvik Lakselv/Banak Sørkjosen Alta Tromsø Narvik/Framnes Mehamn Berlevåg Båtsfjord Vardø/Svartnes Vadsø Kirkenes/Høybuktmoen For å sikre en konsistent kommunikasjon ble det utviklet en enkel budskapsrekke i forhold til formålet med reetableringsprosessen; Sandnessjøen/Stokka Bodø/Kontrollsentral Nord Mo i Rana/Røssvoll Mosjøen/Kjærstad Brønnøysund/Brønnøy Rørvik/Ryum Konsernrevisjonen inngår i konsernets styrings- og kontrollstruktur i samsvar med god praksis. Konsernrevisjonen skal; Bekrefte ovenfor styret at risikostyringen og den interne kontroll er etablert og fungerer som forutsatt Hjelpe ledelsen på ulike nivåer til å identifisere og håndtere risikoer på en god måte Opptre uavhengig, men samtidig fremstå som en kompetent samarbeidspartner for toppledelsen og annet nøkkelpersonell Molde/Årø Ålesund/Vigra Ørsta-Volda/Hovden Sandane/Anda Florø Førde/Bringeland Sogndal/Haukåsen Bergen/Flesland Haugesund/Karmøy Stavanger/Sola Stavanger kontrollsentral Farsund/Lista Kristiansund/Kvernberget Ørland Kristiansand/Kjevik Namsos Trondheim/Værnes Røros Fagernes/Leirin Oslo/Gardermoen Avinors hovedkontor Oslo kontrollsentral, Røyken Rygge Sandefjord/Torp 10 intern
Ulike bransjer og ulike modeller for intern revisjon Konsernrevisjonen i dag Organisasjonsstruktur og bemanning Konsernrevisjonens leder rapporterer direkte til konsernstyret og revisjonsutvalget. Rapporteringsveien er fastsatt i eget mandat (internal audit charter) som styret har vedtatt. I mandatet er det også fastslått at revisjonen skal dekke Avinor AS og alle tilhørende datterselskaper. Administrativt rapporterer konsernrevisjonens leder til konsernsjefen. Revisjonen er bemannet ut fra en co-sourcingsmodell med Ernst & Young. Modellen er ikke ferdig utviklet, men hovedprinsippene er at det defineres teamledere på de aktuelle revisjonsområdene. Prosjektene bemannes i en felles prosjektadministrasjon. Konsernrevisjonen har pt en fast bemanning på tre årsverk og henter restkapasitet og spisskompetanse fra ekstern samarbeidspartner. Ressursrammene fastlegges gjennom revisjonsplan og budsjett (i nevnte rekkefølge). Fokusområder i revisjonsprosjektene Prosjektporteføljen er søkt sammensatt slik at den adresserer strategiske-, finansielle- og operasjonelle risikoområder. I praksis betyr det at det gjennomføres både myke og harde revisjonsprosjekter i løpet av året. Innenfor HR-siden har revisjonen satt fokus på strategisk kompetanseutvikling, ledelsesutvikling og etisk rammeverk. Innenfor styringsperspektiv kunder og samarbeidspartnere har revisjonen evaluert hvordan konsernet følger opp mål i forhold til samarbeid med flyselskapene. Innenfor økonomi- og finans er utforming og oppfølging av porteføljestyring av investeringer evaluert. I et stort investeringsprosjekt er risikostyringen i forprosjektfasen evaluert. Andre revisjonstemaer har vært evaluering av konsernets måloppnåelse innenfor ENØK og overholdelse av konsesjonsbetingelser forbundet med kjemikalieanvendelse på lufthavnnivå. Internrevisor Nadeem Akhtar og konsernrevisjonssjef Geir Larsen. Revisjonsplanen fastsettes av konsernstyret og følger kalenderåret. Planen oppdateres på halvårlig basis. Om lag 25 % av ressursene settes av til å møte endrede behov, nye prosjekter etter revisors egen vurdering, samt rådgivning. Rapportering enkeltprosjekter Enkeltprosjekter blir rapportert og avsluttet opp mot en definert risikoeier. Han/hun er som prinsipp alltid på stillingsnivå divisjonsdirektør eller tilsvarende. Motivasjonen for dette er å sikre tilstrekkelig høyt ledelsesmessig fokus i organisasjonen. I forbindelse med sluttrapporteringen av enkeltprosjekter gjennomføres det alltid to møter; et faktaverifiseringsmøte og et sluttrapporteringsmøte. Konsernrevisjonen legger stor vekt på faktaverifiseringsmøtet. Begrunnelsen for dette er at møtet spiller en helt sentral rolle og unik mulighet for å utvikle en felles forståelse i forhold til hvilke faktorer det er som truer målrealiseringen. I tillegg er det grunnleggende viktig å etablere en felles oppfatning om de faktiske forhold før endelig sluttrapport utarbeides. En annen viktig sideeffekt er at en faktaverifisering også virker refleksjonstriggende for ledelsen, samt at revisjonen får kvalitetssikret sine funn. Alle enkeltprosjekter blir avsluttet med et standardisert tilsvar og en formalisert underretning om at revisjonsprosjektet er avsluttet. Perioderapportering til styret Konsernrevisjonen rapporterer sine funn og vurderinger til konsernstyret per 30.06 og 31.12 (Årsrapport). I forbindelse med halvårsrapporten blir det også lagt frem en egen sak vedrørende justering av gjeldende revisjonsplan. Rapportene til styret skal fremover også inneholde status for ledelsens oppfølging av tidligere gjennomførte revisjoner. Figur: 2 Organisering av kjerneteam Co-sourcingsmodell Avinor AS har nylig besluttet å opprette et revisjonsutvalg (RU). Konsernrevisjonen har vært ansvarlig for saksforberedelser av de aktuelle styresakene som har ført frem til beslutningen. Det er ikke tatt stilling til hvordan konsernrevisjonen skal rapportere til RU med hensyn til frekvens og format. En intern 11
Ulike bransjer og ulike modeller for intern revisjon rapporteringsmodell som trolig vil bli drøftet er aggregerte kvartalsrapporter og enkeltrapporter etter revisors vurdering av kritikalitet, samt at alle enkeltrapporter gjøres tilgjengelige for RU s medlemmer. Samarbeid med ledelsen og andre interne nettverk Konsernrevisor møter i konsernledelsen i forbindelse med perioderapportering, nye planer og ved behandling av vesentlige enkelttemaer. www.avinor.no Sentralbord: 815 30 550 Besøksadresse hovedkontoret: Oslo Atrium, Christian Frederiks plass 6, 0154 OSLO Postadresse: Postboks 150 2061 Gardermoen Konsernsjefen og revisjonen møtes regelmessig etter en fastsatt møteplan. Formålet med møtene er tosidig: Revisor informerer ledelsen om vesentlige svakheter i pågående og avsluttede prosjekter, samt orienterer om revisjonens ressurssituasjon og fremdrift i arbeidet. Konsernsjefen orienterer revisjonen om vesentlige endringer som har betydning for konsernets risikoeksponering. Revisor møter den enkelte divisjonsdirektør/selskapsdirektør, og hans nøkkelmedarbeidere, fast to ganger per år. Temaene er da oppfølging av tidligere revisjoner og identifisering av nye revisjonsprosjekter. I tillegg møter revisor i den enkelte divisjons ledergruppe, samt faglige nettverk etter avtale, men minimum en gang per år. Eksempler på faglige nettverk er controller-, sikkerhets- og kvalitets-, IKT - og HR-forum. Evaluering av revisjonens arbeid Kvaliteten av konsernrevisjonens arbeid evalueres formelt på 3 nivåer. I forbindelse med gjennomføring av hvert enkelt revisjonsprosjekt gjennomføres det en standardisert evaluering. Vi stiller risikoeier fire spørsmål; totalverdi av prosjektet, kvalitet i revisjonsprosessen, kvalitet i kommunikasjonen og faglige bidrag fra eksterne deltakere. Resultatene innarbeides i Årsrapporten til styret. RU skal ha ansvar for å sikre kvaliteten og uavhengigheten til konsernrevisjonen i henhold til gitt mandat. I tillegg følger den eksterne kvalitetssikring som vil bli gjennomført i samsvar med standardene. Internrevisoren utfordret Geir Larsen på om han kunne gi tre stikkord for en vellykket etablering: - Må jeg begrense meg til tre? OK. God kommunikasjon med ledelsen, god forståelse av virksomhetsprosesser, kvalitet i revisjonsprosessen og... 12 intern
Annonse På stø endringskurs Det eneste konstante er forandring. Gjennom effektiv risikostyring og internkontroll vil endringsprosesser kunne gi de ønskede resultater. En effektiv internrevisjon kan være en sentral partner. Vi hjelper internrevisjonen med å bli en god bidragsyter. Har du spørsmål, ta kontakt med Terje Klepp eller Kjetil Kristensen på 24 00 24 00 eller besøk våre nettsider www.ey.no/advisory. intern 13
Ulike bransjer og ulike modeller for intern revisjon Samarbeidsmodell for internrevisjon i Oslo Børs VPS Reidar Døli er utdannet statsautorisert revisor og har vært ansatt som revisjonssjef i DnB og DnB NOR fra 1993-2009. Han har innehatt flere verv innen internrevisjon i Norge og satt som president for NIRF fra 2005-2007. Han ble ansatt som internrevisor konsern på Oslo Børs VPS fra august 2009. Konsernselskapene hadde på det tidspunkt avtale om outsourcing av internrevisjonen med KPMG. Denne ble erstattet med en cosourcing-avtale. Internrevisjon i Oslo Børs VPS konsernet Konsernet består av selskapene Oslo Børs, VPS, Oslo Clearing og Oslo Market Solutions under eierselskapet Oslo Børs VPS Holding ASA. Selskapene ble samlet i ett konsern høsten 2007. Konsernet tilbyr markedsplasser for notering og handel i verdipapirer, registrering av eierskap, oppgjør for verdipapirer i Norge, markedsdata og internettløsninger. Det var 277 ansatte i konsernet ved utgangen av 2009. Oslo Børs, VPS og Oslo Clearing er underlagt konsesjonsbestemmelser. For disse selskapene gjelder Finanstilsynets forskrift om risikostyring og internkontroll, hvilket medfører en plikt til å ha internrevisjon. De tre selskapene har tidligere operert med noe ulike modeller for internrevisjon, herunder intern løsning, outsourcing og cosourcing. Fra august 2009 ble det etablert en konsernfunksjon med en ansatt internrevisor. Det ble inngått en cosourcing-avtale med KPMG fra desember 2009. Utgangspunktet for en internrevisor i Oslo Børs VPS er et konsern med relativt få ansatte, men mange selskap som er underlagt bestemmelser om internrevisjon. Selskapene er rikelig regulert med egne lover, forskrifter, konsesjoner og fusjonsbestemmelser. To av selskapene har kontrollkomiteer. Det er i relativt liten grad sentraliserte funksjoner i konsernet, hvilket følger av de fusjonsvilkår som er gjort gjeldende fra myndighetenes side. IT-området er fremtredende i alle selskapene. Min rolle som internrevisor Internrevisor-rollen i dette konsernet medfører at funksjonen, planene og rapporteringen skal forankres i mange selskapers ledelse, styrer og kontrollkomiteer. Innslaget av compliance i forhold til eksterne rammevilkår er stort. Revisjon innen IT-området er dominerende. Revisjonsuniverset er omfattende ved at alle selskaper i stor grad er satt opp med et fullt spekter av avdelinger og funksjoner. Mitt arbeid i Oslo Børs VPS konsernet startet med å fastsette en stillingsinstruks. Viktige utgangspunkt var IIA standardene, Revisjonssjefkretsens anbefalte instruks for ledere av internrevisjon, og de innspill til funksjonen som ble lagt som forutsetninger ved ansettelsen. Til sist var styrene og Kontrollkomiteene aktive i forhold til å regulere innholdet før den ble fastsatt i det enkelte selskaps styre og endelig fremlagt og godkjent i holdingstyret. De instruksfestede oppgavene omfatter (i stikkords form) tilstrekkelighet og kvalitet på risikostyring og internkontroll, overholdelse av relevante lover, forskrifter og pålegg fra offentlige myndigheter, vurdere om foretakenes aktiviteter er innenfor vedtekter og andre regningslinjer gitt av generalforsamlingene og styret, forebygge og avdekke eventuelle misligheter og aktive bidrag til forbedringer i virksomheten. Parallelt med instruksen etablerte jeg en metodikk for operasjonell revisjon i Oslo Børs VPS. Dette arbeidet ble utført ved at revisjonsprosessen, slik jeg ønsket å ha den, ble satt opp steg for steg og mappet mot IIA standardene. På den måten sikret jeg etterlevelse av standardene og konsistens mellom områdene. Det ble laget standardmaler for risikoanalyser, planleggingsnotater, arbeidsprogram og rapporter. Dette arbeidet er ennå ikke helt avsluttet. Revisjonsprosessen og samarbeidsform Ikke lenge etter ansettelsen ble jeg bedt om å fastsette et kostnadsbudsjett for 2010. På det tidspunktet hadde jeg naturlig nok ikke så mye kjennskap til virksomheten i konsernet. Jeg tok derfor utgangspunkt i at totalressursene (målt i kostnader) til internrevisjon skulle ligge på omtrent samme nivå som budsjettet for 2009. Dette kronetallet ble omgjort til revisjonstimer. Jeg laget deretter et forholdstall for ressursallokering til det enkelte selskap basert på volumtall for inntekter, risikokapital og tidligere erfart 14 intern
Ulike bransjer og ulike modeller for intern revisjon ressursbehov til internrevisjon i det enkelte selskap. Mitt foreløpige forslag til ressursallokering ble diskutert med konsernledelsen. Det ble deretter gjennomført en rekke samtaler og intervjuer med ressurspersoner innen selskapene. Jeg registrerte også innspill til revisjoner fra kontrollkomiteene, styrene og ledergruppene. Dernest foretok jeg en systematisk gjennomgang av selskapenes egen evaluering av sin risikostyrings- og internkontroll-situasjon slik den var dokumentert i siste rapportering. På denne bakgrunn ble det laget et forslag til plan. Forslaget ble fremlagt og diskutert med administrerende direktør i det enkelte selskap før den ble fremmet for uttalelse i de respektive ledergruppene. Til slutt ble planen fremlagt og godkjent i de enkelte selskapsstyrene før den ble endelig godkjent i styret i holdingselskapet. Før fremleggelsen i de enkelte styrer ble planene diskutert med min faste kontaktperson hos den eksterne leverandøren. KPMG kunne i den sammenheng bidra ut fra sin erfaring som tidligere internrevisor i konsernet og ut fra sin bransjekompetanse. Internrevisor hadde da på forhånd foretatt en vurdering av hvilke oppdrag hvor det var ønskelig med deltakelse fra ekstern leverandør. Det ble satt opp et budsjett for disse kostnadene som inngikk i den planen som ble godkjent i styret. På dette stadiet ble det ikke tatt konkret stilling til hvilke personer som skulle delta på de enkelte oppdrag fra KPMGs side. Den godkjente årsplanen for 2010 inneholder 16 revisjonsoppdrag. 8 av disse er planlagt gjennomført i samarbeid med KPMG. De resterende gjennomføres i regi av internrevisor. KPMG ble etter at planen var fastsatt igjen involvert for å finne den best egnede kompetansen til hvert enkelt oppdrag. Det er da en fordel å drive planlegging som strekker seg langt frem i tid, gjerne et halvt år av gangen slik at ressurstilgangen sikres. I planleggingsfasen av det enkelte oppdrag legger jeg stor vekt på å fastsette angrepsvinkel og scope for revisjonen. Det brukes relativt mye av den totalt planlagte tid på å komme frem til en spesifikk risikovurdering. Hver revisjon skal være spesielt tilpasset risikosituasjonen på det enkelte området, og det settes mye inn på å finne svar på de spørsmål som er aller mest betydningsfulle for oppdragsgiverne. Arbeidet baserer seg m.a.o. i liten grad på standard sjekklister og standard programmer. Hvert oppdrag blir unikt. Planleggingen baserer seg på intervjuer og gjennomgang av dokumentasjon og analyser og diskusjoner internt i revisjonsteamet. Internrevisor konsern skriver revisjonsplanen og revisjonsprogrammet, noen ganger i samme dokument. I gjennomføringen av revisjonen er det internrevisor konsern som er ansvarlig for alt det administrative som tilrettelegging av møte- og arbeidsrom, avtaler om intervjuer og tilgang til dokumentasjon. Intervjuene gjennomføres gjerne ved deltakelse både fra internrevisor og KPMG. Ansvaret for gjennomføring av revisjonstester og dokumentgjennomganger blir delt mellom internrevisor og KPMG. KPMG ressursene deltar da på oppdraget innenfor den timerammen som er avtalt og bidrar først og fremst på de områder hvor de har spesialkompetanse. Skriving av arbeidspapirer, observasjoner og konklusjoner gjennomføres enten av internrevisor eller KPMG. Oslo Børs VPS sin metodikk for operasjonell revisjon legges til grunn. Internrevisor konsern tar seg av alt arbeidet med revisjonsrapporten. Kvalitetssikring gjennomføres av KPMG. De deltar også i presentasjonen av revisjonsresultatene for ledelsen i selskapene. I Oslo Børs VPS blir rapportene forelagt i sin helhet for det aktuelle styret. I Holdingstyret presenteres en rapportoversikt per kvartal. Styrepresentasjonene har hovedsakelig internrevisor konsern forestått. Oppfølging av selskapenes implementering av tiltak som følge av revisjoner er tillagt det enkelte selskap. Tiltakene meldes inn i en database, og det er selskapets ansvar å følge opp implementeringen. Internrevisor konsern påser at implementering skjer. All annen deltakelse i ledermøter og andre lederfora, styremøter og møter i kontrollkomiteen ivaretas av internrevisor konsern. Revisjonsmodellen noen momenter Jeg mener at den løsning som er valgt for Oslo Børs VPS er en god løsning fordi den har med seg både en nærhet til organisasjonen og det tilfang av kompetanse som er nødvendig. I stedet for å føre opp fordeler og ulemper vil jeg derfor heller vinkle det i form av momenter som jeg mener bør veie inn ved valg av løsning, og min vurdering må nødvendigvis bli noe subjektiv. Mine erfaringer baserer seg ikke utelukkende på KPMG, siden jeg har erfaring fra tidligere når det gjelder samarbeid med eksterne leverandører. Jeg benytter derfor i dette avsnittet benevnelsen ekstern leverandør, og mener det generelt og ikke KPMG spesielt. En ansatt internrevisor vil etter hvert få svært god kjennskap og forståelse for virksomheten. Selskapets indre liv, de verdier selskapet er drevet etter, historien i selskapet, organisasjonen, beslutningsstruktur, styring og kontroll, kort sagt den organisasjonskultur som gjelder vil internrevisor få godt innunder huden. Denne informasjonen er ofte i liten grad nedtegnet. Det er svært verdifull kunnskap i forhold til prioritering av hvilke aktiviteter det bør legges opp til i en årsplan, hvilke kontaktpersoner som er viktige, når revisjonene best lar seg gjennomføre, hva som er blitt gjort tidligere osv. Denne informasjonen er også svært viktig i forhold til å sette opp tiltak som er effektive i organisasjonen. Alle som skal fungere godt i en jobb har behov for å ha gode kollegaer rundt seg. Når internrevisjonen er en enmanns- eller fåmannsfunksjon er det selvfølgelig en fare for at man blir for kollegial, og at det kan utfordre den objektivitet som en internrevisor er avhengig av å utvise. intern 15
Ulike bransjer og ulike modeller for intern revisjon Det kan kompenseres ved at man, slik som i mitt tilfelle, sitter sammen med og rent administrativt tilhører økonomi og administrasjonsavdelingen, som revisjonsmessig i stor grad ligger utenfor mitt revisjonsmandat. en god mulighet til å sammenligne resultater på tvers. Standardprogram og sjekklister utviklet av eksterne leverandører for å kontrollere overholdelse av en lov eller forskrift av typen overholdelse av IKT forskriften, kan også være rasjonelle verktøy. Kostnadsspørsmålet vil alltid være til stede. Alle vi som er innenfor bransjen vil selvfølgelig hevde at vi er et profittsenter, det er bare vanskelig å måle inntektssiden av det vi gjør. Når det samtidig er vanskelig å fastsette mengden av det arbeid vi må gjennomføre for å tilfredsstille de krav som er satt til oss, blir vi forvist til å måle kostnader mellom år eller i forhold til mer eller mindre sammenlignbare selskaper. Det er hevet over tvil at kostnaden per time revisjon for en ansatt internrevisor er vesentlig lavere enn kostnaden for tilsvarende tjeneste fra en ekstern leverandør. På den annen side representerer en ansettelse en langsiktig avtale kontra den oppsigelighet man har ved eksterne ressurser. Arbeidet med årsplanen for internrevisjon er for meg en kombinasjon av bottom upog top down-tilnærming. Som ansatt internrevisor får jeg ubegrenset tilgang til all informasjon innen konsernet og får etterhvert god dybdekunnskap når det gjelder de vesentligste prosessene. Det er også god tilgang til verdifull informasjon av strategisk art. Jeg deltar på allmøter, i ulike fagfora som observator og blir invitert sammen med styret på strategisamlinger. Utgangspunktet for å lage en årsplan som treffer revisjonsbehovet er godt. Det tilsvarende arbeidet for en ekstern leverandør risikerer å få preg av en utenfra og inn tilnærming, hvor det er den eksterne leverandørens behov for å levere som blir førende, og ikke organisasjonens behov for revisjonstjenester på de mest utsatte områder. Jeg har instruksfestet en plikt til å gjennomføre ad hoc oppdrag, selvfølgelig alltid på oppdrag fra styret, men også i spesielle tilfeller på oppdrag fra konsernsjefen. En ansatt internrevisor opererer fleksibelt, og denne typen oppdrag kan settes i gang på kort varsel. Rent praktisk faller det lettere for en internt ansatt revisor å få tilgang til nøkkelpersoner og dokumenter. Ekstern leverandøren har det fortrinn at den besitter spesialisert fagkompetanse på mange områder. En kategori interessante tjenester er spørreundersøkelser av typen etikkundersøkelser. Der vil den eksterne leverandøren dra nytte av at kostnaden med å utvikle denne typen undersøkelser kan deles på mange kunder. Det gir også 16 intern Den eksterne leverandør av revisjonstjenester stiller alltid med sitt eget format på revisjonsrapportene. Rapportstandarden er alltid svært korrekt mht overholdelse av det rent revisjonsfaglige med oversikt over iboende risikoer, kompenserende kontroller, restrisiko, ledelsens forhold til risiko osv. Dette kan fungere godt i enkelte selskaper. I andre selskaper kan det være at man er mest opptatt av å få budskapet fremlagt på godt norsk og skrevet rett frem, hva er bra, hva er ikke så bra og hva må vi gjøre med det. En ansatt internrevisor vil i større grad ha mulighet til å tilpasse sin skriftlige kommunikasjon til selskapets form og derved lettere nå gjennom med sitt budskap. Min erfaring er at one-page report med mange illustrasjoner og skriftstørrelse 8 betinger at leseren har både revisorutdannelse og gode lesebriller. En viktig del av internrevisors jobb er å identifisere endringer i risikobildet, for i neste omgang å vurdere endringer i revisjonsplanen. Det er enklere for en ansatt internrevisor å følge med og registrere endringer i risikobildet internt i organisasjonen. På samme måte har den eksterne leverandøren bedre mulighet for å registrere endringer i risikobildet på makronivå. Utviklingen over tid Jeg har fulgt utviklingen innen internrevisjon i Norge, og da spesielt innen finansnæringen, nå i snart 20 år. Den gang hadde de fleste innsett at skillet mellom internkontroll og internrevisjon var etablert, men mange hadde nok av ulike årsaker et ben i begge leire i lang tid etter dette. Revisjonsfunksjoner ble sentralisert til større miljøer, og det ble etablert klarere kompetansestrukturer. Internkontroll-forskriften kom med krav om internrevisjon fra 2003. Utvilklingen har gått i retning av mer fagspesialisering innen internrevisjonen og sterkere myndighetsregulering på området. I løpet av denne perioden er det mitt inntrykk at utviklingen har gått fra en løsning med egen ansatt internrevisjon til en outsourcet/cosourcet løsning snarere enn den andre veien. n viktig del av internrevisors jobb er å identifisere endringer i risikobildet, for i neste omgang å Evurdere endringer i revisjonsplanen. Hvordan det blir fremover avhenger av hvilken løsning som bidrar best til verdiskapning. Intern-løsningen har fordelen av nærhet til organisasjonen og lavere timekostnader. Ekstern-løsningen har fordelen av tilgang til et spekter av kompetanse og en fleksibel tilpasning av ressursene i forhold til behov. I begge løsninger er man avhengig av gode relasjons- og kommunikasjonsferdigheter for å få modellen til å fungere.
Annonse NIRF har gleden av å kunne tilby COSOs nye veiledning «Guidance on Monitoring Internal Control Systems» i norsk språkdrakt «Veiledning i oppfølging av internkontroll» Internkontroll Et integrert rammeverk Veiledning i oppfølging av internkontroll Del I: Veiledning I 1992 utga Committee of Sponsoring Organizations of the Treadway Commission (COSO) «Internal control Integrated Framework». Hensikten var å hjelpe foretak og andre virksomheter med å evaluere og forbedre sine systemer for internkontroll. Rammeverket har siden blitt innarbeidet i retningslinjer og regelverk, og brukt av tusenvis av virksomheter for å oppnå bedre kontroll med aktivitetene i deres streben etter å nå sine målsettinger. I januar 2009 utga COSO en ny veiledning, «Guidance on Monitoring Internal Control Systems», som skal klargjøre oppfølgingsdelen av internkontroll og gi veiledning på hvordan organisasjoner kan gjennomføre en målrettet og effektiv oppfølging. NIRF har også denne gangen besluttet å oversette veiledningen til norsk som en service til våre medlemmer og andre interesserte. Vi håper at oversettelsen til norsk språkdrakt vil gjøre veiledningen mer tilgjengelig og bli et nyttig verktøy for organisasjoner i Norge. «Veiledning i oppfølging av internkontroll» består av tre deler: oppfølging Del 1 «Veiledning» gir en kortfattet gjennomgang av kjerneprinsippene i COSOs oppfølgingskomponent. Del 2 «Anvendelse» gir en mer detaljert beskrivelse av prinsippene i del 1. Del 3 «Eksempler» inneholder eksempler fra organisasjoner som har rutiner for oppfølging i samsvar med veiledningen. De tre delene som utgjør den norske oversettelsen selges samlet til NIRF-medlemmer for kr 500* (ikke-medlemmer kr 550*). * Porto og ekspedisjonsgebyr kommer i tillegg. Bestilling den norske utgaven på våre nettsider www.nirf.org eller ring 932 37 912 for mer informasjon. intern 17
Ulike bransjer og ulike modeller for intern revisjon Organisering av internrevisjonsfunksjonen Denne artikkelen presenterer de vanligste organisasjonsformene som benyttes for internrevisjon, og drøfter fordeler og ulemper i forhold til karakteristika som kjennetegner gode internrevisjonsfunksjoner. Karl-Ludvig Mauland er statsautorisert revisor og Director i PricewaterhouseCoopers. Karl-Ludvig har 11 års erfaring som revisor og rådgiver, og er leder for Internrevisjonstjenester i PwC. Eli Moe-Helgesen er statsautorisert revisor og partner i PricewaterhouseCoopers. Eli har 20 års erfaring som revisor og rådgiver, og er leder av PwC forretningsområde innenfor Governance, Risk and Compliance, en gruppe som jobber med prosjekter blant annet relatert til virksomhetsstyring, internkontroll, IT-revisjon, internrevisjon og risikostyring. De vanligste organisasjonsmodellene Organiseringen av internrevisjonen har mange forskjellige former fra å ha alle internrevisjonsressurser ansatt internt, til å hente alle ressurser eksternt. Det vanligste i Norge i dag er å ha en overvekt av internrevisorer ansatt i virksomheten. I denne enden av skalaen finnes det enkelte som henter all sin internrevisjonskompetanse fra egne ansatte. Det andre ytterpunktet er å hente all kompetanse hos eksterne leverandører av internrevisjonstjenester, i det videre omtalt som kompetansehus. Organisasjonsmodellene illustreres i følgende figur: Forventningene til internrevisor Internrevisor møter stadig økte forventninger. Fra å være en typisk bekreftelsesfunksjon som skal bidra til å sikre verdier i virksomheten, går utviklingen mot at internrevisor også må levere et større bidrag til å skape verdier. I 2010 State of the Internal Audit Profession Study (PricewaterhouseCoopers), som er en global undersøkelse der mer enn 2000 internrevisjonsledere har svart, identifiseres det 8 attributter som definerer en effektiv internrevisjonsfunksjon. Attributtene er gjengitt i modellen over til høyre. Vi vil i det følgende drøfte hvordan ulike organisasjonsmodeller påvirker de ulike attributtene. Virksomhetsforståelse og risikofokus Inngående forståelse av mål, strategi og verdidrivere i virksomheten i tillegg til bransjekompetanse er grunnleggende viktig for å kunne identifisere risiko. Internrevisjonen må se det totale bildet og sammenhengen mellom verdidrivende aktiviteter, strategi og verdiutvikling for å kunne vurdere risiko. Dette fordrer at internrevisjonen lever tett på virksomheten, og har god oversikt over bransjen. En intern avdeling vil ha et enklere utgangspunkt enn en ekstern samarbeidspartner i forhold til nærhet til virksomheten. Internt ansatte internrevisorer er en del av organisasjonen og har lettere tilgang på informasjon om beslutninger og hendelser. På den annen side har kompetansehusene erfaring fra flere sammenlignbare virksomheter, noe som gir en bred sammenligningsbase, og økt bransjeforståelse. Servicekultur og ivaretakelse av interessentene For å ha gjennomslagskraft i organisasjonen må internrevisjonen fokusere på det som gir verdi for interessentene, og være troverdig på at han eller hun virkelig kan bidra. Troverdigheten styrkes gjennom at internrevisor eksponeres bredt mot interessentene, kommuniserer ofte og godt, og synliggjør bidragene internrevisjonen skaper. Det er vanskelig å definere noen klare skiller mellom en intern avdeling og et 18 intern
Ulike bransjer og ulike modeller for intern revisjon kompetansehus på dette området, men en intern avdeling vil også her dra fordel av nærheten til organisasjonen. Samtidig vil kompetansehusene være troverdige gjennom at de representerer et bredt spekter av spesialist- og bransjekompetanse. Kostnadseffektivitet Fokuset på kostnader i virksomhetene medfører at også internrevisjonen må ha effektive prosesser og fleksible løsninger. Her vil kompetansehusene ha et godt utgangspunkt ved at alle kostnadene er variable, og man kan enkelt justere ressurspådraget til det eksisterende behovet. Man utnytter også hver time direkte inn i internrevisjonsarbeidet ved at personaladministrasjon, kompetanseutvikling, ferie og annet fravær ligger utenfor virksomheten. Samtidig vil timeprisen som regel være høyere for en medarbeider ansatt i et kompetansehus. Talentutvikling En verdiskapende internrevisjon krever kompetanse i mange dimensjoner. Internrevisjonen må rekruttere, utvikle og beholde talenter som behersker revisjonsfaget, bransjen, kommunikasjon og ekspertise innen en rekke forskjellige fagområder. Her vil kompetansehusene ha en fordel fordi kunnskapsbygging er deres kjernevirksomhet. Disse tjenesteleverandørene lever av å tilby riktig kompetanse og vil til enhver tid ha et stort utvalg av medarbeidere å velge fra. Interne avdelinger sliter ofte med å rekruttere og behold talentene. I tillegg vil en intern avdeling sjelden ha kritisk masse til å dekke alle nødvendige kompetanseområder. Kvalitet og innovasjon Det er viktig at internrevisjonen har rutiner som sørger for at kvaliteten i internrevisjonsarbeidet overvåkes. I tillegg bør man ha systemer som sørger for kontinuerlig innovasjon og forbedringer i prosessene. På dette området vil det være små forskjeller mellom interne avdelinger og kompetanse hus. Det er ikke sofistikerte systemer som kreves, men et løpende fokus fra internrevisjonslederens side. Teknologi og verktøy Effektiv bruk av tilgjengelig teknologi og verktøy muliggjør mer effektive internrevisjonsprosesser. Og gir internrevisjonen mulighet til å svare på økende kostnadspress. Det lanseres stadig nye hjelpemidler for å understøtte revisjonsprosessene. Nye verktøy for prosessforbedring, dataanalyse og kontinuerlig revisjon er eksempler på markedet. En intern avdeling vil sjelden ha kritisk masse til å utvikle og tilpasse verktøy. Det er også krevende å holde seg oppdatert på hva som tilbys. Kompetansehusene lever av denne typen utvikling og har store organisasjoner som arbeider kontinuerlig med lansering og opplæring innen dette. Konklusjon Det er ingen klare svar på hva som er riktig løsning. Faktorer som virksomhetens størrelse, kompleksitet, geografisk spredning og andre særegenheter spiller inn. Likevel ser man noen trender i markedet. Ensartede og mindre virksomheter tenderer mot å ha en overvekt av internt ansatte internrevisorer. Vi ser da bort fra virksomheter der behovet for internrevisjonsressurser er mindre enn ett årsverk. Da fylles som regel rollen av et kompetansehus. Større og mer komplekse virksomheter har et større innslag av kompetansehus, og trendene går mot at kompetansehusene fyller an stadig større del av funksjonen. Finanstilsynet uttaler i sitt tematilsyn 2005, Rapport (Fellesdel) fra tematilsyn i 1. tertial 2005 Kredittilsynets vurdering av internrevisjonsfunksjonen i 12 større finansinstitusjoner (Kredittilsynet 2005) at Kredittilsynet vil ikke anbefale alternative løsninger, men vil likevel vise til at blant argumentene for en løsning basert på co-sourcing synes å være at institusjonen beholder en del av de fordeler en intern internrevisjon gir, som f.eks. kontinuitet og kjennskap til egen organisasjon. Samtidig hevdes bl.a. at man oppnår større fleksibilitet og effektivitet i revisjonsarbeidet, og bedre tar vare på den ekspertise som kjøpes eksternt ved kompetanseoverføring gjennom samarbeid mellom egne og eksterne revisjonsmedarbeidere. Vår anbefaling er at man kombinerer det beste fra to verdener. Det kan være en fordel å ha internt ansatte som er tett på organisasjonen, og kontinuerlig følger driften. Samtidig kan kompetansehusene bidra med fleksibilitet i ressursbruk, spesialistkompetanse og geografisk tilstedeværelse. intern 19
Ulike bransjer og ulike modeller for intern revisjon Outsourcing, co-sourcing et intervju med Kjetil Kristensen, Ernst & Young Kjetil Kristensen, statsautorisert revisor og partner i Ernst & Young. fysisk. Det vil si at det er en sammenheng mellom tallet og det jeg ser etc. For meg har det ikke bare vært tall på et stykke papir. I finans og asset management har jeg lært meg intern kontroll tankegangen, hva må være på plass for at vi vet at ting fungerer optimalt. Etter hvert jobbet jeg mer med ulike prosjekter som hadde med operasjonelle prosesser å gjøre enn finansregnskapet. Min interesse skiftet slik at jeg har havnet som en leder for en avdeling som kun driver med operasjonell revisjon og risikostyring. Kjetil Kristensen har sin bakgrunn først som registrert og siden som statsautorisert revisor. Han forteller om at han trivdes med finansielle revisjon og tall. Så kom hans første erfaringer i intern revisjon i SR-Bank der hans daværende arbeidsgiver Arthur Andersen hadde tatt på seg en rolle som konsulent for å utføre utvidede kontrollhandlinger. Dette var spesielt rettet mot compliance-gjennomgang av kredittområdet. Der ble hans interesse for rutiner, intern kontroll og bankbransjen vakt. Siden har denne interessen bare vokst slik at han i dag vier all sin tid til Risikostyring og intern revisjon. Han er partner og leder for en avdeling med samme navn i Ernst & Young. Interessant nok har han også rukket å tilbringe en periode i Sør Afrika og arbeidet der med intern revisjon og risikostyring i asset management selskaper og bank. in erfaring med Afrika var at det var enten 0 eller 1. Det vil si enten så har du Mkontroll eller så har du ingen kontroll. Det kan ikke være mange nordmenn med erfaring fra å arbeide med intern revisjon i Afrika så jeg må først spørre - hvordan opplevde du det og hva var forskjellen mellom Afrika og her? Min erfaring med Afrika var at det var enten 0 eller 1. Det vil si enten så har du kontroll eller så har du ingen kontroll. Det er mye mer kulturell diversifisering der nede. Det er mange ansatte i bedriftene som ikke har så mye, men, de ser at bedriften har mye, derfor må du har et helt annet forhold til intern kontroll. Virksomheter der var opptatt av viktigheten av å innføre intern kontroll og risikostyring i selskapene samt ikke minst å investere i intern revisjon. Hvordan opplevde du selv overgang fra finansiell til operasjonell revisjon? Selv om jeg har en bakgrunn som var veldig regnskapsteknisk rettet har jeg alltid tenkt prosess. For eksempel når jeg har sett et tall for varelager i en balanse har jeg tenkt på hvor er varene Hva opplever du som den største forskjellen mellom å utføre finansiell revisjon contra intern (og operasjonell) revisjon? En stor forskjell synes jeg er at vi som interne revisorer må kunne komme med klare meldinger. Vi benytter trafikklysfargene i forbindelse med vår rapportering for å synliggjøre grad av alvorlighet. Finansiell revisjon har tendenser til å pakke inn sine konklusjoner og vurderinger og har en standardisert form for rapport, revisjonsberetningen. Revisjonsberetning er ikke enkelt å forstå rekkevidden av for de som ikke har fagbakgrunnen. Jeg merker at de som er i våre team fra finansiell revisjons bakgrunn må gjennomgå en viss omskolering, så fremt det ikke er snakk om rene compliance-oppgaver. Vi fokuserer mest på operasjonelle prosesser og ikke regnskapsrettede prosesser. Hvis du tror at fordi vi kommer fra et stort revisjonsfirma at medlemmer i våre revisjonsteam utelukkende finansielle revisorer må jeg nok skuffe deg. Kun ca 30% av deltakerne i våre team har finansiell revisjons bakgrunn. Det er godt å ha en grunnstamme av kollegaer som kan revisjonsmetodikk og har regnskapskompetanse, men, i tillegg trenger vi, for å kunne gjennomgå våre kunders risikoer, personer med dypere risikoforståelse, prosessforståelse, intern kontroll kompetanse og industrikompetanse. Vi må revidere de områder hvor våre kunder har de største risikoeksponeringene. Det være seg IT, kreditt, anskaffelse, humankapital, prosjekt, forsikring, regulatoriske krav etc. Det er spisskompetanse våre kunder etterspør. Vi vil da kunne sette sammen internrevisjonsteam med en tung og bred fagkompetanse som dekker det risikounivers selskapet har. 20 intern