UTREDNING OM INTERNREVISJON OG INNFØRING AV KRAV OM SLIKE FUNKSJONER I FINANSNÆRINGEN. Kredittilsynet juni 2002

UTREDNING OM INTERNREVISJON OG INNFØRING AV KRAV OM SLIKE FUNKSJONER I FINANSNÆRINGEN Kredittilsynet juni 2002 1

1. INNLEDNING... 4 2. INTERNKONTROLLENS BETYDNING... 6 2.1 ØKT BEVISSTHET VEDRØRENDE INTERNKONT ROLL...6 2.2 INTERNREVISJONENS ROLLE...8 3. HVA ER INTERNREVISJON? - NÆRMERE BESKRIVELSE AV FORMÅL OG ROLLE.. 9 3.1 INNLEDNING...9 3.2 FORMÅL, DEFINISJON OG INNHOLD...9 3.3 KOMPETANSE...11 3.4 ORGANISERING...11 4. INTERNREVISJONENS UTVIKLING OG ROLLE I FINANSSEKTOREN...12 4.1 OM REVISJON I NORSKE BANKLOVER...12 4.2 BANKINSPEKSJONENS REVISJONSFORSKRIFTER...13 4.3 UTVIKLING AV SYSTEMATISK OPERASJONELL REVISJON...15 4.4 INTERNREVISJON I NORSKE FINANSFORETAK I DAG...16 5. UTVIKLINGEN I DEN OPERASJONELLE RISIKO OG BEHOVET FOR INTERNREVISJON I FINANSSEKTOREN...18 5.1 INNLEDNING...18 5.2 STORE OG KOMPLISERTE ORGANISASJONER...18 5.3 HYPPIGE ORGANISASJONSENDRINGER...18 5.4 MARKEDSUTVIKLINGEN...19 5.5 PRODUKTUTVIKLINGEN...19 5.6 DEN TEKNOLOGISKE UTVI KLING...19 5.7 MINDRE MARGINER FOR Å MØTE UFORUTSETTE RISIKOER...20 5.8 SVIKTENDE FORRETNINGSETIKK...20 5.9 ØKONOMISK KRIMINALITET...20 5.10 SAMFUNNETS BEHOV FOR TRYGGE FINANSINSTITUSJONER...21 5.11 MYNDIGHETENES OVERVÅKING, HERUNDER ENDRET KAPITALDEKNINGSREGELVERK...21 5.12 KONKLUSJON...22 6. KRAV OM INTERNREVISJON I ANDRE LAND, HERUNDER ANBEFALINGER FRA BAS EL-KOMITEEN...23 6.1 INNLEDNING...23 6.2 EUROPEAN MONETARY INSTITUTE...23 6.3 BASEL-KOMITEEN...23 6.4 REGULERING AV INTERNREVISJON I ANDRE LAND...25 6.4.1 Belgia...25 6.4.2 Canada...26 6.4.3 Danmark...26 6.4.4 Frankrike...27 6.4.5 Luxemburg...27 6.4.6 Nederland...29 6.4.7 Strbritannia...29 6.4.8 Sverige...29 6.4.9 Tyskland...30 6.4.10 USA...31 7. VURDERING AV INNFØRING AV KRAV OM INTERNREVISJON I FINANSNÆRINGEN 32 7.1 INNLEDNING...32 7.2 NÆRMERE OM HVA INTERNREVISJONEN I PRAKSIS KAN BIDRA MED...32 7.3 DRØFTING AV BEHOVET FOR Å INNFØRE KRAV OM INTERNREVISJON...33 7.4 HVILKE INSTITUSJONSTYPER BØR KRAVET EVENTUELT GJELDE FOR?...36 2

7.5 HVILKE KRAV BØR STILLES TIL INTERNREVISJONEN?...38 7.5.1 Internrevisjnens rganisering...38 7.5.2 Internrevisjnens frmål...39 7.5.3 Internrevisjnens arbeidspplegg...40 7.5.4 Internrevisrenes kmpetanse...40 7.5.5 Internrevisjnens ressurser...41 7.5.6 Internrevisjnens rapprtering...42 7.5.7 Spørsmålet m revisjnskmiteer...42 8. NÆRMERE OM UTSETTING (OUTSOURCING) AV INTERNREVISJONEN...44 8.1 BØR INTERNREVISJONEN KUNNE SETTES UT?...44 8.2 KAN INTERNREVISJONEN UTSETTES TIL FORETAKETS EKSTERNE REVISOR?...46 8.2.1 Prblemstilling...46 8.2.2 Frhldet til nrsk lvgivning...47 8.3 VEDRØRENDE EKSTERN REVISORS MULIGHET TIL Å IVARETA INTERNREVISJONSOPPGAVER SOM STYRES AV FORETAKET SELV...49 9. FORSLAG TIL REGLER OM INTERNREVISJON...48 10. ØKONOMISKE OG ADMINISTRATIVE KONSEKVENSER...54 3

1. Innledning Kredittilsynet legger i sitt tilsynsarbeid str vekt på enkeltinstitusjnenes betydning fr finansmarkedets stabilitet, funksjnsdyktighet g virkemåte. Frhld sm berører institusjnenes sliditet g internkntrll er de mråder sm vies størst ppmerksmhet. Et viktig element i institusjnenes interne kntrllpplegg er internrevisjn. Flere land har innført krav m at internrevisjn skal være bligatrisk fr kredittinstitusjner, g Baselkmiteen har anbefalt at internrevisjnsfunksjner bør etableres fr banker. På denne bakgrunn er det fretatt en utredning m internrevisjn g behvet fr eventuelt å innføre krav m slike funksjner i finansnæringen gså i Nrge. Enkelte krte definisjner av betydning fr bedre frståelse av utredningen Disse definisjner er inntatt av hensyn til lesere av utredningen sm ikke er så kjent med kntrllterminlgien. Utredningen vil utdype begrepene. Frretningsrisik g perasjnell risik Risik gir uttrykk fr mulighetene fr at ne kan gå annerledes enn frutsatt. Frretningsrisikene mfatter de risiker sm er en knsekvens av virksmheten g prduktene (kredittrisik, renterisik, valutarisik), mens perasjnell risik henspeiler på de muligheter sm freligger fr at rutiner g systemer ikke er tilstrekkelige eller at de etablerte rutiner svikter. Intern kntrll Den mest benyttede definisjn på intern kntrll er den definisjn sm The Institute f Internal Auditrs bl.a. har adptert, g sm ble lansert gjennm den såkalte COSO-rapprten (Cmmittee f Spnsring Organisatins f the Treadway Cmmissin, 1992): Intern kntrll defineres i videste frstand sm en prsess, iscenesatt g gjennmført av fretakets styre, leelse g ansatte. Den utfrmes fr å gi rimelig sikkerhet vedrørende målppnåelse innenfølgende mråder: Målrettet g efektiv drift Pålitelig ekstern regnskapsrapprtering Overhldelse av gjeldende lver g regler. Intern kntrll er dermed de sikringstiltak fretaket gjennmfører fr å sikre at det når sine mål på en frsvarlig måte. Dette kan være alt fra rganisasjnspplegg g kmpetansppbygging hs de ansatte til knkrete elementer av manuell eller teknisk art i de perative rutinene. Det er styrets ansvar å påse at det etableres en tilstrekkelig sikkerhet, mens det er administrerende leders ansvar både å sette i verk g sørge fr at disse tiltakene funksjnerer sm lv g styret frutsetter, g at de er tilstrekkelige i frhld til lv g den sikkerhet styret frventer. Intern revisjn 4

Intern revisjn er vurdering g testing av den interne kntrll under styrets ledelse g sm ledd i dettes vervåkingsansvar. Nrmalt vil dette være vurdering g testing av fretakets interne kntrll (perasjnell revisjn), men kan i nen tilfeller gså være verprøving av årsppgjøret (finansiell revisjn). Ordet intern innebærer nødvendigvis ikke at revisrene er ansatt i fretaket. Det legges vekt på at den interne revisr utfører revisjnsppgaver fr ledelsen g /eller styret (intern ppdragsgiver), mens de valgte revisrer utførte sin funksjn på vegne av eiere g bankens mverden (ekstern ppdragsgiver). Begrepene finansiell g perasjnell revisjn Finansiell revisjn benyttes hvedsakelig fr den valgte revisrs lvbestemte bekrefteftelse av den øknmiske infrmasjn sm fretakene gir i sine ffentliggjrte årsppgjør. Også den interne revisr kan utføre finansiell revisjn, men ppdragsgiver er da ledelse g/eller styret. Operasjnell revisjn mfatter vervåkingsppgaver sm den interne revisr ivaretar fr fretakenes ledelse når det gjelder rganisasjnens verhldelse av eksterne g interne bestemmelser, samt vurdering av m driften er frsvarlig g målrettet, - g til en viss grad m den er hensiktsmessig. 5

2. Internkntrllens betydning 2.1 Økt bevissthet vedrørende internkntrll Finansnæringen har vært rammet av flere kriser i enkeltinstitusjner. Mange av prblemene har vært knyttet til menneskelig svikt g mangler ved den interne kntrll. Bankkrisen i begynnelsen av 90-årene i sin alminnelighet kan trekkes frem, men i tillegg er det flere institusjner sm har gått verende eller fått prblemer sm følge av enkeltstående hendelser på grunn av svikt hs ledelse g/eller i interne kntrllmekanismer. I Nrge er DnC s tap sm følge av P Heckers skjulte aksjepster,g Bærum Kmmunale Pensjnskasses tap på derivater eksempler på dette. Internasjnalt kan nevnes stre knkurser i Bank f Credit and Cmmerce (BCCI), Barings Brthers g helt nylig, stre tap i Allied Irish Bank (AIB) sm følge av at en megler skjulte psisjner på handel i renteinstrumenter. Svikt i sentrale deler av den interne kntrll var en av de viktigste frklaringer bak hendelsene. Den såkalte«cadbury Cmmissin», sm ble nedsatt i Strbritannia på begynnelsen av 90- tallet, uttalte f.eks: «If yu lk at all the failures f quted cmpanies in the past, they have all been failures f internal cntrl» Kmmisjnens mandat var å utrede de finansielle aspekter vedr styring g intern kntrll ( crprate gvernance ) i fretak. Den såkalte Cadbury-rapprten (1993) er i Strbritannia et viktig dkument hva gjelder styrets g ledelsens ansvar fr den interne kntrll, g hva sm frventes av dem i denne frbindelse. Tilsvarende ble det i USA gjennmført en studie mkring internkntrll av The Cmmittee f Spnsring Organisatins sm i 1992 utga rapprten Internal Cntrl An integrated Framewrk. Denne rapprten, sm benevnes COSO-rapprten, har fått strt gjennmslag gså i Eurpa g er bl.a versatt til nrsk. Det kan nevnes at Basel-kmiteens anbefalinger i tilknytning til internkntrll er basert på COSO-rapprten. Denne rapprten er viktig frdi den presenterer et rammeverk fr hva den interne kntrllen mfatter, hvilke enkeltelementer den består av g hvrdan den kan evalueres. I henhld til denne rapprten er definisjnen på internkntrll sm følger: Internal cntrl is a prcess, effected by an entity s bard f directrs, management and ther persnnell, designed t prvide reasnable assurance regarding the achievementf bjectives in the fllwing categries: Effectiveness and efficiency f peratins Reliability f financial reprting Cmpliance with applicable laws and regulatins Definisjnen er mfattende g innebærer at hele fretakets rganisasjn, systemer g rutiner er del av internkntrllen. En kan videre merke seg at Basel-kmiteen sm del av grunnlaget fr sine retningslinjer fr evaluering av den interne kntrll (av september 1998), ppsummerer det de mener har vært årsakene til skandalene i finansnæringen det siste tiåret, på følgende måte: 6

Manglende versikt fra ledelsens side g svak «kntrllkultur» internt i rganisasjnene. Eksempler på dette er at ledelsen ikke engasjerer seg i kntrllspørsmål, utilstrekkelige føringer g retningslinjer fra styret g uklare ansvarsfrhld Manglende vurdering av de risiker institusjnen står verfr, g liten bevissthet i frhld til hvilke kntrlltiltak sm er nødvendig fr å mtvirke risikene. Typisk gjør dette seg utslag i at kntrllsystemene håndterer tradisjnelle g enkle prduktmråder, men ikke er i stand til å takle nyere g mer kmpliserte prdukter g tjenester Svikt i etablerte kntrllaktiviteter g rutiner, ved at arbeidsppgaver g rutiner ikke blir utført eller blir gjennmført på en mangelfull måte. Eksempler her er at arbeidsdeling, attestasjner, verifikasjner g avstemminger ikke blir gjennmført. O Manglende infrmasjn g uklare kmmunikasjnslinjer. I mange tilfeller har man i ettertid sett at infrmasjn m relevante frhld faktisk frelå, men på grunn av svikt i systemet ble ikke infrmasjnen kmmunisert til ansvarlig ledelse eller styre. I andre tilfeller har man sett at de systemer sm skulle frembringe infrmasjnen var mangelfulle, slik at de rapprter sm ble prdusert hadde stre feil g svakheter. Ikke i nen av disse tilfellene fikk ansvarlig ledelse nødvendig infrmasjn før det var fr sent å gjøre ne. Manglende vervåkingsmekanismer. Sviktende vervåking fra ledelsens side kmbinert med manglende evne til å frhlde seg til de signaler sm km, f.eks gjennm intern g ekstern revisjn, har vært et typisk prblem. Den nrske internkntrllfrskriften ble gjrt gjeldende fr banker fra 1994, fr frsikringsselskaper fra 1995, fr verdipapirfretak fra 1997 g fr pensjnskasser g pensjnsfnd fra 2001. Dette er idag det viktigste redskap Kredittilsynet har når det gjelder ppfølgingen av internkntrllen i finansnæringen, se frskrit 20.6.1997 nr 1057 m klargjøring av ansvar g dkumentasjn vedr den interne kntrll. De viktigste frmålene med internkntrllfrskriften er å styrke styrets g daglig leders ppmerksmhet m internkntrllen sikre at det fretas regelmessige risikvurderinger sikre at internkntrllen avpasses til risiken, g at ledelsen tar aktivt stilling til hvrdan internkntrllen skal være sikre at linjeledere vervåker gjennmføringen, g at vesentlige svakheter rapprteres til styret Erfaringene med internkntrllfrskriften er gjennmgående gde, selv m det frtsatt er institusjner sm har vanskeligheter med å ppfylle alle krav på en versiktlig g dekkende måte. Kredittilsynet arrangerte i 1998 i samarbeid med de t bankfreningene g frsikringsfrbundet seminarer fr å evaluere erfaringene med internkntrllfrskriften. Tilbakemeldingene var at frskriften hadde hatt en klart psitiv effekt på institusjnenes innsats fr å sikre virksmheten. 7

2.2 Internrevisjnens rlle Intern revisjn er en funksjn sm på ulike måter vervåker den interne kntrll frøvrig g rapprterer sine funn g vurderinger til styret g/eller ledere på frskjellige nivå. COSOrapprten anser vervåking ( mnitring ) sm ett av fem elementer i den ttale interne kntrll. Om behvet fr vervåking av internkntrllen uttrykker COSO-rapprten sm følger: The entire prsess must be mnitred, and mdificatins made as necessary. In this way, the system can react dynamically, changing as cnditins warrant. COSO-rapprten anfører videre at internrevisjnen spiller en viktig rlle når det gjelder vervåkingen g at internrevisjnen gjennm dette er del av det ttale internkntrllpplegget. Det slås blant annet fast at Parties internal t an rganisatin are a part f the internal cntrl system (s 79) g Internal auditrs play an imprtant rle in evaluating the effectiveness f cntrl systems and thus cntribute t nging effectiveness. (s 85). Det legges derfr til grunn at den interne revisjn er styrets g fretaksledelsens viktigste redskap fr vervåking av internkntrllens pplegg g gjennmføring. Internrevisjnen pprettes g dimensjneres i samsvar med styrets g ledelsens egne behv. Det er i Nrge hittil ikke stillet krav m intern revisjn. 8

3. Hva er internrevisjn? - Nærmere beskrivelse av frmål g rlle 3.1 Innledning Internrevisjn sm selvstendig fagmråde har hvedsakelig sitt utspring i finanssektren, ikke bare i Nrge men gså i andre land det er naturlig å sammenligne seg med. Senere er funksjnen etablert i en rekke fretak, men først g fremst i større selskaper. Internrevisjn ivaretar fretakets eget behv fr systematisert vervåking av rutiner, systemer g prduksjnsprsesser. I løpet av de siste 20 år har internrevisjn sm fagfelt vært gjennm en sterk utvikling. Skjematisk har dette bestått i en utvikling fra etterkntrll g bilagsrevisjn til å mfatte mer kmplekse analyser g vurderinger av institusjnens aktiviteter g virkemåte på vegne av styret g ledelse. Samtidig har det vært en utvikling der antall ansatte i internrevisjn er relativt sett nedbygget sammenlignet med institusjnens størrelse, men hvr kravene til kmpetanse har økt i betydelig grad. Interne revisjnsfunksjner er i dag nrmalt bemannet med persner med høy akademisk utdannelse g mange års erfaring. Internrevisjn er blitt et selvstendig fagmråde, med egne standarder, metder g etiske regler. Fagmiljøet, sm i str grad krdineres gjennm den verdensmspennende rganisasjnen The Institute f Internal Auditrs, driver utstrakt grad av faglig utvikling g frskning innenfr mråder sm crprate gvernance, internkntrll g risikstyring. Videre er det etablert egen prfesjnsutdanning med sertifisering. I Nrge er denne utdanningen etablert ved BI. Særlig i USA har Certified Internal Auditrs blitt en tallrik gruppe, men denne sertifisering er gså på sterk fremmarsj i Eurpa g ikke minst Nrge. Dette beskriver den generelle utviklingen, men det er selvsagt mange avvik. Frtsatt er det slik at det er betydelig variasjn innen yrket med hensyn til ppgaver g kmpetanse, men utviklingen går i samme retning. 3.2 Frmål, definisjn g innhld Internrevisjn kan ha frskjellige frmål, ne sm gjør seg utslag i ulike revisjnsfrmer. Finansiell revisjn, perasjnell revisjn, frvaltningsrevisjn g kvalitetsrevisjn er eksempler på dette, g illustrerer at revisjn ikke bare er ett, men flere fagmråder. Internrevisjn sm begrep innebærer primært at det dreier seg m en revisjnsfunksjn med intern ppdragsgiver, dvs fretakets styre g/eller ledelse. Dette i mtsetning til ekstern revisr sm tjener eieres, kreditrers g myndigheters behv. Internrevisjnens frmål er det fretaket selv, dvs. ppdragsgiver, sm bestemmer. Når det gjelder internrevisjnens frmål har det vært en entydig utvikling i retning av perasjnell revisjn. Operasjnell revisjn er revisjn av alle fretakets virksmhetsmråder med hensyn til m virksmheten drives i samsvar med fretakets mål g strategier, g i den frbindelse identifisere frbedringsmråder. Denne utviklingen er gså reflektert i den nye definisjnen av internrevisjn sm ble vedtatt av IIA (The Institute f Internal Auditrs) i 1999: 9

Internal auditing is an independent, bjective, assurance and cnsulting activity designed t add value and imprve an rganizatin s peratins. It helps an rganizatin accmplish its bjectives by bringing a systematic, disciplined apprach t evaluate and imprve effectiveness f risk management, cntrl and gvernance prcesses. Vektleggingen av internrevisjnens muligheter til å bidra til frbedring av rganisasjnens aktiviteter er i denne sammenheng interessant, g demnstrerer et relativt høyt ambisjnsnivå hva gjelder internrevisjnen sm funksjn. Definisjnen viser gså at internrevisjnen skal være praktiv g mfatte hele rganisasjnen. Risikstyring g kntrll er i fkus. Det er likevel hensiktsmessig å understreke at internrevisjnens primære funksjn er fr det første er å vurdere m pplegget fr internkntrllen er tilstrekkelig g hensiktsmessig i frhld til det risikbilde institusjnen står verfr g de mål sm skal nås, g fr det andre kntrller g vurderinger av hvrvidt etablert pplegg blir etterfulgt i praksis. I praksis innebærer internrevisjn at det fretas systematiske kntrller g undersøkelser av hele eller deler av et fretak etter fastlagte planer. En fullstendig internrevisjn planlegger arbeidet ut fra de frmål revisjnen skal dekke g risik- g vesentlighetsvurderinger av fretakets virksmhetsmråder. Det gjennmføres en relativt mfattende kartlegging g vurdering av den interne kntrll i vid frstand, g det legges vekt på å utarbeide frslag til frbedringer. Dessuten gjennmføres det testing g verifikasjn av m de ulike elementer av internkntrllen fungerer sm frutsatt g m fretaket etterlever bestemmelser i lv, frskrift g interne retningslinjer. På dette grunnlag trekkes knklusjner sm med en viss frekvens, men på ulike måter, rapprteres til styret g ledere på de frskjellige nivå. Det er fretaket selv sm endelig bestemmer hvrdan internrevisjnen skal innrettes g hvilke ppgaver g mråder sm skal vektlegges, men erfaringen er at IIA s rammeverk (sm består av standarder g retningslinjer fr yrkesutvøelsen) fr slike funksjner blir i de aller fleste tilfeller ppfattet sm veiledende. På den måten kan internrevisjnsfunksjner variere meget hva angår frmål, ppgaver g, ikke minst, størrelse. Et verrdnet fellestrekk er imidlertid sm nevnt tidligere at internrevisjnen ivaretar deler av styrets g ledelsens behv fr vervåking av fretakets internkntrll. COSO-rapprten beskriver internrevisjnens rlle på følgende måte: The internal auditrs play an imprtant rle in evaluating the effectiveness f cntrl systems and thus cntribute t nging effectiveness. Because f rganizatinal psitin and authrity in an entity, and the bjectivity with which it carries ut its activities, an internal audit functin ften plays a very significant rle in effective internal cntrl. 3.3 Kmpetanse Tradisjnelt er det persner med revisjns- g øknmibakgrunn sm er rekruttert til internrevisjn. Dette bildet har imidlertid endret seg ne, g det er etterhvert mer vanlig med gså annen type kmpetanse. Siviløknmer, jurister, fillger g statsautriserte revisrer, gjerne med tilleggsutdannelser innen internrevisjn (CIA) g IT (CISA), kjennetegner i økende grad bemanningen i dagens internrevisjnsavdelinger. Ellers synes det å ha vært en utvikling i retning av at bransjekunnskap g spesialkmpetanse innenfr de mråder hvr fretaket har virksmhet, er viktigere enn revisjnskunnskap. Generelt synes det imidlertid å være et krav at ansatte i internrevisjn har høyere utdannelse. 10

Videre kan det nteres at freningsmiljøet administrerer sertifiseringsrdninger innen internrevisjn. IIA administrerer det internasjnale sertifiseringsprgrammet Certified Internal Auditr (CIA) g Nrges Interne Revisrers Frening administrerer Diplmert Intern Revisr, sm er en videreføring av et nrdisk sertifiseringsprgram fr interne revisrer. Felles fr begge sertifikater er at kandidatene skal ppfylle både teri- g praksiskrav. I Nrge er det slik at terikravet kan ppfylles delvis gjennm det rdinære høysklesystemet g delvis gjennm et masterstudium på BI innenfr perasjnell revisjn. Tilsvarende internasjnale sertifiseringsrdning er etablert spesielt fr internrevisrer med IT sm spesialmråde (CISA). 3.4 Organisering Det følger av internrevisjnsfunksjnens natur at den må være mest mulig uavhengig av rganisasjnen fr øvrig fr å fylle sin rlle. Dette innebærer at internrevisjnen frtrinnsvis bør være rganisert direkte under styret, eventuelt øverste leder. Det følger av IIA s standarder fr internrevisjn at: g at The internal audit activity shuld be independent, and internal auditrs shuld be bjective in perfrming their wrk. The chief audit executive shuld reprt t a level within the rganizatin that allws the internal audit activity t fulfill its respnsibilities. Etter dette er det viktig å sikre internrevisjnen tilstrekkelig bjektivitet. IIA legger ikke klare føringer på hvrdan internrevisjnen skal plassert i rganisasjnen, utver at det bør være på et nivå g på en måte sm sikrer internrevisjnen faglig frihet. I Nrge har det vært en diskusjn i internrevisjnskretser i lang tid hva gjelder spørsmålet m rganisasjnsmessig plassering. De fleste internrevisjnsavdelinger er enten rganisert direkte under fretakets styre, eventuelt har rett g plikt til å faglig rapprtere til styret. 11

4. Internrevisjnens utvikling g rlle i finanssektren 4.1 Om revisjn i nrske banklver Den første nrske bank, Christiania sparebank, ble pprettet i 1822. I 1824 km en lv m sparebanker, men den ga ingen regler fr deres rganisasjn g virksmhet. Slike bestemmelser fremgikk av vedtektene, g da disse måtte bli apprbert av departementet, kan man med en viss rett si at myndighetene var invlvert. Revisjnsprblematikken var imidlertid ikke særlig påaktet. Etter hvert ble det etablert flere banker, rganisert i frskjellige frmer. I deres vedtekter frelå det nrmalt bestemmelser m at revisjn skulle utføres av bestemte ansatte i banken under vervåking av valgte tillitsmenn. Revisjn på den tiden var primært kntrll mt risiken fr å tape verdier ved mangelfull drift eller misligheter. Det sier seg selv at dette var vesentlig fr bankene, hvr innskytere hadde plassert sine sparepenger i tillit til persnale g ledelse. Revisjnen måtte derfr nødvendigvis få en perasjnell karakter g rettes mt gjennmføring av rutiner g intern sikring. Gjennmgang av årsregnskapet hadde ikke samme ppmerksmhet, g var en separat prsedyre sm ble utført av utenfrstående (valgte) revisrer alene. Denne gjennmgangen best i en kntrll med at regnskapet var i verensstemmelse med bankens regnskapsbøker, g at de likvide verdiene var til stede. I bankvesenet har således skillet mellm perasjnell g finansiell revisjn vært markert fra den første tid. Den neste sparebanklv km i 1887. I 2 d fremgikk sm betingelse fr å drive: Iøvrigt maa planen indehlde saadanne bestemmelser, sm findes frnødne fr en hensigtssvarende g tilstrækkelig kntrlleret virksmhed, herunder ----- en betryggende revisinsrdning. ---- Videre finner vi i lvens 6: Enhver Sparebanks Frstander- eller Repræsentantskab har hvert Aar inden sin Midte at vælge 3 udenfr Bankens Direktin g Revisin staaende mænd, der har til ubestemte Tider at gjennmgaa Bankens Bøger g Værdipapirer samt at etterse dens Kassebehldning. --- Dette skillet mellm løpende kntrll ved interne revisrer g gjennmgang av regnskapet av valgte tillitsmenn ble behldt i lven. Kravene til den interne revisjnens rganisasjn g innhld skulle frtsatt fremgå av bankenes vedtekter. En må derfr kunne anta at mfanget g det praktiske innhld i revisrenes arbeid varierte en gd del fra bank til bank. Neste vesentlige utvikling i lvverket skjedde i 1924 ved at det km en ny lv m sparebanker. Samtidig med dette km den første lv m aktiebanker. Kravene til bankenes rganisasjn g virksmhet ble atskillig mer detaljerte g mfattende enn i lven av 1887. De uttrykte krav til revisjnen ble imidlertid ikke endret, idet disse frtsatt skulle fremgå av vedtektene. Ved at lvkravene fr bankenes drift ble mer detaljerte, g tilsynsutvalgene i sparebankene i lvens 19 tredje ledd direkte ble pålagt å kntrllere revisjnens arbeide, 12

innebar lven likevel en større ppmerksmhet rundt revisjnsvirksmheten g førte til at denne ble satt mer i system i bankene. I lven m aktiebanker fremst kravet m revisjn på en ny måte ved at lvens 14 første ledd uttalte: Representantskapet skal ansette en eller flere revisrer til å freta frretningsmessig revidering av bankens bkførsel g av dens årsregnskap g balanse g undersøke dens behldninger i kasse g av egne g depnerte verdipapirer, g i tilfelle kntrllere det faste persnale sm utfører den daglige revidering. Det kan i vedtektene eller av generalfrsamlingen bestemmes, at de ansatte revisrer gså skal utføre den daglige revidering. --- Aktiebankenes representantskap ble pålagt å utarbeide instruks fr revisjnen, g denne instruksen skulle så frelegges bankinspeksjnen til gdkjennelse. En skal her merke seg flere frhld: De revisrene sm ivaretk det finansielle revisjnsansvaret skulle være ansatt i banken (interne) De samme revisrer skulle kntrllere de revisrer sm fretk den perasjnelle revisjn av driften (nærmest en kntrllfunksjn i banken) De samme revisrer kunne gså verta den løpende driftsrevisjnen, - dvs den perasjnelle revisjnen. Revisrenes instruks ble underlagt myndighetenes kntrll. På den måten ppst den interne, kmbinerte finansielle g perasjnelle revisjnen sm har preget nrske banker. Revisrene i de større sparebankene fulgte mer g mer det samme mønster. Tilsynsutvalgene (i sparebankene) g kntrllkmiteene (i aktiebankene) fikk en parallell g mer frmell kntrllfunksjn enn tidligere. 4.2 Bankinspeksjnens revisjnsfrskrifter Ot.prp. nr. 5 (60/61) førte til ytterligere detaljering i bestemmelsene m bankene. En skal merke seg at i frretningsbanker skulle representantskapet nå ansette en eller flere revisrer eller et revisjnsfirma, g at revisjnsfirmaets ansatte kunne ivareta de ppgaver sm den interne revisjnen hadde gjrt. Nen særlig praktisk betydning fikk ikke dette da man i første mgang i str grad frtsatte med persnlig ansatte revisrer. Viktigere var imidlertid følgende uttalelse i samme prpsisjn: Kmitéen finner imidlertid at revisjnen har en så viktig funksjn i en bank, at det kan være grunn til å understreke dens betydning, plikter g ansvar ved at rganiseringen av den g de viktigste krav til dens gjøremål blir tatt inn i lven. Den økede ppmerksmhet mt kntrllbehvet var nk derfr en viktig årsak til at det i 1970 km Føresegner m revisjn i sparebankar. Her fremkm klart den dbbeltrlle sm bankrevisjn innebar. Kravet m finansiell revisjn fremkm i føresegnenes 7: 13

Revisr skal sjå til at rekneskapen vert ført g ppgjrt i samsvar med gjeldande rekneskapsreglar g med grunnsetningane fr grei rekneskapsføring g varsam g gd frretningsskikk. Krav m perasjnelt rettet revisjn fremgikk av flere paragrafer i de amme føresegner: 8 Revisr skal sjå til at frretningsføring g frvaltning går føre seg i samsvar med lv m sparebankar, andre lver sm gjeld sparebankar, vedtektene til sparebanken g føresegner g vedtak med heimel i lv eller vedtekter. 9 Revisr skal kntrllere at det alltid etter tilhøva er gjennmført best mgeleg indre kntrll med ekspedisjnsmåte, bkføring g frvaring av verdiar, g påtale mangler ved kntrllen. 10 Revisr skal uttale seg m alle framlegg til endringar i rekneskapshald, frretningsg arbeidsskipnad innan banken når dei vert lagde fram fr han av styret eller kntrllkmiteen. Revisr skal gjere seg kjend med alle instruksar eller føresegner sm gjeld rekneskapshald g frretningsføring. I 1976 g 1977 ble føresegnene erstattet med t nærmest likelydende frskrifter m revisjn i de t bankfrmer (frskrift 30.12.76 nr 8557 g 27.12.77 nr 8556). Frskriftskravet m den perasjnelle revisjnen fikk imidlertid en endret frm sm skulle vise seg å få betydelige knsekvenser. Man erstattet nå fran nevnte spesifiserte krav m revisjnsarbeidet med de samme frmuleringer sm ble benyttet i de alminnelige revisjnsfrskrifter: "I den utstrekning det følger av gd revisjnsskikk, skal revisr granske bankens årsppgjør g rekneskaper g behandlingen av den anliggender fr øvrig. Endringen synes først g fremst å ha sammenheng med at den lvbestemte revisjnen i stadig større grad ble utført av eksterne revisrer sm ønsket samme frmulering av kravene sm de var vant til fra andre fretak. Den lvbefalte revisjn i andre bransjer hadde dessuten blitt mer g mer knsentrert rundt bekreftelsen av regnskapene, mens ppmerksmheten mt den interne kntrll ble tilsvarende svekket. Operasjnell revisjn hadde sin største nytteverdi internt i fretaket g var uten særlig interesse fr de eksterne brukerne av den lvbestemte revisjnsbekreftelsen. I gd revisjnsskikk var frhldet til intern kntrll i hvedsak således blitt begrenset til de deler av denne kntrllen sm hadde betydning fr regnskapene. Det synes imidlertid ikke sm det fra Bankinspeksjnens side var nen bevisst tanke å redusere revisjnens perasjnelle side. Dette fremgår klart ved at kravet m styrets plikt til å gi revisr anledning til å uttale seg m alle frslag til endringer i frretningsrden g arbeidsrden innen banken ble behldt i frskriftens 9. Samtidig frtsatte gså revisrs nære frhld g assistanse til kntrllkmiteen i spørsmål sm gjaldt denne kmiteens hvedppgave rettet mt sikkerhet g styrets drifts- g kntrllansvar. I praksis førte da heller ikke frskriftsendringene umiddelbart til endringer i bankrevisjnens arbeidspplegg. Dette skjedde først i frbindelse med at mange banker nedla sine egne revisjnsavdelinger mt å la eksterne revisjnsselskaper ivareta funksjnen. Eksterne revisrer hadde etablert sine egne standarder fr revisjnens innhld g prsedyrer, g det kan synes sm m revisrene følte seg ukmfrtable med den perasjnelle delen av revisjnen. Det var derfr nærliggende fr disse å legge samme betydning i revisjnsfrskriftens rdlyd sm de gjrde fr annen virksmhet. I realiteten førte da endringen i frskriftsfrmuleringene til at den lvbestemte, 14

perasjnelle revisjnen brtfalt uten at dette nensinne synes å ha vært hensikten fra lvgiver. Bankkrisen førte til str ppmerksmhet rundt bankenes kntrllpplegg, g mange reagerte med frbauselse på at ikke kritikk i større grad ble rettet mt de valgte revisrer i denne frbindelse. Det var åpenbart at disse revisrers reduserte ansvar i tilknytning til den perasjnelle side av bankdriften hadde gått mange hus frbi. Unifrmeringen av frskriften i frhld til de generelle revisjnsfrskrifter har senere gså ført til at de spesielle revisjnsfrskriftene i bank nærmest er blitt glemt, - i den grad at når de generelle revisjnsfrskrifter falt brt ved den nye revisrlven, har man glemt å ppheve dem. Disse frskriftene vil bli gjennmgått g evt bli freslått pphevet. 4.3 Utvikling av systematisk perasjnell revisjn Enkelte større finansinstitusjner frtsatte å videreutvikle perasjnell revisjn sm en frivillig funksjn utført av bankenes interne revisrer underlagt bankens ledelse. Også andre finansinstitusjner hadde etterhvert etablert egne avdelinger fr internrevisjn. Ved bankakademiet ble etablert egen pplæring i perasjnell revisjn, - en undervisning sm i dag ivaretas av Handelshøysklen BI. Kredittilsynet skjerpet samtidig sin ppmerksmhet mt finansinstitusjnenes interne kntrll gjennm sin internkntrllfrskrift g ved sine stedlige tilsyn, dg uten å stille krav m en egen intern, perasjnell revisjnsfunksjn. Det kan synes sm dette har medført at enkelte institusjner legger til grunn at bare de ppfyller de frmelle internkntrllkrav i frskriften, er dette tilstrekkelig, g at det således ikke er behv fr nen revisjn i denne frbindelse. Manglende regelverk har ført til at både metder, mfang g pplegg fr internrevisjnen har utviklet seg frskjellig, g det i dag råder usikkerhet m hva denne revisjnen bør mfatte, g hvem sm bør utføre den. Usikkerheten er frsterket ved at enkelte finansinstitusjner gså ønsker å verføre interne revisjnsppgaver til eksterne tilbydere av internrevisjnstjenester. Dette spørsmålet drøftes nærmere i kapittel 8. 4.4 Internrevisjn i nrske finansfretak i dag Revisjnssjefkretsen (rgan fr revisjnssjefene i banker g andre finansinstitusjner) har i 2001 innhentet infrmasjn m status fr internrevisjnen i nrske finansfretak. Undersøkelsen mfattet de 30 største bank- g frsikringsselskapene. Av fretak med mer enn 20 milliarder NOK i frvaltningskapital hadde 11 - herunder de 3 største - egen revisjnsavdeling, 2 fretak baserte seg på innkjøp av tjenesten fra eksterne revisjnsselskap, mens t ikke hadde nen spesiell internrevisjnsfunksjn. Av fretakene med mindre enn 20 milliarder NOK hadde 7 egen internrevisjnsfunksjn, en bank kjøpte tjenesten, mens 7 fretak ikke hadde spesiell internrevisjn. Typisk fr disse siste var at revisjnsfunksjnen var nedlagt i løpet av de senere årene, g at det arbeidet internrevisr tidligere hadde utført, fr en str del var verført til andre kntrllstillinger under daglig leders eller andre linjelederes styring. 15

I de finansfretak sm har egen internrevisjn varierer revisjnsavdelingenes størrelse meget. Generelt har antall revisrer de siste årene gått markert ned. Således hadde de 18 fretakene med egne interne revisrer samlet ikke flere revisrer enn hva den største revisjnsavdelingen alene hadde fr 20 år siden. Frvaltet kapital pr. revisr er meget frskjellig, - fra 2,5 milliard NOK til nærmere 50 (snitt 12,6 milliard NOK). Tilsvarende varierer antall revisrer pr. årsverk medarbeidere fra ca 50 til pp mt 600 (snitt 190 medarbeidere pr. revisr). Nen sikker indikatr på fretakenes innbyrdes vektlegging av perasjnell revisjn er imidlertid ikke dette da rganiseringen av kntrllpplegget vil kunne varierer betydelig fra fretak til fretak. Spredningen er likevel så str at det er tydelig at vervåkingsfunksjnen tillegges ulik vekt. Reduksjnen i antall revisrer antas til dels å ha sammenheng med de senere års fkus på å etablere kntrll i de løpende rutiner g arbeidsperasjner. Dette kan synes ulgisk, men bl.a. internkntrllfrskriften har ført til at tidligere løpende revisjnshandlinger sm ble utført av internrevisjnen nå fte er lagt inn i linjepersnalets faste rutiner. Internkntrllfrskriften har således hatt psitiv innvirkning på fretakenes etablering av intern kntrll i linjen, men frståelsen fr viktigheten av uavhengig testing g vurdering er ikke tilsvarende utviklet. Økt bruk av elektrniske kntrller i datasystemene har på den annen side redusert behvet fr manuell testing. En tredje årsak til nedgangen i antall revisrer er at den finansielle revisjnen i de fleste fretak nå utføres av ekstern revisr alene. Reduksjnen i antall interne revisrer behøver derfr ikke innebære at den perasjnelle revisjnens hvedfrmål er tilsvarende svekket. Revisr kan i dag i større grad knsentrere seg m verrdnet vurdering. Spesielt er det frurligende at revisrenes bruk av uavhengige tester synes å være drastisk redusert. Flere fretak har valgt å kjøpe de interne revisjnstjenestene fra eksterne revisjnsselskap da det fte er vanskelig å kunne ppretthlde tilstrekkelig g kntinuerlig revisjnskmpetanse. I de 18 finansfretakene med revisjnsavdeling fastsettes revisjnsinstruksen fr den helt verveiende del av fretakenes styrer. Det samme gjelder ansettelser g avskjedigelser av revisrene. Bemerkelsesverdig er det imidlertid at revisjnsplanene i 2/3 av fretakene fastlegges administrativt av daglig leder eller revisjnssjef alene. Dette indikerer at styrene i liten grad systematisk benytter revisjnen sm virkemiddel i dekningen av sitt kntrllansvar. I ett av fretakene rapprterer revisr bare til styret, mens 12 revisjnssjefer sender sine rapprter både til styre g daglig leder. Dette indikerer at revisjnssjefene har direkte aksess til styret med sine merknader g knklusjner. 6 av fretakene har riktignk ikke ppgitt hvrdan revisr rapprterer, men dette gjelder de minste av fretakene (9 av de 130 revisrer hele undersøkelsen mfatter). Rapprtene til fretakenes styrer g øverste ledere avgis med frskjellig frekvens. Nærmere halvparten avgir bare samlede årsrapprter til ledelsen, mens de øvrige rapprterer halvårsvis, kvartalsvis eller månedlig. I tillegg kmmer de løpende revisjnsrapprter, men disse går bare til de respektive mrådeansvarlige etter kntrllene gjennm året. Mens sm tidligere nevnt revisjnen i de fleste fretak ien årrekke først g fremst har mfattet regnskapet, ppgir alle nå at perasjnell revisjn er en primærppgave. 9 fretak pplyser at den interne revisjnen gså utfører finansielle revisjnsppgaver sm tilleggsfunksjn. Denne utviklingen er etter Kredittilsynets mening riktig. 16

Revisjnssjefene ppgir at halvparten i begrenset grad kjøper tjenester fra eksterne revisrer. I ett tilfelle er det spesielt ppgitt å være fra den valgte revisr. Selv m denne revisren ikke skal utføre funksjner fr ledelsen, behøver frhldet ikke nødvendigvis være i strid med revisrlven. Det hele vil være avhengig av tjenestenes art g mfang. 17

5. Utviklingen i den perasjnelle risik g behvet fr internrevisjn i finanssektren 5.1 Innledning Sm det fremgår av den histriske gjennmgangen i kapittel 4, har det helt fra bankvesenets begynnelse i Nrge g særlig i krisetider vært pekt på behvet fr en revisjnsfunksjn i bankene sm kan assistere styret med ivaretagelsen av kntrllansvaret fr bankens drift g sikkerhet. Organiseringen av slik revisjn har variert fra egne ansatte/avdelinger med kmbinert finansielle g perasjnelle revisjnsppgaver, via rene perasjnelle revisjnsavdelinger til eksternt utsatt perasjnell revisjn. I dag er man i de fleste land, etter stre internasjnale finansskandaler, mer enn nensinne pptatt av å sikre at det interne kntrllapparatet funksjnerer sm frutsatt g at alle finansinstitusjnene (ikke bare banker) makter å sikre at det interne kntrllapparat i linjen ikke svikter. Det er, sm det fremgår av etterfølgende punkter, en rekke lgiske årsaker til dette. 5.2 Stre g kmpliserte rganisasjner Finansinstitusjnene er etter hvert blitt stre rganisasjner. Det er da fte str avstand mellm den øverste ledelse g de utførende rganer, samtidig sm rganisasjn g rutiner blir langt mer kmplekse. Styret har imidlertid ansvar fr at hele rganisasjnen funksjnerer frsvarlig g sm frutsatt. Det er åpenbart at et slikt ansvar ikke kan utøves i et større fretak uten frmer fr assistanse med vervåkingen. Det er således behv fr en linjeuavhengig funksjn sm på vegne av styret/ledelsen tilstrekkelig løpende kan vurdere sikkerheten i de frskjellige driftsmråder g rapprtere m avvik fra gitte retningslinjer. Styre g daglig leder vil ved å sammenhlde linjens infrmasjn med eventuelle revisjnsrapprter være langt bedre i stand til å vurdere driften g på den måten ivareta sitt vervåkingsansvar. I større institusjner vil gså linjeledere på frskjellige nivåer ha et tilsvarende behv fr vervåking av rutinene på deres respektive mråder. Dette sm ledd i disse lederes ansvar verfr verrdnet ledelse fr gjennmføring g sikkerhet. En gd intern revisjn vil derfr ha praktisk verdi lang ut ver å være en trygghet fr styret når det gjelder det frmelle lvansvar. 5.3 Hyppige rganisasjnsendringer Det er et faktum at rganisasjner endres i et høyere temp enn tidligere. Dette skjer ved restruktureringer i frm av fusjner g mrganiseringer, endringer i virksmhetsmråder g prduktspekter, samt generelle rganisasjns- g rutinefrandringer. I alle disse tilfeller vil det lett kunne ppstå risiker ved at prblemfrhld blir versett på grunn av persnalskifte g svakt pparbeidede kmmunikasjnskanaler. Linjeledere vil måtte engasjere seg sterkt i å få rutinene i gang, g vervåkingsfunksjnen blir skadelidende. Samtidig er de ansattes trfasthet mt sine arbeidsgivere redusert ved at det er langt mer vanlig å skifte arbeidsgiver enn tidligere. Frhldet vil nrmalt svekke den trygghet sm ligger i lang erfaring hs de sm utfører de daglige rutinene. En intern revisjn vil i denne frbindelse kunne gi større trygghet fr de linjeansvarlige g den øverste ledelse. 18

5.4 Markedsutviklingen Et resultat av glbaliseringen er at finansinstitusjnenes naturlige markeder endres hurtig, g mfatter etter hvert gegrafiske g prduktmessige mråder sm man har begrenset kjennskap til. Dette har fte vist seg å kunne føre til betydelige tap i f.eks banker. En intern revisjn er ingen garanti mt at slike frhld ppstår, men med de arbeidsteknikker sm en perasjnell revisr er pplært til å benytte, vil mulighetene fr å bli klar ver hvr risikene frekmmer være vesentlig bedre enn uten nen slik revisjn. 5.5 Prduktutviklingen All fretaksvirksmhet er i dag preget av hurtigere prduktskifter g endringer. Finansinstitusjnene er ikke ne unntak fra dette. Typisk fr nye g endrede prdukter er at man ikke har samme erfaring g kunnskaper m risikpunktene sm fr de prdukter man har hatt erfaring med gjennm lang tid. Videre vil de fte mfatte betydelige vlum, slik at medfølgende tapsrisiker er tilsvarende stre. En internrevisjn sm løpende undersøker g hlder de ansvarlige rganer rientert m hvrdan rganisasjnen utvikler g gjennmfører sin internkntrll, er derfr tilskyndet av disse nye prduktene. 5.6 Den teknlgiske utvikling Finansinstitusjnene er i løpet av de senere tiår blitt avhengige av å benytte IT i driften. Dette mfatter fra systemer kundene selv benytter fr autmatisk tilgang til institusjnens midler g data, til de interne statistikk- g behandlingsrutiner sm man er avhengig av fr å få arbeidet gjennmført tilstrekkelig hurtig g til knkurransedyktige priser. Et annet mment er at den teknlgiske utvikling har åpnet fr at kundene selv frestår en str del av transaksjnsbehandlingen gjennm nettbankløsninger m.v. IT-teknlgien fører imidlertid med seg nye mfattende risiker teknisk breakdwn sm stanser løpende drift uversiktlig sikkerhetsrisik fr uautrisert tilgang prgramfeil sm fører til tap av verdier. Generelt fr disse risiker er at de lett kan få helt ødeleggende knsekvenser fr virksmheten. Endret teknlgi frutsetter gså nye g fte ukjente kntrllmetder. De er dessuten av en slik art at det kreves spesialutdannet persnale fr å kunne ha versikt ver dem. Institusjnene må sørge fr at de har tilgang til slik ekspertise fr å kunne ivareta det vervåkingsansvar styret har etter lven. 5.7 Mindre marginer fr å møte ufrutsette risiker Øket knkurranse har ført til reduserte frtjenestemarginer. På enkelte prdukter i finansnæringen er marginene så små at det må stre vlum til før det skapes frtjeneste av nen betydning. Dette betyr at feil må kmpenseres med langt flere krrekte transaksjner enn hva sm tidligere var nødvendig. Overvåkingen av fretakets kntrllpplegg er derfr viktigere enn nensinne. 19

Lave frtjenestemarginer betyr gså at finansinstitusjnene må redusere kstnadene, g ledelsen setter de prduktansvarlige under press fr å ppnå dette. Det viser seg at dette fte skjer på bekstning av kntrllelementene i rutinene. Dette frdi denne type kstnader ikke umiddelbart skaper synlig frtjeneste, g frdi spesielt mellmledere er mest pptatt av krtsiktige resultater. Fr den øverste ledelse vil det da være til gd hjelp at en linjeuavhengig instans vurderer tilstrekkelighet, etablering g gjennmføring av de frskjellige mråders risikhåndtering g rapprterer svakhetene. 5.8 Sviktende frretningsetikk Det synes sm det i dag er mer akseptert enn tidligere at frretningsfrbindelser benytter seg av svake punkter i pplegg g rutiner. Større persnlig avstand mellm fretakets medarbeidere g kundene enn tidligere medvirker gså til dette. Denne større avstand er sekundærvirkninger av frhld sm er mtalt fran: - størrelse, rganisasjnsfrandringer, fremmedgjøring ved elektrnisk kmmunikasjn g glbaliseringen. Hvis finansinstitusjnene således verser svake rutineelementer i tilknytning til kredittgivning, verdipapirhandel g lignende, må en således regne med at brdet fanger. De preventive sikringstiltakene, g at disse virker sm frutsatt, er viktigere enn nensinne. 5.9 Øknmisk kriminalitet Finansinstitusjnene er særlig utsatt fr tre typer risiker: kundesvindel misligheter fra medarbeidere ran. De t første typene betegnes sm øknmisk kriminalitet, g disse har de senere år vært i betydelig vekst. IT-systemene g utviklingen av både intern g ekstern elektrnisk kmmunikasjn har gjrt finansnæringen sårbar fr kriminelle anslag. Med tilgang til bankenes datasystemer vil stre verdier kunne verføres sm urettmessige knttransaksjner, sågar ver landegrensene, hvis ikke frsvarssystemene er ptimale g virker sm de skal. Mens risikpersnene internt tidligere først g fremst var kasseperatører g kredittgivere, har i dag nærmest alle medarbeidere tilgang til de integrerte datasystemene. Elektrniske penger, krtsystemer g en hurtig internettutvikling har gitt tilsvarende åpninger mt mverdenen. Det finnes rganisasjner med til dels høy teknisk kmpetanse g utstyr til å bryte ned de sikringstiltak finansnæringen pererer med. Tidligere var den øknmiske kriminaliteten sm ftest begrenset til relativt enkle hendelser, så sm kassererunderslag g falske sjekker. Beløpene km sjelden pp i vesentlig størrelse. Det var gså enklere å etablere kntrlltiltak. Nyere frmer fr kriminalitet, - særlig i tilknytning til bruk av elektrniske system, kan like gjerne mfatte stre beløp sm små. De krever videre kmpliserte sikringstiltak, g det er naturligvis helt avgjørende at disse funksjnerer sm de skal. Overvåkning av internkntrllen er derfr av betydning, selv m praksis har vist at heller ikke rdinær perasjnell revisjn behøver å være i stand til å se mer sfistikerte muligheter fr avansert øknmisk kriminalitet. Enkelte større institusjner har derfr ansatt spesielle mislighetsrevisrer. 20

5.10 Samfunnets behv fr trygge finansinstitusjner Finansinstitusjnene er viktige aktører i samfunnet, g det er således vesentlig fr alle at disse funksjnerer på en velrdnet g trygg måte. Dette gjelder ikke bare fr aksjnærer, innskytere, låntagere g frsikringskunder, men fte tilnærmet all virksmhet rundt institusjnene, idet disse er avhengige av velrdnede finansfretak. Bankkrisen viste dette på en klar måte. Indirekte vil således den kntrllfunksjn sm internrevisjnen representerer, ikke bare ha intern betydning, men være med på å skape ønsket generell trygghet. Det kan nevnes at spørsmålet m styrking av internkntrllen gjennm ansettelse av intern revisr ble berørt i Banklvkmmisjnens delutredning nr 4 (NOU 1998 nr 14), uten at dette ble del av frslaget. 5.11 Myndighetenes vervåking, herunder endret kapitaldekningsregelverk Finansinstitusjnenes samfunnsmessige betydning har ført til behv fr ffentlig kntrll med at virksmheten skjer på en frsvarlig måte. Kredittilsynet utøver slik kntrll ved å etablere sikringsbestemmelser, innhente peridiske rapprter m virksmheten g ved stedlig inspeksjn. Den øknmiske utviklingen kan man i dag ha versikt ver via bankenes løpende rapprtering, mens institusjnenes preventive sikring mt feil g kriser frtsatt primært må knstateres ved stedlige besøk. Det sier seg selv at dest større g mer kmpliserte institusjnene er, dest vanskeligere er det å fastslå i hvilken grad prduktene er sikret ved tilfredsstillende intern kntrll. Det er en økende internasjnal erkjennelse av at den perasjnelle risiken er viktig. Etter Basel-kmiteens frslag til nye kapitaldekningsregler skal betydningen av den perasjnelle risiken hensyntas. Operasjnell risik er knyttet til tap sm følge av menneskelig svikt, svikt i prsesser eller teknlgi, g kan defineres å være alt annet enn det sm er knyttet til de frretningsmessige risiki. En tilfredsstillende internkntrll er det viktigste virkemiddel fr å at den perasjnelle risiken hldes innenfr frsvarlige rammer. Internkntrllen er primært etablert g innrettet fr å mtvirke svikt i styringssystemer g prduksjnsprsesser. Kredittilsynet har utarbeidet en frskrift fr dkumentasjn av finansinstitusjnenes risikvurdering g kntrlletablering. I hvilken grad gjennmføringen svikter, kan ikke fastslås av denne dkumentasjnen alene. Her vil gjennmgang av systematisk utarbeidede interne revisjnsrapprter kunne være til betydelig støtte fr kredittilsynets inspektører. Også fr tilsynsvirksmheten vil således et gdt internrevisjnspplegg være verdifullt. 5.12 Knklusjn Generelt er finansvirksmhet blitt mer kmplisert g uversiktlig enn hva den var. Ny teknlgi har riktignk gitt mulighet fr langt bedre systematisk analyse g løpende intern kntrll, men samtidig har teknlgien, markeds- g prduktutviklingen ført til nye g større tapsrisiker. Verdien av en systematisk vervåking av fretakets pplegg fr risikvurdering, kntrlletablering g rutinegjennmføring er derfr større enn nensinne. Sm støtte fr linjelederes mrådeansvar, styrets verrdnede vervåkingsansvar g Kredittilsynets inspeksjnsvirksmhet vurderes interne revisjnsfunksjner å være av str verdi. 21

6. Krav m internrevisjn i andre land, herunder anbefalinger fra Basel-kmiteen 6.1 Innledning Flere land har innført krav m internrevisjn i finansnæringen. Særlig gjelder dette frinstitusjner ver en viss størrelse. Denne utviklingen følger bl.a. av at EU allerede i 2. bankdirektiv av 1989 (nå erstattet av samledirektivet av 26.5.2000) satte krav til at kredittinstitusjner skulle ha tilfredsstillende internkntrll; «Hme Member State cmpetent authrities shall require that every credit institutin have sund administrative and accunting prcedures and adequate cntrl mechanisms» Denne bestemmelsen har vært bakgrunnen fr mye av den regulatriske utviklingen vedr internkntrll i finansnæringen, men de ulike land har valgt frskjellige løsninger g grep. Det er gså tildels stre ulikheter i hvr langt utviklingen har kmmet fra et land til et annet. 6.2 Eurpean Mnetary Institute The banking supervisry sub-cmmitte under Eurpean Mnetary Institute (banktilsynskmiteen under den eurpeiske sentralbanken) uttalte i juli 1997 i et større dkument m internkntrll i bank: Internal audit is a key element f a system f internal cntrl which is distinct frm the primary cntrl functin f exercising day-t-day cntrl ver transactins and peratins. It is an independent appraisal functin established by the bard f directrs and the senir management t examine and evaluate the credit institutin s activities as a service t the rganisatin. Det understrekes at internrevisjn er en del av internkntrllen, men har en annen karakter. Kmiteen gjør en bred mtale av internrevisjn g definerer krav til slike funksjner sm er på linje med det sm er anbefalt praksis fra fagmiljøet selv, dvs IIA. 6.3 Basel-kmiteen Basel-kmiteen har ved flere anledninger lagt sterke føringer fr at banker bør ha etablert internrevisjn. Det vises i denne sammenheng til Basel-kmiteens prinsipper fr evaluering av den interne kntrll utgitt i september 1998 hvr det heter (uffisiell versettelse): 22