Rapport Helse Midt-Norge RHF. Evaluering av internrevisjonen

Like dokumenter
Styremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

Ekstern evaluering av internrevisjonen i Helse Nord RHF

1. FORMÅL 2. PROFESJONELT GRUNNLAG

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Instruks for internrevisjonen i Helse Nord RHF endring

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Erfaringer fra NIRF`s kvalitetskontroll

Styret Helse Sør-Øst RHF 12. september 2014 SAK NR STATUS REVISJONSPLAN FOR KONSERNREVISJONEN HELSE SØR-ØST

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Instruks for konsernrevisjonen Helse Sør-Øst

HELSE NORD RHF ENDRING

Årsrapport internrevisjonen og styrets revisjonsutvalg 2015

Årsrapport 2012 Internrevisjon Pasientreiser ANS

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Saksframlegg. Styret Helse Sør-Øst RHF 7. februar 2013

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Helseforetakenes senter for pasientreiser ANS 1/2016

Revisjonsplan 2018 Konsernrevisjonen Helse Sør-Øst

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Revisjon Sørlandet sykehus HF

Utkast Revisjonsplan Internrevisjon Pasientreiser HF

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Sammenligning av ledelsesstandarder for risiko

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

Revisjonsplan Konsernrevisjonen Helse Sør-Øst

Halvårsrapport Konsernrevisjonen Helse Sør-Øst RHF

Universitetet i Oslo EIR

Revisjonsplan 2019 Konsernrevisjonen Helse Sør-Øst. Oppdatert med endringer etter styremøte (sak 46/2018)

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Internrevisjonsrapport - oppsummering

Styresak. Gunn Hilde Naaden Hirsch. Styresak 85/15 Regional internrevisjon av bierverv

Årsrapport 2011 Internrevisjon Pasientreiser ANS

Saksredegjørelse. Fig 1. Foretakets modell for virksomhetsstyring og intern kontroll

Revisjon av styring og kontroll

Mislighetsrevisjon Sykehuset Innlandet HF

Revisjonsplan 2017 Konsernrevisjonen Helse Sør-Øst

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS

RSK 001 Standard for forvaltningsrevisjon

Instruks for administrerende direktør. Akershus universitetssykehus HF. Vedtatt i styremøte

Instruks for administrerende direktør. Sykehuset Innlandet HF. Vedtatt i styremøte 30. mai 2012

Instruks for administrerende direktør HELSE SØR-ØST RHF. Vedtatt i styremøte 4. februar 2010

Instruks for administrerende direktør. Sykehuset Telemark HF

Internrevisjon en evaluering av Antibiotikabruk i Helse Nord. Internrevisor Hege Knoph Antonsen, Helse Nord RHF

Vår dato: Vår referanse: Arkivnr: Vår referanse må oppgis ved alle henvendelser

Styreleders tilrådning: Instruks for administrerende direktør i Helse Finnmark HF vedtas slik den foreligger.

Årsrapport 2014 Vedlegg 3 Oppsummering av revisjonsområdet ressursstyring

INSTRUKS FOR STYRETS REVISJONSUTVALG HELSE SØR-ØST RHF

Veiledning- policy for internkontroll

Rapport Revisjon forskning Revmatismesykehuset AS

Protokoll fra: Revisjonskomiteen Møtedato: kl Møteleder: Andreas Kjær Møtested: Quality Hotell Strand Gjøvik

Årsrapport 2016 Internrevisjon Helseforetakenes senter for pasientreiser ANS

Internrevisjon et samarbeid på tvers

Styremøte 15. juni 2016 i Sørlandet sykehus HF. Styresak

Helhetlig risikostyring som en integrert del av mål- og resultatstyringen i Helse Midt-Norge Toril Orrestad

Etableringsprosjekt Sykehusinnkjøp HF. Status og risiko pr. 15.august 2016

Instruks for. administrerende direktør. Sørlandet sykehus HF

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Sykehuset Innlandet HF Styremøte SAK NR PLAN FOR INTERNE REVISJONER Forslag til VEDTAK:

HELSE MIDT-NORGE RHF STYRET. Sak 22/11 Oppfølging og risikovurdering av eiers samlede styringsbudskap 2011

INSTRUKS FOR ADMINISTRERENDE DIREKTØR I HELSE NORD RHF

Instruks for daglig leder SYKEHUSAPOTEKENE HF

Organisering av kvalitetsutvalg og pasientsikkerhetsutvalg

Saksnr. som inneholder: Godkjenning av møteprotokoll, administrerende direktørs orientering og orienteringssaker er utelatt.

Universitetet i Stavanger Styret ved Universitetet i Stavanger

Egenevaluering av internkontrollen

Instruks for administrerende direktør HELSE SØR-ØST RHF

Vedlegg sak 16/13 Administrerende direktørs orienteringer Endringer i helseforetaksloven med virkning fra

Oslo universitetssykehus HF

Instruks for administrerende direktør HELSE SØR-ØST RHF

Instruks for daglig leder. Sykehuset Østfold HF. Behandles i styremøte 24. september 2012

IKT-revisjon som del av internrevisjonen

Status og oppfølging av styrevedtak t.o.m

INSTRUKS FOR ADMINISTRERENDE DIREKTØR HELSE SØR-ØST RHF. Versjon

Instruks for internrevisjon NMBU

Compliance funksjonen utøvelse og praktisk angrepsvinkel

Styresak Oppfølging av internrevisjonsrapport 04/2017 henvisninger og ventetider i Helse Nord, oppfølging av styresak

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Møtedato: 29. april 2015 Arkivnr.: Saksbeh/tlf: Sted/Dato: Hilde Rolandsen/Oddvar Larsen Bodø,

Revisjonsplan 2011 Konsernrevisjonen Helse Sør-Øst

Angående overlapp mellom styrets rolle og adm. dir. sin rolle

U N I V E R S I T E T E T I B E R G E N

Prinsipper Internrevisorer forventes å anvende og opprettholde følgende prinsipper:

Rapport konsernrevisjon av BUPA - pasientforløp

NKRF Årsmøte 2009 Revisors vurdering av internkontroll

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Høgskolen i Sør-Trøndelag Høgskolestyret. Sak: Henvisning til HiSTs måltavle (

Saksframlegg Referanse

Styresak Intern styring og kontroll, inkl. risikostyring - status i arbeidet

Internrevisjonsordningen i Forsvarssektoren

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Metodikk innen kvalitetssikrin o risikos rin

Teknisk kontrollorgan. SINTEF IKT, Senter for jernbanesertifisering TILSYNSRAPPORT

Aktivitetsplan Internrevisjonen

INSTRUKS FOR ADMINISTRERENDE DIREKTØR I HELSE NORD RHF

REVISJONSKOMITÉ ENDRING

Transkript:

Rapport Helse Midt-Norge RHF Evaluering av internrevisjonen Audit & Advisory Desember 2015

Innholdsfortegnelse INNHOLDSFORTEGNELSE... 2 1. SAMMENDRAG... 3 1.1 FORMÅL... 3 1.2 METODIKK... 3 1.3 OVERORDNET OPPSUMMERING... 4 2. INNLEDNING OG MANDAT... 7 2.1 TILNÆRMING OG METODIKK... 8 2.2 FREMGANGSMÅTE... 8 2.2.1 Avgrensing... 9 3. EVALUERING... 10 3.1 RAMMEBETINGELSER OG POSISJON... 10 3.1.1 Formål og rammeverk... 10 3.1.2 Posisjon, rapporteringslinjer og fullmakter... 10 3.1.3 Internrevisjonens strategi... 11 ANBEFALING - RAMMEBETINGELSER, UAVHENGIGHET OG OBJEKTIVITET... 12 3.2 RESSURSER... 12 3.2.1 Kompetanse... 12 3.2.2 Ressursstyring... 13 ANBEFALING RESSURSER... 14 3.3 PROSESS OG VERKTØY... 14 3.3.1 Utforming av aktivitetsplan/årsplan... 14 3.3.2 Planlegging av revisjonsoppdrag... 15 3.3.3 Utførelse av revisjonsoppdrag... 15 3.3.4 Rapportering av revisjonsoppdrag... 16 3.3.5 Kvalitetssikring... 16 3.3.6 Verktøy... 17 3.3.7 Kommunikasjon... 17 ANBEFALING PROSESS... 18 3.4 NYTTEVERDI... 18 3.4.1 Kvalitet... 18 3.4.2 Fremdrift og oppfølging... 19 ANBEFALING - NYTTEVERDI... 19 4. VEDLEGG 1... 20

1. Sammendrag 1.1 Formål Styret i Helse Midt-Norge RHF har gjennom aktivitetsplan 2015-2017 for internrevisjonen bestemt at det i 2015 skal gjennomføres en ekstern evaluering av internrevisjonsfunksjonen i det regionale helseforetaket, jf. krav i IIA (Institute of Internal Auditors) sine standarder for profesjonell utøvelse av internrevisjon. På ovennevnte grunnlag har Deloitte gjennomført en evaluering av internrevisjonen med formål å: vurdere etterlevelse av IIAs standarder vurdere internrevisjonens systemer og prosesser opp mot god praksis for effektiv og nyttig internrevisjon identifisere eventuelle gap og gi anbefalinger til mulige forbedringer Evalueringen er gjennomført i perioden oktober-november 2015. 1.2 Metodikk Vår evaluering baserer seg på Deloittes internasjonale metodikk for evaluering av internrevisjonsfunksjoner, som sammenholder fem ulike elementer (Rammebetingelser, Posisjon, Ressurser, Prosess og verktøy samt Nytteverdi) med relevante IIA-standarder. Modellen er illustrert i figur 1 nedenfor. Dette innebærer en vurdering av Rammebetingelser: Instruks, fullmakter, ansvar og oppgaver for internrevisjonsfunksjonen Posisjon: Organisasjonens styringssystem, internrevisjonens rolle, plassering i organisasjonen og rapporteringslinjer Ressurser: Internrevisjonens disponible ressurser, og organisering av disse, kapasitet og kompetanse Prosess og verktøy: Funksjonens prosesser og bruk av verktøy i utarbeidelse av årsplan, samt planlegging, gjennomføring og rapportering av internrevisjonsprosjekter Nytteverdi: Internrevisjonens leveranser og nytteverdi for organisasjonen, tiltak for kvalitetssikring og forbedring 3

Figur 1 1.3 Overordnet oppsummering Internrevisjonen i Helse Midt-Norge RHF fremstår som godt tilpasset organisasjonens øvrige styringsstruktur. I intervjuer blir det bekreftet at internrevisjonen oppfattes som nyttig og anses å besitte faglig ekspertise og evne til å stille relevante spørsmål, samt tilfører gode råd og bekreftelser i de oppdrag og områder som er revidert. Det er registrert enkelte avvik fra IIAs standarder innenfor alle de fem elementene som er evaluert. Disse avvikene bør lukkes. I tillegg har internrevisjonen et forbedringspotensial knyttet til verktøy og kvalitetssikring. Nedenfor følger en overordnet oppsummering av evalueringen av de enkelte hovedområder for internrevisjonen i Helse Midt-Norge: Rammebetingelser Internrevisjonen fremstår som godt tilpasset virksomhetens øvrige kontrollfunksjoner og blir aktivt benyttet av styret for å påse at internkontrollen er tilfredsstillende. 4

Posisjon Internrevisjonen er underlagt styret i Helse Midt-Norge RHF. Internrevisjonens rolle og plassering i forhold til styre og revisjonsutvalg er klar. Internrevisjonen og dens rolle, oppgaver og funksjon, kan med fordel gjøres mer kjent både i RHF og øvrige helseforetak i regionen. Bekreftelse på internrevisjonens uavhengighet fremkommer ikke av årsrapporten. Ressurser Internrevisjonen i Helse Midt-Norge RHF har relevant kompetanse på vesentlige kjerneområder. Dagens revisjonssjef besitter betydelig kompetanse om spesialisthelsetjenesten generelt og spesielt om Helse Midt-Norge og det vil være behov for at denne kompetansen styrkes i internrevisjonen når dagens internrevisjonssjef slutter i Helse Midt-Norge RHF. Enheten har budsjett til å kjøpe ekstern kompetanse når det er behov for dette i de ulike revisjonene. For overordnet styring og planleggingsformål kan det være en fordel at timer per prosjekt blir registrert for å dokumentere hvordan internrevisjonsressursene fordeles og benyttes i de enkelte revisjoner. Prosess Prosess for utvikling av aktivitetsplan tilfredsstiller i hovedsak IIAs standarder, men definering og rangering av risikoer kan ytterligere dokumenteres. Når det gjelder planlegging av de enkelte revisjonsprosjektene er metodikken i samsvar med IIA standard. Nytteverdi Det er ikke etablert formalisert rutine for systematisk evaluering av kvalitet og nytteverdi av internrevisjonen. Manglende systematisert evaluering og måling av ressursbruk gjør det vanskelig å vurdere om ressursene brukes riktig ifht risikobildet. Tilbakemeldinger i evalueringen bekrefter imidlertid at internrevisjonen oppfattes å tilføre nytteverdi gjennom relevante råd og bekreftelser. Oppsummering internrevisjonens grad av etterlevelse av IIA standarder og god praksis i Helse Midt-Norge: 5

Nedenfor følger en kort oppsummering av avvik i rapporten, samt anbefalinger som gis i tråd med beste praksis. Se det enkelte kapittel for ytterligere beskrivelse av disse punkter og observasjoner. Avvik 1000: Formål, fullmakter og ansvar Instruks for internrevisjon bør gjennomgås og eventuelt oppdateres mer regelmessig enn det som har vært praksis så langt 1110: Organisasjonsmessig uavhengighet Bekreftelse på internrevisjonens uavhengighet fremkommer ikke av årsrapporten eller annen dokumentasjon 1300/1310/1311/1312/1320: Kvalitetssikring og forbedring Ikke utpekt en formell kvalitetssikringsrolle i internrevisjonen og i prosjekter Ikke etablert en formalisert rutine for systematisk evaluering av kvalitet og nytteverdi av internrevisjonen Manglende innhenting av evalueringer fra revidert enhet Dokumentere den interne evaluering som gjennomføres i etterkant av det enkelte revisjonsprosjekt Ekstern evaluering skal gjennomføres hvert 5. år Ingen formalisert rapportering til ledelse og styret om resultat fra kvalitets- og forbedringsgjennomganger Forbedringsområder 1230: Vi anbefaler å utarbeide en kompetanseplan for den enkelte medarbeider i internrevisjonen 2120: Vi anbefaler at internrevisjonens innspill og prioritering av risiko (definering og rangering av risikoer) til revisjonsutvalg og styre i større grad dokumenteres 2220/2230: Vi anbefaler at man estimerer omfang (timer) per oppdrag 6

2. Innledning og mandat Internrevisjonen skal på vegne av styret i Helse Midt-Norge RHF bidra til forbedringer i virksomhetsstyring, risikostyring, og internkontroll i det regionale helseforetaket og helseforetakene i regionen. Internrevisjonen er organisert under styret i Helse Midt-Norge RHF og rapporterer funksjonelt til styrets revisjonsutvalg og administrativt til administrerende direktør i det regionale helseforetaket. Styret tilsetter leder for internrevisjonen i samråd med revisjonsutvalget. Internrevisjonen i Helse Midt-Norge RHF ble etablert i 2005, og 1.1.2013 ble den hjemlet i Lov om helseforetak 37a. De regionale helseforetakene skal etablere en uavhengig og objektiv internrevisjon. Internrevisjonen skal gjennom en systematisk og strukturert metode og avgivelse av bekreftelse bidra til forbedringer i risikostyring, internkontroll og virksomhetsstyring. Internrevisjonen skal rapportere funksjonelt til styret og administrativt til daglig leder. Internrevisjonen skal også omfatte helseforetakene som det regionale helseforetaket eier, og inngåelse og oppfølging av avtaler med andre tjenesteytere. Internrevisjonen skal gjennomføres i henhold til anerkjente standarder og løpende følge virksomheten. Internrevisjonen kan, uten hinder av taushetsplikt, kreve enhver opplysning, redegjørelse eller ethvert dokument og foreta de undersøkelser som den finner nødvendig for å gjennomføre oppgavene. Opplysningene skal så langt det er mulig gis uten individualiserende kjennetegn. Reglene om taushetsplikt gjelder tilsvarende for den som mottar opplysningene. Internrevisjonen i Helse Midt-Norge RHF består av tre personer, herav en leder og to internrevisorer. Arbeidsområdet til internrevisjonen omfatter det regionale helseforetaket, helseforetakene som det regionale helseforetaket eier, og inngåelse og oppfølging av avtaler som foretakene har inngått med andre tjenesteytere under forutsetning at dette er nedfelt i avtalene mellom partene. 7

Tematisk har revisjonene de senere årene i stor grad vært innrettet mot tre overordnede områder: Pasientsikkerhet, pasientrettigheter og kvalitet. Dette vil være sentrale områder for internrevisjonens arbeid også i den nærmeste framtid. I henhold til IIA standard 1300 skal det regelmessig foretas evaluering ved ekstern part. I tillegg er det fra organisasjonens side et ønske om å bli vurdert opp mot beste praksis med hensyn til effektivitet, nytteverdi, og forslag til eventuelle forbedringer. På dette grunnlag har Deloitte, på oppdrag fra Internrevisjonen i Helse Midt-Norge, foretatt en gjennomgang av internrevisjonen og dens mandat, organisering, ressurser, prosesser og systemer med formål å Vurdere etterlevelse av IIAs standarder Vurdere internrevisjonens systemer og prosesser opp mot ellers god praksis for effektiv og nyttig internrevisjon Identifisere mulige gap og gi anbefalinger til eventuelle forbedringer 2.1 Tilnærming og metodikk Deloittes evaluering baserer seg på anerkjent internasjonal metodikk for evaluering av internrevisjonsfunksjoner, som sammenholder de ulike elementene med relevante IIA-standarder og vår kjennskap til god praksis for effektiv og verdiskapende internrevisjon. 2.2 Fremgangsmåte Vi har i prosjektet dannet oss et overordnet bilde av internrevisjonen i Helse Midt-Norge RHF sine oppgaver og kontrollsystem, organisering og organisasjonens behov, ved hjelp av: Dokumenter som fremkommer på Helse Midt-Norges nettsider Informasjon fra internrevisjonen Følgende dokumenter er gjennomgått i forbindelse med evalueringen. Instruks for internrevisjon Aktivitetsplan 2015-2017 Aktivitetsplan 2014-2016 Årsrapport for 2014 og 2013 Halvårsrapport for 2013 Oversikt over gjennomførte oppdrag Utvalgte Internrevisjonsrapporter og prosjektnotat I tillegg har vi blitt forevist metodisk gjennomføring av internrevisjoner, som dokumentert i EQS, RHF sitt kvalitetssystem. Vi har gjennomført intervjuer med Helse Midt-Norges direktør Leder for Internrevisjonen Medarbeidere i internrevisjonen Medlemmer fra Revisjonsutvalg/Styret Kvalitetssjefer fra følgende helseforetak i regionen: St. Olavs Hospital Helse Møre og Romsdal Helse Nord-Trøndelag 8

2.2.1 Avgrensing Noen standarder er ikke etterprøvd fordi det ikke foreligger eksempler, indikasjoner eller dokumentasjon på situasjoner der disse har kommet til anvendelse. En oversikt over hvilke standarder dette gjelder, fremgår av vedlegg 1. 9

3. Evaluering 3.1 Rammebetingelser og posisjon (IIA 1000, 1010, 1100, 1110, 1111, 1120, 1130, 2000) 3.1.1 Formål og rammeverk I henhold til IIA-standard 1000 skal «Internrevisjonens instruks» angi funksjonens formål, fullmakter og ansvar. Instruksen skal også gjennomgås og oppdateres regelmessig. Instruks for internrevisjonen i Helse Midt-Norge definerer formål, organisering, ansvar og myndighet. Instruksen beskriver at revisjonsarbeidet skal utføres i samsvar med anerkjente faglige standarder, IIA standard regnes som en del av dette, men er ikke direkte listet i instruksen. Instruksen henviser også til lov om helseforetak 37a. Internrevisjonens instruks er vedtatt av styret i Helse Midt-Norge RHF 14. mai 2013. Denne instruksen erstatter tidligere instruks fra 6. mai 2009. Internrevisjonens formål og rolle fremstår som tilpasset organisasjonens øvrige styringsstruktur. Etter vår vurdering bør Instruks for internrevisjon gjennomgås og eventuelt oppdateres mer regelmessig enn det som har vært praksis så langt. En gjennomgang av instruksen kan for eksempel fremkomme med dato under «revisjon av instruksen». Ved å legge inn «revisjonsdato» vil man kunne få sporbarhet i forhold til gjennomgang av instruksen. Eventuelle endringer skal godkjennes av styret og vil da dateres etter styregodkjenning. Instruks kan med fordel også henvise til IIA sine standarder under beskrivelse av at revisjonsarbeidet skal utføres i samsvar med anerkjente standarder, enten som fotnote eller direkte i tekst. 3.1.2 Posisjon, rapporteringslinjer og fullmakter Standard 1100 setter krav til uavhengighet og objektivitet. Den organisatoriske plasseringen skal ivareta integritet, objektivitet og uavhengighet i forhold til organisasjonen og prosessene den skal revidere. I samsvar med IIAs standarder, beskriver instruks for internrevisjon i Helse Midt-Norge RHF uavhengighet og objektivitet. Internrevisjonen er underlagt styret i Helse Midt-Norge RHF. I forbindelse med evalueringen, er vi informert at internrevisjonens rolle og funksjon i helseforetaket, ikke er tilfredsstillende kjent i alle deler av organisasjonen. 10

I tillegg er vi gjort oppmerksomme på en noe uklar begrepsbruk knyttet til internrevisjonen. I de ulike HF beskrives internrevisjonen som «tilsyn», «internkontrollen» og «internrevisjon». Denne evalueringen har ikke avdekket tilfeller der internrevisjonen har opplevd interessekonflikter. Vi har fått beskrevet en situasjon hvor habilitet til innleid ressurs fra foretaksgruppen ble vurdert. Videre er vi informert om at det foretas en vurdering av eventuelle habilitetskonflikter i planleggingsfasen av den enkelte revisjon. Instruks beskriver at internrevisjonens leder skal sørge for at internrevisjonen til enhver tid er hensiktsmessig organisert og har tilgang til de ressurser som er nødvendig for å gjennomføre revisjonsarbeidet på tilfredsstillende vis. Nåværende organisatoriske plassering av internrevisjonen synes god. Internrevisjonen skal være faglig uavhengig av linjeorganisasjonen og rapporterer årlig til Revisjonsutvalg og Styret, i tillegg til at internrevisjonen har periodiske møter med Revisjonsutvalget. I revisjonsutvalgets møter gir internrevisjonen en muntlig status for pågående og planlagte prosjekter. I tråd med IIA standarder skal internrevisjonen bekrefte sin uavhengighet og uavhengige rolle minst årlig. Vi kan imidlertid ikke se av årsrapporter eller annen dokumentasjon at leder for internrevisjon bekrefter ovenfor styret at internrevisjonen er uavhengig. I forbindelse med intervjuer har det fremkommet informasjon om at internrevisjonsprosjekter med fordel kan koordineres med ulike tilsyn og revisjoner som utføres på HF i løpet av et år. Internrevisjonens rammebetingelser, herunder instruks, fullmakter, oppgaver og ansvar og plassering i organisasjonen, er i hovedsak i samsvar med IIAs standarder og anerkjent praksis. Internrevisjonens leder bør bekrefte uavhengighet minst en gang årlig til Styret. 3.1.3 Internrevisjonens strategi I internasjonale internrevisjonsstandarder er det ikke krav om at det skal utformes en strategi for internrevisjonens arbeid. Etter beste praksis kan det dog være formålstjenlig at det utformes en strategi som viser hvilke valg internrevisjonen skal ta på ulike områder som berører ressursinnsatsen til enheten. Dette gjelder ressursbruk, arbeidsoppgaver og beskrivelse av revisjonsuniverset for internrevisjonens arbeid. Utforming av en strategi vil vise potensial for revisjonens oppgaveutførelse og ikke minst synliggjøre hvilke områder og tema internrevisjonen skal eller bør iverksette prosjekter på bakgrunn av en risiko og vesentlighetsvurdering. Videre vil en strategi synliggjøre hvilke forventninger organisasjonen har til fordeling/gjennomføring av rådgivnings- og bekreftelses-oppdrag. Det er ikke utarbeidet en strategi for internrevisjonens virksomhet. 11

For at internrevisjon skal forbli relevant, må den tilpasse seg endrede forventninger fra ledelsen samt vedlikeholde og oppdatere de mål virksomheten har satt seg. Den interne revisjonsstrategien spiller en viktig rolle med tanke på å oppnå balanse mellom kostnader og verdi, samtidig som den gir meningsfulle bidrag til organisasjonens samlede foretaksstyring, risiko og internkontroll. En strategi bør minst inneholde informasjon om kritiske suksessfaktorer, kompetanse om Helse Midt-Norge og foretakets mål, forventninger fra styre/revisjonsutvalg og andre interessenter i tillegg til tiltak og aktiviteter for å oppnå de mål Helse Midt-Norge RHF har satt seg. Internrevisjonen kan med fordel utarbeide en strategi som viser hvilke valg og føringer internrevisjonen skal ta på ulike områder. Internrevisjonen bør gjennom strategien blant annet konkretisere hvordan de bidrar til å realisere strategi 2020 for Helse Midt-Norge. Anbefaling - rammebetingelser, uavhengighet og objektivitet Vi anbefaler at instruks for internrevisjon gjennomgås og oppdateres regelmessig. Videre anbefaler vi at det vurderes tiltak for å gjøre internrevisjonens rolle og funksjon bedre kjent i alle deler av organisasjonen. I tillegg anbefaler vi at bekreftelse av internrevisjonens uavhengighet fremkommer av årsrapporten. 3.2 Ressurser (IIA 1200, 1210, 1220, 1230 og 2030) 3.2.1 Kompetanse Standard 1200 og tilhørende standarder, setter krav til faglig dyktighet og tilbørlig faglig aktsomhet, samt faglig utvikling. Internrevisjonen i Helse Midt-Norge består av tre heltids ansatte, inkludert revisjonens leder. Leder av internrevisjonen har vært ansatt i internrevisjonen siden 2007 og vært leder siden 2008. Øvrige medarbeidere har jobbet i internrevisjonen siden 2012. Medarbeidere i internrevisjonen har lang erfaring med internrevisjon. En av internrevisorene er i gang med utdannelse som internrevisor (Diplomert internrevisor, avsluttes våren 2016). I tillegg er to av internrevisjonens medarbeidere sertifisert som revisjonsledere ihh til ISO-standarden. Internrevisjonens medarbeidere deltar videre regelmessig på kurs og konferanser innen fagfeltet. I forbindelse med evalueringen har vi ikke sett en kompetanseplan for den enkelte medarbeider, men vi er informert om at terskelen for deltakelse på kurs er lav i organisasjonen. Internrevisjonen har en egen budsjettpost knyttet til bruk av ekstern kompetanse og kapasitet i oppdrag. Internrevisjonen har også mulighet til å trekke på medarbeidere i foretakene for øvrig. I forbindelse med planlegging av revisjonsprosjekter, gjør internrevisjonen en vurdering av og behov for eventuell ekstern kapasitet og kompetanse. I samtaler med reviderte enheter og medlemmer av revisjonsutvalget/styret, gir samtlige internrevisjonen gode skussmål. Internrevisjonen oppfattes som faglig kompetente. Enheter som 12

har vært gjenstand for revisjon, gir uttrykk for at internrevisjonens observasjoner og tiltak er korrekte, treffer godt og er i tråd med organisasjonens behov. I forbindelse med denne gjennomgangen er vi informert om at internrevisjonen i etterkant av hver revisjon diskuterer og evaluerer det enkelte revisjonsprosjekt for videre læring. Denne evalueringen er ikke sporbar eller dokumentert. Etter Deloitte sin vurdering har internrevisjonen god kjennskap til Helse Midt-Norges virksomhet, interne regelverk og kultur. Dette har stor betydning for at gjennomføring av revisjonsprosjekter i foretakene oppleves som god og av høy kvalitet. Lang fartstid og nærhet til organisasjonen kan imidlertid påvirke objektivitet og uavhengighet, men Deloitte har ikke identifisert noen indikasjoner på habilitetsproblematikk. Internrevisjonen har anledning til å kjøpe ekstern bistand ved behov, samt trekke på intern helsefaglig kompetanse fra helseforetakene i regionen. Den vurdering internrevisjonen gjør i planleggingsfasen av prosjekter med tanke på bruk av ekstern bistand, bør dokumenteres. Det er viktig at revisjonen gjør en generell vurdering av og fastsetter kriterier for hvordan ekstern kompetanse og kapasitet skal benyttes i forbindelse med risikovurderinger, planlegging og gjennomføring av revisjonsoppdrag. Internrevisjonen bør vurdere å dokumentere evaluering av det enkelte revisjonsprosjekt som utføres. 3.2.2 Ressursstyring Standard 2030 tilsier at internrevisjonssjefen skal sørge for egnet, tilstrekkelig kompetanse og hensiktsmessig ressursstyring. Ressursene i internrevisjonen utgjør om lag 4000-4500 1 revisjonstimer i året, i tillegg disponerer internrevisjonen midler til å innhente bistand ved behov. Det foreligger ikke detaljert oversikt over hvordan den samlede tiden til den enkelte internrevisor benyttes, og hvor mye ressurser det enkelte oppdrag krever i de ulike faser av revisjonen. Internrevisjonens beskjedne størrelse gjør det imidlertid relativt enkelt å ha en overordnet oversikt over ressursbruken i enheten. Deloitte er informert om at det i planleggingsfasen gjøres en uformell vurdering av tidsbruk i prosjekter. Dersom det er behov for mer tid underveis, innhentes aksept fra Revisjonsutvalget på dette. Eventuelle endringer i aktivitetsplanen vil fremkomme av internrevisjonens årsrapport. Internrevisjonen er sekretariat for revisjonsutvalget. Internrevisjonssjef deltar i alle møter i revisjonsutvalget, mens de øvrige medarbeidere i internrevisjonen deltar dersom de har anledning. Internrevisjonen deltar også i styremøtene dersom dette passer i forhold til annen aktivitet i virksomheten. 1 Ca. 1350-1500 revisjonstimer per år/årsverk 13

Internrevisjonens styring av ressurser fremstår som tilpasset organisasjonen for øvrig. Til tross for oversiktlige forhold, kan manglende timeføring og timebudsjettering øke risikoen for ikke optimal bruk av ressurser. Anbefaling ressurser Kompetanse Internrevisjonen bør vurdere å dokumentere evaluering av oppdrag som gjennomføres internt i internrevisjonen. Videre bør den vurdering internrevisjonen gjør i planleggingsfasen av prosjekter knyttet til bruk av ekstern bistand, dokumenteres Ressursstyring Internrevisjonen kan vurdere å etablere en timeføring som gjør det lettere å planlegge fremtidig bruk av ressurser. Dette vil kunne gjøre det lettere å vurdere om ressursene allokeres der risikoen er størst, samt hvor stor andel av timene som er effektiv revisjonstid. 3.3 Prosess og verktøy (IIA 2000, 2010, 2020,2030, 2040, 2050, 2060, 2070, 2100, 2110, 2120, 2130, 2200, 2201, 2210, 2220, 2230, 2240, 2300, 2310, 2320, 2330, 2340, 2400, 2410, 2420, 2421, 2430, 2331, 2440, 2450, 2500, 2600) 3.3.1 Utforming av aktivitetsplan/årsplan Standard 2000 sier at revisjonssjefen må lede internrevisjonen på en hensiktsmessig måte som sikrer at den tilfører organisasjonen merverdi, bl.a. at årsplanen skal være risikobasert (standard 2010). Dette medfører krav til planlegging, kommunikasjon, ressursstyring, retningslinjer og prosedyrer, samordning og rapportering. Standard 2100 setter krav til arbeidets art, herunder at organisasjonens governance og risikostyring vurderes. Standard 2600 krever avklaring med toppledelsen om risikoprofil. Internrevisjonen har beskrevet sin metodiske fremgangsmåte i RHFs sitt kvalitetssystem EQS. Metodikken er retningslinjer som beskriver en dynamisk prosess, i den forstand at internrevisjonen i samråd med Revisjonsutvalget kan endre planen i løpet av året, og deretter eventuelt overføre prosjekter til senere år ved behov. Det er de enkelte helseforetak, regionale helseforetak, brukerutvalg m.fl. som foretar en risikovurdering og gir internrevisjonen innspill til aktivitetsplan. I etterkant av at internrevisjonen mottar innspill, setter de opp et forslag til prioritering av prosjekter. Prioritering av prosjekter vurderes opp mot tidligere revisjoner, diskusjon med styret og andre ledere samt annen bakgrunnsinformasjon. Forslag sendes deretter til revisjonsutvalget som vurderer prioriteringen. Revisjonsutvalget har mulighet til å endre på prioriteringen og legger frem forslag til aktivitetsplan for vedtak i Styret i Helse Midt-Norge RHF. Aktivitetsplanen er tilgjengelig på RHF sin internettside. Aktivitetsplanen beskriver kort oppdragets innhold, men gjør ikke rede for risikoen eller antall timer/budsjett for de ulike revisjonene. Formål/bakgrunn med revisjonsområdet fremkommer kort i beskrivelse av den enkelte revisjonsaktivitet. I tillegg til aktivitetsplanen utarbeides det et 14

prosjektnotat for den enkelte revisjon. Prosjektnotatet beskriver ressurser samt omfang av revisjonen. Omfang er ikke kvantifisert i antall timer, men det er satt en estimert tidsramme for gjennomføring av det enkelte prosjekt. Vi er gjort kjent med at det nylig er gjennomført en revisjon i regionen som vil legges til grunn for videre arbeid med å få på plass kunnskap og rammeverk som setter foretakene i stand til å få en samlet oversikt over risikoen i Helse Midt-Norge. Med denne kunnskap og rammeverk vil internrevisjonen ha tilgang til info som kan gi et optimalt grunnlag for planlegging av aktiviteter i forhold til risiko. Internrevisjonens retningslinjer for aktivitetsplanlegging vurderes i overveiende grad å være i tråd med IIAs standarder og god praksis. Etter vår vurdering har internrevisjonen, revisjonsutvalget og styret gode forutsetninger for å vurdere risikobildet som grunnlag for å planlegge sine aktiviteter. 3.3.2 Planlegging av revisjonsoppdrag Standard 2200 regulerer planlegging av oppdrag og sier at det må utarbeides og dokumenteres en plan for hvert oppdrag. Planen skal inkludere oppdragets målsetninger, omfang, tidspunkt for utførelse og ressursallokering. I forkant av hvert oppdrag blir det utarbeidet et prosjektnotat. Prosjektnotatet inneholder informasjon om bakgrunn, formål, omfang, revisjonskriterier, metode samt ansvar og organisering av prosjektet. Prosjektleder og øvrige deltakere, herunder eventuell innleid ressurs, fremkommer også av prosjektnotatet. Prosjektnotatet beskriver ikke kontaktperson hos revidert enhet eller timeomfang for revisjonen. Planleggingen er i stor grad støttet av at internrevisjonen er godt kjent med organisasjonen. Vi vurderer at planlegging av revisjonsoppdrag i all hovedsak er i tråd med standard. 3.3.3 Utførelse av revisjonsoppdrag Standard 2300 gir føringer for utførelsen av oppdrag, herunder at internrevisorer må identifisere, analysere, evaluere og dokumentere tilstrekkelig. Arbeidsmetodikken gir retningslinjer for utførelse av internrevisjonsoppdrag. I praksis innhenter internrevisjonen den informasjonen som anses relevant. Revisjonen baseres på gjennomlesing av dokumenter, intervjuer, demonstrasjon på skjerm og testing av utvalgte saker/kontroller. Alle revisjonskriterier skal være avklart i forkant av oppdragets start. 15

Tilbakemeldinger fra reviderte enheter og ledelse bekrefter at man opplever at internrevisjonen som regel har en egnet tilnærming, herunder et hensiktsmessig fokus i identifisering av problemstillinger og informasjon, og i analysearbeidet. Arbeidsmetodikken gir retningslinjer for utførelse av internrevisjonsoppdrag. ene viser at praksis i stor grad er i tråd med standardene og deres intensjon om bruk av egnede metoder. 3.3.4 Rapportering av revisjonsoppdrag Standard 2400 setter krav til rapportering av oppdrag, inkludert rapporteringskriterier, kvalitet i rapporteringen og formidling av resultater. Rapportering skal være nøyaktig, objektiv, klar, konsis, konstruktiv, fullstendig og rettidig. Rapportene utarbeides av revisjonsleder. Rapportering utarbeides basert på feltarbeid og vurderinger gjort i fellesskap i internrevisjonen. Internrevisjonen har som intensjon at internrevisjonssjef skal lese gjennom alle rapporter før utstedelse. Reviderte enheter får utkast til rapport til gjennomlesing og verifisering, før rapporten ferdigstilles. Reviderte enheter opplever god dialog i verifiseringsfasen og at de frister som gis for tilbakemelding og kommentarer er gode og fornuftige. Rapportering skjer i tråd med internrevisjonens mal. Vi er informert om at det pågår et arbeid knyttet til oppdatering og forenkling av rapporteringsmalen. Videre har revidert enhet opplyst at rapportene også fremhever tilfredsstillende forhold og kontroller i enheten. De enheter som vi har intervjuet, opplyser at de er fornøyde med rapportenes kvalitet. Rapportene oppleves nyttige og gir et riktig bilde og god forståelse av den del av virksomheten som er revidert. Arbeidsmetodikkens retningslinjer for format og struktur i rapporten er i samsvar med krav i standardene. 3.3.5 Kvalitetssikring Standard 1300 innebærer krav til program for kvalitetssikring, mens standard 2420 beskriver kvalitet i rapportering. Det er ikke innført noen formell kvalitetssikrer-rolle i oppdragene. Imidlertid foretas det i praksis en kvalitetssikring ved at revisjonsleder og internrevisor sammen diskuterer plan for revisjonsoppdrag, observasjoner og funn, samt revisjonsrapport. I tillegg er det nylig tatt i bruk diktafon i gjennomføring av intervjuer, noe som sikrer kvalitet i informasjonsinnhentingen. At det ikke er utpekt en formell kvalitetssikringsrolle i internrevisjonen, representerer et avvik fra IIAs krav. Basert på tilbakemeldinger fra internrevisjonen og reviderte enheter, er det vårt inntrykk 16

at rapportene er underlagt tilfredsstillende kvalitetssikring, selv om det er avdekket avvik fra standardene. 3.3.6 Verktøy Det er ikke angitt særskilte krav i standardene mht bruk av verktøy, men standard 2320 sier at: «Internrevisorer må basere sine konklusjoner og oppdragsresultater på egnede analyser og evalueringer.» Bruk av riktige/egnede verktøy kan bidra til bedre praksis mht analyser, ressursstyring og dokumentasjon. Helse Midt-Norges internrevisjon gjennomfører revisjonsoppdrag hovedsakelig basert på dokumentgjennomgang, samtaler med utvalgte ansatte og kontroller i systemene. Det blir ikke anvendt spesielle internrevisjonsverktøy, det er hovedsakelig word og excel som benyttes, og ved noen anledninger benyttes Questback i forbindelse med innhenting av informasjon i revisjonsoppdragene. Bruk av hensiktsmessige verktøy kan bidra til å effektivisere arbeidet og øke kvaliteten på internrevisjonens arbeid. De internasjonale standardene har ikke spesifikke krav knyttet til bruk av verktøy som vi i forbindelse med evalueringen kan måle internrevisjonen i Helse Midt-Norge opp mot. For en enhet bestående av tre internrevisorer, kan mye ivaretas, slik det gjøres i dag, med faste maler (med rom for fleksibilitet) for oppdragsplanlegging, arbeids-programmer, rapporter og register for oppfølging av tiltak. 3.3.7 Kommunikasjon Mens standard 2020 regulerer krav til internrevisjonens kommunikasjon med toppledelsen, setter standard 2600 krav til avklaring med toppledelsen om organisasjonens risikoprofil. IIA setter dessuten er rekke indirekte krav om kommunikasjon med reviderte enheter gjennom standarder som angir føringer for planlegging, utføring og rapportering. Tilbakemeldinger i forbindelse med denne evalueringen, bekrefter at internrevisjonen generelt har god dialog med foretaksgruppen. Internrevisjonen fremstår som lett tilgjengelig og kommuniserer godt og tydelig med alle deler av organisasjonen. Vi er imidlertid gjort kjent med at det til nå ikke har vært et tett og godt samarbeid mellom internrevisjonen og administrasjonen i Helse Midt-Norge RHF. Fremover er det lagt opp til at administrasjonen skal følge opp handlingsplaner utarbeidet av revidert enhet i forbindelse med revisjon og det vil bli lagt opp til et tettere samarbeid mellom administrasjon og internrevisjon. I evalueringen er vi gjort kjent med at helseforetakene melder inn prosjekter til aktivitetsplan for internrevisjon, men det er revisjonsutvalget og styret som foretar den endelige prioritering av aktiviteter. Det er viktig å foreta en strukturert og samlet vurdering av risiko i helseforetaket. Internrevisjonen må drøfte med toppledelsen hva de vurderer som de største risikoområdene i 17

foretaket, hvilke risikoer de vurderer som de viktigste og hvordan disse blir vurdert, eventuelt håndtert. kan med fordel dokumenteres. God kommunikasjon med enhetene er en styrke for internrevisjonens bidrag til organisasjonen. Vi anbefaler at internrevisjonens innspill og prioritering av risiko til revisjonsutvalg og styre i større grad dokumenteres. Anbefaling prosess Kvalitetssikring Internrevisjonen bør dokumentere at det er gjennomført kvalitetssikring av rapportering og hvem som har hatt kvalitetssikringsrollen i det enkelte revisjonsprosjekt. Verktøy Internrevisjonen kan vurdere å ta i bruk verktøy for kartlegging, analyse, timeføring og dokumentasjon som et ledd i å øke kvaliteten og effektiviteten i arbeidet. Det kan være formålstjenlig med egen programvare for internrevisjonsprosessen, som sikrer systematisk gjennomføring, ressursstyring og oppfølging av funn og tiltak. Kommunikasjon Vi anbefaler at internrevisjonen i Helse Midt-Norge i større grad dokumenterer prioritering og vurdering av risiko og innspill til aktivitetsplan. 3.4 Nytteverdi (1300, 1310, 1311, 1312, 1320, 1321, 1322, 2000) 3.4.1 Kvalitet Standard 1300 sier at internrevisjonen skal ha etablert et program for kvalitetssikring og forbedring. Standard 1311 sier at man skal innhente interne evalueringer i tillegg til ekstern evaluering minst hvert 5. år (standard 1312). Kvalitetsdimensjonen er inkorporert i metodikk for internrevisjonen. Gjennomgangen viser at det ikke praktiseres noen form for systematisert og dokumentert evaluering av internrevisjonsprosjekter fra revidert part. I intervjuer blir det bekreftet at internrevisjonen oppfattes som nyttig og anses å besitte faglig ekspertise og evne til å stille relevante spørsmål, samt tilfører gode råd og bekreftelser i de oppdrag som er revidert. I intervjuer med kvalitetssjefer kommer det frem at det ved enkelte anledninger savnes bruk av helsefaglig kompetanse i revisjonsprosjekter. Manglende innhenting av evalueringer fra revidert enhet, er et avvik fra standardene. Tross gode tilbakemeldinger, kan avvik fra IIAs krav om regelmessige evalueringer, kvalitets- og forbedringsprogram, føre til at man mister verdifulle innspill til bruk i kvalitetsarbeid, 18

kompetanseutvikling eller kjøp av ekstern bistand. Deloittes evaluering (denne rapporten) innfrir krav om ekstern evaluering. Det er imidlertid et krav om at det minst hvert femte år bør gjennomføres en ekstern evaluering og dette er første gang en slik evaluering gjennomføres. 3.4.2 Fremdrift og oppfølging Standard 2500 om overvåking av fremdrift, sier at revisjonssjef skal etablere og vedlikeholde et system for å følge opp hvordan resultater som er blitt rapportert til ledelsen blir håndtert. Oppfølging av gjennomføring av tiltak er tillagt administrasjonen i RHF. Det er ikke en fast prosess at oppfølgingsrevisjoner blir gjennomført av internrevisjonen. I internrevisjonens årsrapport for 2014 foreligger det en oversikt over «oppfølging av revisjoner gjennomført i 2012-2014». Tilsvarende oversikt finnes i årsrapport for 2013. Disse fargekodes og angir status for revisjonsprosessen og for de ulike tiltak som er identifisert. Grønn kode angir tilfredsstillende oppfølging så langt, Gul kode angir at oppfølging er igangsatt men noe mangelfullt, men rød koding angir manglende oppfølging fra helseforetaket. Revisjonsutvalget vedtok i juni 2015 at internrevisjonen skal følge opp revisjonene ved å innhente handlingsplaner som viser oppfølging av anbefalingene som kom frem i revisjonen. I samme vedtak anbefalte revisjonsutvalget at det er administrasjonen som skal påse at handlingsplanene følges opp og gjennomføres i den enkelte enhet. Overvåking og rapportering av fremdrift i årsrapporten er i tråd med standardene. g Anbefaling - nytteverdi Kvalitet Internrevisjonen bør innhente skriftlig evaluering fra den reviderte enhet etter gjennomførte oppdrag for å få bekreftet hva som fungerer bra, samt kartlegge forbedringspotensial. Fremdrift og oppfølging Internrevisjonen bør vurdere å rapportere anbefalte tiltak med tidsfrist, som grunnlag for å påse at tiltak gjennomføres som planlagt, samt for å gi en korrekt fremstilling av fremdrift for det enkelte tiltaket. Tidsfristen kan settes av den enkelte enhet. 19

4. Vedlegg 1 I tabellen nedenfor har vi listet en oversikt over de enkelte IIA standarder og hvordan internrevisjonen i Helse Midt-Norge RHF etterlever disse. I enkelte tilfeller er det listet opp to kryss, for eksempel både «oppfylt» og «avvik». Doble kryss indikerer at deler av standarden er oppfylt. Utfyllende kommentar til avkryssing er da gitt. Standarder som ikke er vurdert, er krysset av for «IA»/ikke aktuell. # Standard Oppfylt Avvik IA Kommentar 1000 Formål, fullmakter og ansvar x 1010 Anerkjennelse av definisjon av internrevisjon, de etiske regler og standardene i internrevisjonsinstruksen x Instruks kan med fordel vise til IIA-standardene 1100 Uavhengighet og objektivitet x 1110 Organisasjonsmessig uavhengighet x 1111 Direkte samhandling med styret x 1120 Individuell objektivitet x 1130 Svekkelse av uavhengighet eller objektivitet x 1200 Faglig dyktighet og tilbørlig faglig aktsomhet x 1210 Faglig dyktighet x 1220 Tilbørlig faglig aktsomhet x 1230 Kontinuerlig faglig utvikling x x Foreligger ikke en kompetanseplan for den enkelte. 1300 Program for kvalitetssikring og forbedring x Det foreligger ikke dokumentert program for kvalitetssikring og forbedring 1310 Krav til program for kvalitetssikring og forbedring x Det foreligger ikke dokumentert program for kvalitetssikring og forbedring 1311 Interne evalueringer x Det foretas ikke periodiske egenevalueringer 1312 Eksterne evalueringer x Det har ikke tidligere vært gjennomført ekstern evaluering av internrevisjonen 1320 Rapportering om kvalitets- og forbedringsprogrammet x Det foreligger ikke dokumentert program for kvalitetssikring og forbedring 1321 Bruk av "i overnesstemmelse med de internasjonale standardene for internrevisjon" x Uttalelsen benyttes ikke 1322 Rapportering av manglende overensstemmelse x Ingen eksempler og kan derfor ikke etterprøves. 2000 Ledelse av internrevisjonen x 2010 Planlegging x 2020 Kommunikasjon og godkjenning x 2030 Ressursstyring x 2040 Retningslinjer og prosedyrer x 2050 Samordning x 2060 Rapportering til toppledelsen og styret x 2070 Eksterne tjenesteleverandører og organisasjonsmessig ansvar for internrevisjon x Ingen nyere eksempler og kan derfor ikke etterprøves. 2100 Arbeidets art x 2110 Governance x 2120 Risikostyring x x Nedfelt i arbeidsmetodikk, men i praksis få eksplisitte vurderinger av risikostyringsprosessene 2130 Kontroll x 2200 Oppdragsplanlegging x Planen konkretiserer ikke omfang i timer eller pr ressurs (intern vs ekstern) 2201 Planleggingshensyn x 2210 Målsettinger for oppdraget x 2220 Omfanget av oppdraget x Omfang er sjelden pre-definert, man bruker den tiden som behøves 2230 Ressurstildeling i forbindelse med oppdrag x Det er ikke inidkert hvor mange timer et oppdrag skal ta 2240 Oppdragsplan x 2300 Utførelse av oppdraget x 2310 Identifisering av informasjon x 2320 Analyse og evaluering x 2330 Dokumentering av informasjon x 2340 Tilsyn med oppdraget x 2400 Rapportering av resultater x 2410 Rapporteringskriterier x 2420 Kvalitet i rapportering x x Det foreligger ikke dokumentert program for kvalitetssikring og forbedring 2421 Feil og utelatelser x 2430 Bruken av "utført i overensstemmelse med de internasjonale standardene for profesjonell utøvelse av internrevisjon" x Uttalelsen benyttes ikke 2431 Oppdragsrapportering om manglende overensstemmelse x Ingen nyere eksempler og kan derfor ikke etterprøves. 2440 Formidling av resultater x 2450 Overordnede uttalelser x Ingen eksempler, og kan derfor ikke fullt ut etterprøves, men ingen indikasjoner på avvik. 2500 Overvåking av fremdrift x x Dette ansvaret er plassert i HF og administrasjonen, men IR kan bli engasjert for oppfølging 2600 Avklaring i forbindelse med toppledelsens aksept av risikoer x x

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding