Vedlikeholdes av: Chief Compliance Officer Side: 1 av 5 1. FORMÅL Internrevisjonen skal fremme og beskytte GIEKs verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Den skal bidra til å gi styret og toppledelsen trygghet for at GIEK har hensiktsmessige og effektive prosesser for virksomhetsstyring, risikostyring og kontroll. Internrevisjonen skal være er en uavhengig og objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre GIEKs drift. Internrevisjonen skal bidra til at GIEK oppnår sine målsetninger ved å evaluere og forbedre effektiviteten og hensiktsmessigheten av GIEKs prosesser for virksomhetsstyring, risikostyring og kontroll. 2. PROFESJONELT GRUNNLAG Internrevisjonens virksomhet skal baseres på IIAs 1 etiske regler og standarder for profesjonell utøvelse av internrevisjon, samt tilhørende rammeverk. 3. ORGANISASJONSMESSIG PLASSERING Internrevisjonen er plassert direkte under, og rapporterer til, styret i GIEK. Administrativt forholder internrevisjonen seg til administrerende direktør. GIEKs internrevisjonsfunksjon er tjenesteutsatt. Operasjonelt er Strategisk stab internrevisjonens hovedkontaktpunkt. Strategisk stab er innkjøpsansvarlig og følger opp at internrevisjonens leveranser er i henhold til denne instruksen og styrets og administrerende direktørs forventninger. Styret i GIEK er internrevisjonens oppdragsgiver. Det innebærer at styret: Godkjenner instruks for internrevisjonen i GIEK. Godkjenner internrevisjonens budsjett og planer, inkludert vesentlig endringer i planene. Godkjenner valget av leverandør av internrevisjonstjenester i GIEK, samt den som ansettes eller engasjeres hos tjenesteleverandøren som leder av internrevisjonen etter anbefaling fra administrasjonen. Mottar rapporter på internrevisjonens utførelse i forhold til planen og eventuelt andre forhold. Minst årlig, mottar rapport om status på styring og kontroll i GIEK. 1 The Institute of Internal Auditors (IIA) er en global organisasjon opprettet i 1941 som har etablert internasjonalt anerkjente standarder og etiske krav for utøvelse av internrevisjon.
Vedlikeholdes av: Chief Compliance Officer Side: 2 av 5 4. MYNDIGHET OG ANSVAR Internrevisjonen har hele GIEK og alle dens aktiviteter som sitt virkeområde. Internrevisjonen skal ha tilgang til all dokumentasjon, personell, eiendeler og opplysninger som er nødvendig for å gjennomføre sine oppgaver. Leder for internrevisjonen har direkte og uinnskrenket tilgang til styret. Leder av internrevisjonen er ansvarlig for alle internrevisjonsaktiviteter innenfor GIEK. Internrevisjonen skal ikke ha operasjonelt ansvar eller myndighet, eller involvere seg i aktiviteter som kan påvirke uavhengigheten eller objektiviteten. Internrevisjonen har et eget ansvar for å være kompetent, proaktiv og fremtidsfokusert. Administrerende direktør er ansvarlig for at revisjonsplan, årsrapport og enkeltvise revisjonsrapporter tilgjengeliggjøres for Riksrevisjonen og NFD. 5. REVISJONSPLAN Hvert år skal det utarbeides en ressurs- og årsplan med budsjett som skal legges frem for styret til formell godkjenning. Internrevisjonens ressurs- og årsplan skal basere seg på risiko- og vesentlighetsvurderinger. Den skal hensynta virksomhetens art, omfang, kompleksitet og etablerte styrings- og kontrollsystemer. Resultatet av GIEKs og Internrevisjonens egen risikovurdering skal legges til grunn når Internrevisjonens ressurser og oppgaver prioriteres. 6. BEKREFTELSESOPPDRAG Internrevisjonens bekreftelsesoppdrag kan omfatte, men er ikke begrenset til, undersøkelser og evaluering innenfor områdene virksomhetsstyring, risikostyring og kontroll. Bekreftelsesoppdragene kan omfatte [listen er ikke uttømmende]: målrettet og kostnadseffektiv bruk av ressurser virksomhetskultur plan og strategiarbeid forebygging og avdekking av misligheter pålitelig rapportering av virksomhetsdata helhetlig risikostyring etterlevelse av regelverk, krav fra overordnet departement og øvrige kvalitetskrav IT-governance og IT-sikkerhet overordnet styring og kontroll
Vedlikeholdes av: Chief Compliance Officer Side: 3 av 5 7. RÅDGIVNINGSOPPDRAG Internrevisjonen kan innenfor sitt kompetanseområde gi råd og veiledning for å bidra til forbedringer. Internrevisjonen skal vurdere om rådgivningen påvirker eller kan oppfattes å påvirke internrevisjonens objektivitet. Rådgivningsoppdrag av vesentlig omfang skal avklares med styreleder. 8. ANDRE OPPGAVER For å bidra til best mulig dekning og til å unngå dobbeltarbeid, skal internrevisjonen dele informasjon samt basere seg på og samordne aktiviteter med andre interne leverandører av bekreftelses- og rådgivningstjenester, samt Riksrevisjonen, i det omfang som er hensiktsmessig. 9. RAPPORTERING AV RESULTATET AV BEKREFTELSES- OG RÅDGIVNINGSOPPDRAG Resultatet av bekreftelses- og rådgivningsoppdrag rapporteres etter utført oppdrag til leder for ansvarsområdet eller vedkommende aktivitet. Eventuelle observasjoner skal diskuteres med revidert enhet i forkant av dette. Internrevisjonen avgjør hvem som i tillegg skal motta rapporten og/eller eventuelt rapportsammendrag. Hvis kopi av rapporten eller rapportsammendraget distribueres oppover i linjen, vil internrevisjonen sørge for at ingen ansvarsnivå blir utelatt. Mottakeren av rapporten skal ha mulighet til å uttale seg om rapporten før den videre distribueres eller inngår som en del av en samlerapportering til et overordnet nivå. 10. RAPPORTERING TIL STYRET OG TOPPLEDELSEN Minimum én gang per år, eller så ofte som til enhver tid er avtalt med styret, skal Internrevisjonen avgi rapport til styret og administrerende direktør om GIEKs styring og kontroll. Rapporten vil inkludere resultatene av revisjonsarbeidet samt eventuelle uttalelser, viktige anbefalinger og samlede vurderinger. Rapporten vil også normalt omfatte en oversikt over hvilke revisjoner som er gjennomført, eventuelle vesentlige svakheter som er avdekket, og status for implementeringen av tiltak for å bedre prosessene for virksomhetsstyring, risikostyring og kontroll. Internrevisjonen skal også redegjøre for avvik fra ressurs- og årsplanen samt omprioriteringer. Rapporteringen og kommunikasjon med styret og toppledelsen må inkludere tema som; Instruksen for internrevisjonen og om der er behov for endringer Internrevisjonens uavhengighet Internrevisjonens plan og fremdrift i forhold til planen
Vedlikeholdes av: Chief Compliance Officer Side: 4 av 5 Gjennomførte oppdrag utenfor revisjonsplanen Ressursbehov Resultatet av revisjonsaktivitetene Resultatet av internrevisjonens kvalitetssikring- og forbedringsprogram samt en vurdering av i hvilken grad internrevisjonen er i overenstemmelse med internrevisjonsstandardene og planene for å håndtere eventuelle områder der det er avvik Eventuelle risikoer som er akseptert av ledelsen som internrevisjonen vurderer kan være uakseptable for GIEK Leder av internrevisjonen skal uoppfordret informere styret om forhold vedkommende blir kjent med og som har eller kan få vesentlig betydning for GIEKs virksomhet, slik som større feil, misligheter/uregelmessigheter og svikt i den interne kontrollen. Leder av internrevisjonen skal være til stede når styret behandler internrevisjonens planer og rapporter med mindre leder av internrevisjonen anser at tilstedeværelse ikke er påkrevet. Leder av internrevisjonen har både rett og plikt til å gi rapport til, eller på annen måte gi opplysninger direkte til GIEKs styre, administrerende direktør og ledelsen forøvrig hvis forholdene etter leder av internrevisjonens vurdering skulle tilsi det. Det skal årlig gjennomføres et møte mellom leder av internrevisjonen og styret uten at administrasjonen er tilstede. 11. OPPFØLGING Internrevisjonen skal følge opp status for implementeringen av tiltak ledelsen har besluttet å gjennomføre som en følge av anbefalinger fra internrevisjonen, samt vurdere om ledelsens oppfølging og iverksettelse er tilfredsstillende. 12. INTERNE FORBEDRINGER I INTERNREVISJONSFUNKSJONEN Leder av internrevisjonen er ansvarlig for å gjennomføre evalueringer og forbedringer av internrevisjonsfunksjon og dens aktiviteter, både løpende og periodisk. Resultater og forbedringer skal jfr. kapittel 10 ovenfor rapporteres til styret. 13. GYLDIGHET Denne instruks trer i kraft 3. mars 2016 og erstatter instruks fra 2005. Instruksen skal regelmessig gjennomgås med styret for å evaluere hvorvidt instruksen fortsatt er relevant.
Vedlikeholdes av: Chief Compliance Officer Side: 5 av 5 14. Versjonshistorikk Versjon Dato Beskrivelse 02 03.03.2016 Ny revisjon av instruksen