Sjekkliste for statlige virksomheter som vurderer å etablere ... - Deloitte

Innhald
Forord ...................................................................................................................................... 3
1 Formålet med rettleiaren og bruken av han ..................................................................... 4
2 Kva er internrevisjon og internkontroll? ......................................................................... 4
2.1 Korleis skil internrevisjon seg frå andre kontrollfunksjonar i verksemda? ................. 5
3 Kva er spesielt med internrevisjon i staten? .................................................................... 7
3.1 Forholdet mellom verksemda og det overordna departementet .................................. 8
3.2 Korleis sikre internrevisjonen nok handlefridom innanfor rammene av etats- og
verksemdsstyringa i staten? ..................................................................................................... 8
3.3 Forholdet mellom internrevisjonen og eit eventuelt styre ......................................... 10
4 Kva verksemder kan ha særleg nytte av internrevisjon? ............................................... 10
5 Sjekkliste ....................................................................................................................... 12
5.1 Vurderingsfase ........................................................................................................... 13
Trinn 1: Kartleggje og analysere utfordringar og behov knytte til oppfølging av
internkontrollen ............................................................................................................... 13
Trinn 2: Vurdere alternative internrevisjonsmodellar ................................................ 16
5.2 Etableringsfase .......................................................................................................... 22
Trinn 3: Avklare rolle, rammer og ressursar ............................................................... 22
Trinn 4: Avklare formål og prinsipp for metodikk og prosess ................................... 24
Trinn 5 Intern forankring og kommunikasjon ............................................................. 26
5.3 Avslutning ................................................................................................................. 26
2

Forord
Å ta stilling til om verksemda skal etablere ein internrevisjonsfunksjon, er ei viktig avgjerd.
Dersom det er lagt godt til rette for at internrevisjonen kan fungere etter formålet, kan han
tilføre verksemda stor nytteverdi. Internrevisjonen er ein uavhengig funksjon som jobbar etter
internasjonale faglege standardar, og som har heile organisasjonen som arbeidsfelt. Han
evaluerer korleis internkontrollen i verksemda fungerer, og tilrår forbetringar. Men ein slik
funksjon har òg ein kostnad, som ofte berre verksemder av ein viss storleik kan forsvare.
Denne rettleiaren drøftar enkelte forhold som kan vere viktige for verksemder som vurderer å
etablere internrevisjon. Når verksemda vurderer desse forholda, kan det gi eit grunnlag for å ta
stilling til spørsmålet om å etablere ein internrevisjon. Det er verksemda sine eigne nytte- og
kostnadsvurderingar som bør leggjast til grunn. DFØ har ikkje gjort nokon vurderingar av om
fleire verksemder enn i dag bør etablere internrevisjon.
Rettleiaren kan vere til nytte for leiarar i statlege verksemder, styre, tilsette i departement som
jobbar med etatsstyring, og for eventuelle nytilsette leiarar av internrevisjonen. Delar av
rettleiaren kan vere av interesse også for verksemder som alt har etablert internrevisjon.
Vi tek gjerne imot tilbakemeldingar på bruk av rettleiaren, ikkje minst frå verksemder som
etter utgivinga bruker han aktivt når dei vurderer om det er formålstenleg å etablere ein
internrevisjonsfunksjon.
Vi er takknemlege for dei verdifulle innspela vi har fått undervegs frå representantar frå
internrevisjonane i Forsvarsdepartementet, Skattedirektoratet og NAV, i tillegg til Norges
Interne Revisorers Forening. Vi rettar òg ein takk til Deloitte AS, som har gitt viktige bidrag
til rettleiaren, særleg til kapittel 5.
November 2011
Marianne Andreassen, direktør DFØ
3

1 Formålet med rettleiaren og bruken av han
Formålet med denne rettleiaren er å støtte leiarar i statlege verksemder som skal ta stilling til
om ein internrevisjonsfunksjon er eit eigna verkemiddel i leiinga sitt arbeid for å styrkje
verksemdas samla styring og kontroll. For verksemder som bestemmer seg for å etablere ein
internrevisjon, gir rettleiaren òg eit grunnlag for å velje ein passande modell for å organisere
internrevisjonsfunksjonen og til å utvikle rutinar. Rettleiaren kan òg vere til nytte for styre,
tilsette i departement som jobbar med etatsstyring, og for eventuelle nytilsette leiarar av
internrevisjonen. Kapitla 1–4 og punkt 5.2 av rettleiaren kan vere av interesse også for
verksemder som alt har etablert internrevisjon.
I dei innleiande kapitla av rettleiaren gjer vi greie for kva internrevisjon er, og kva særtrekk
ved statleg styring som gir spesielle utfordringar ved etablering og bruk av internrevisjon i
statlege verksemder. Vidare gir vi ei kort framstilling av nokre kriterium som verksemdene
bør ta med i vurderinga av om dei kan ha nytte av internrevisjon.
Rettleiaren er bygd opp som ei blanding av tekst av meir rettleiande karakter og spørsmål med
”sjekkpunkt”. Verksemda sine svar på spørsmåla og eigne vurderingar i forhold til rettleiinga
gir eit grunnlag for å ta stilling til om verksemda vil ha nytte av ein internrevisjon, og vil òg gi
støtte til å gjennomføre sjølve prosessen med å etablere ein internrevisjon.
2 Kva er internrevisjon og internkontroll?
Internrevisjon er definert slik:
En uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å
tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen
oppnår sine målsetninger ved å benytte en systematisk og strukturert metode for å
evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens
prosesser for governance, risikostyring og kontroll. 1
Governance vil her seie kombinasjonen av prosessar og strukturar som er implementerte for å
informere, leie, styre og overvake aktivitetane i organisasjonen som er retta mot
måloppnåing. 2
Det er mange ulike oppfatningar av kva som ligg i omgrepet internkontroll. I tråd med
definisjonen i COSO-rammeverket 3 legg vi i denne rettleiaren til grunn at internkontroll dreier
1 Definisjonen er henta frå ”Etiske regler og standarder for profesjonell utøvelse av internrevisjon” (januar 2011),
frå The Institute of Internal Auditors (IIA-standardane). Arbeidet til internrevisjonen er basert på desse
standardane. Norges Interne Revisorers Foreining (NIRF) er eit såkalla National Institute av IIA og er ein
interesseorganisasjon for alle som arbeider med eller har interesse for fagområda internrevisjon,
verksemdsstyring, risikostyring og internkontroll.
2 Definisjonen er henta frå IIA-standardane.
3 Committee of Sponsoring Organization – står bak COSO-rammeverka ”Intern kontroll – et integrert
rammeverk” og ”Helhetlig risikostyring – et integrert rammeverk”.
4

seg om langt meir enn kontrollaktivitetar, og at tiltak for å forbetre prosessar for å støtte
måloppnåing er omfatta av omgrepet. Det vil seie at internkontrollen mellom anna omfattar
forhold som fordeling av roller og ansvar, kompetanse, etiske retningslinjer, kultur,
haldningar, informasjon og kommunikasjon. COSO definerer internkontroll slik:
Internkontroll er en kontinuerlig prosess – iverksatt, gjennomført og overvåket av
institusjonens styre, ledelse og ansatte. Den utformes for å gi en rimelig grad av sikkerhet
for måloppnåelse innen tre kategorier:
• Målrettet, effektiv og hensiktsmessig drift
• Pålitelig intern og ekstern rapportering
• Overholdelse av lover og regler samt interne retningslinjer
Det er verksemdsleiinga som er ansvarleg for å etablere god internkontroll, og som skal sjå til
at den blir følgd opp i alle ledd i organisasjonen. Oppgåva til internrevisjonen er på
sjølvstendig grunnlag å evaluere kor effektive og formålstenlege prosessar for risikostyring,
kontroll og governance organisasjonen har. 4 Krav til internkontroll er heimla i Reglement for
økonomistyring i staten (”reglementet”) § 14. I § 4 i reglementet er det vidare krav om at
styring, oppfølging, kontroll og forvalting skal vere tilpassa risiko og vesentlegheit. Det er
ikkje noko krav om internrevisjon i reglementet, men internrevisjon kan vere eit verktøy for
verksemdsleiaren for å forsikre seg om at krava i reglementet blir oppfylte.
Internrevisjonen skal vere ein sjølvstendig og uavhengig del av organisasjonen og skal til
dømes ikkje få oppgåver som inneber ansvar for å etablere og gjennomføre internkontroll.
Internrevisjonens systematiske gjennomgang og vurderingar av sentrale dokument, system og
praksis bidreg til å gi eit heilskapleg bilete av korleis internkontrollen fungerer både innanfor
dei ulike delane av verksemda og samla sett. Med god kompetanse, ei uavhengige rolle og
fugleperspektiv på verksemda kan internrevisjonen også fungere som rådgivar og støtte for
verksemdsleiaren og linjeorganisasjonen og slik sett vere ein viktig katalysator for forbetringar
i verksemda.
Internrevisjonskonseptet byggjer på at det er eit trekantforhold mellom ein prinsipal (styreeller
verksemdsleiaren), som er oppdragsgivar for internrevisjonen, ein agent (dei ulike delane
av organisasjonen), som er revisjonsobjektet, og ein uavhengig internrevisjon, som på vegner
av verksemdsleiaren skal sjå etter om internkontrollen til verksemda fungerer som planlagt.
2.1 Korleis skil internrevisjon seg frå andre kontrollfunksjonar i
verksemda?
Ein internrevisjon er ikkje noka erstatning for internkontrollen i verksemda. Internkontroll er
eit linjeansvar og skal vere integrert i styringa og oppgåveløysinga til verksemda.
Internkontroll skal derfor gjennomførast på alle nivå og i alle funksjonar i verksemda.
Gjennomføring av risikostyring og oppfølging av internkontroll er normalt delegert til
4 Jf. definisjonen av internrevisjon i IIA-standardane.
5

linjeleiarar på ulike nivå. Det vil òg vere medarbeidarar som har i oppgåve å gjennomføre
internkontrollaktivitetar.
Velrenommerte rammeverk for internkontroll, til dømes COSO-rammeverket, har fokus på
risikostyring. Også Direktoratet for økonomistyrings (DFØ) metodedokument ”Risikostyring i
staten” framhevar at ei vurdering av risiko og vesentlegheit skal liggje til grunn for det samla
styrings- og kontrollopplegget til verksemda.
Internkontrollen skal bidra til å redusere den attverande risikoen 5 i verksemda til eit
akseptabelt nivå, jamfør figur 1. Tiltak for å redusere risikoen kan omfatte organisatoriske
tiltak som fullmakter, arbeidsdeling og opplæring, fastsetjing av arbeidsprosedyrar og
kontrollrutinar og kontrollar som er innebygde i IT-systema. Det blir ofte kalla
førstelinjekontrollar.
Dei fleste verksemder har ulike typar stabs- og linjeeiningar med særleg ansvar for å vareta
internkontrolloppgåver for éin eller fleire leiarar, til dømes rekneskaps- eller
rapporteringseiningar, controllerar og kvalitetsrådgivarar, som bidreg med analysar,
oppfølging, fagleg rettleiing og kontroll av at rutinar og regelverk blir følgde. Det blir kalla
andrelinjekontrollar.
Som eit ekstra ”tryggleiksnett” (tredjelinjekontroll) kan verksemda etablere ein uavhengig
funksjon (internrevisjon) som systematisk kan evaluere verksemda og gi ei uavhengig og
objektiv stadfesting av om internkontrollen er god nok (effektiv og formålstenleg).
Dei forskjellige kontrollnivåa er illustrerte i figur 1 nedanfor.
Ibuande risiko
Linja
Kontrollerar,
kvalitetsrådgivarar,
stabsfunksjonar
Førstelinjekontrollar
Prosessar med integrerte kontrollar
Organisatoriske tiltak som fullmakter og arbeidsdeling
Fastsetjing av arbeidsprosedyrar og kontrollrutiner
Rekneskap og rapportering
Risikostyring
Andrelinjekontrollar
Analysar
Overvåking /kontroll med at rutinar og
regelverk blir etterlevd
Kvalitetsgjennomgangar
Internrevisjon
Tredjelinjekontrollar
Testing og vurdering av
etablert internkontroll
Attverande
risiko
5 Ibuande risiko er nivået på risikoen når ein ikkje tek omsyn til dei ulike tiltaka og kontrollaktivitetane som er
etablerte for å redusere han. Attverande risiko er nivået på risikoen når ein tek omsyn til tiltaka og
kontrollaktivitetane som ein set i verk når ein vurderer risikoen (jamfør ”Risikostyring i staten”, DFØ (2005)).
6

Figur 1 Ulike kontrollnivå for å sikre god internkontroll
The Institute of Internal Auditors (IIA) har fastsett etiske reglar og internasjonale standardar
for utøving av internrevisjon. Standardane definerer nokre grunnleggjande prinsipp for korleis
internrevisjon bør utøvast. Eigenskapsstandardane gjeld krav til organisasjonar og personar
som utfører internrevisjon, mens utøvingsstandardane fastset kvalitetskriterium for utøving av
internrevisjon. I tillegg kjem implementeringsstandardar, som gjeld konkrete typar
stadfestings- eller rådgivingsoppdrag som internrevisjonen kan ta på seg. IIA forvaltar òg
sertifiseringar 6 for ulike område innanfor internrevisjon.
Ein ny standard 7 tredde i kraft ved inngangen til 2011 og slår fast at internrevisjonen kan
komme med ei overordna fråsegn om kvaliteten på internkontrollen til verksemda. Ei
overordna fråsegn vil i praksis byggje på både informasjon frå internrevisjonens eigne
undersøkingar og på informasjon frå andre tilsyns- og kontrollfunksjonar, både interne og
eksterne. Det vil gi leiinga ei samla oversikt over ”helsetilstanden” til internkontrollen.
Meirverdien av ein internrevisjon ligg i det at han på eit uavhengig og objektivt grunnlag kan
gjere verksemdsleiaren trygg på at internkontrollen fungerer som han skal, i alle delar av
organisasjonen. Det at ein internrevisjon arbeider etter IIA-standardane, tilfører ein ekstra
kvalitetsdimensjon og bidreg til å sikre at evalueringar i form av revisjonsoppdrag blir
gjennomførte i samsvar med profesjonskrava til objektivitet, fagleg dyktigheit og aktsemd.
DFØ er kjent med at ikkje alle funksjonar som blir kalla internrevisjon, følgjer IIAstandardane
fullt ut. DFØ meiner at alle funksjonar som blir kalla internrevisjon, bør forplikte
seg til å følgje IIA-standardane. Ei slik plikt kan takast inn i instruksen for internrevisjonen.
3 Kva er spesielt med internrevisjon i staten?
Dersom ei statleg verksemd skal etablere ein internrevisjonsfunksjon, må ho ta omsyn til den
styringsmessige konteksten internrevisjonen skal operere i. Rettleiaren er retta inn mot
ordinære forvaltingsorgan. Forvaltingsorgana er hovudmodellen for korleis grunnleggjande
statlege oppgåver skal organiserast. Eit forvaltingsorgan er ikkje noko eige rettssubjekt, men
ein del av staten som ”juridisk person”. Statsråden har konstitusjonelt og politisk ansvar for at
verksemda blir driven innanfor rammene som Stortinget har sett innanfor sektoren.
Statlege verksemder er omfatta av fleire regelverk for statsforvaltinga, mellom anna
Stortingets løyvingsreglement, reglementet som regjeringa har fastsett, og føresegnene om
økonomistyring i staten (”føresegnene”), som Finansdepartementet har fastsett. I samsvar med
§ 4 i reglementet – ”Grunnleggende styringsprinsipper” – skal alle verksemder tilpasse
styringa, oppfølginga, kontrollen og forvaltinga til eigenarten, risikoen og vesentlegheita til
verksemda. I kapittel 2.4 i føresegnene – ”Intern kontroll” – går det fram at det er
6 Dei mest kjende sertifiseringane er CIA (Certified Internal Auditor), CCSA (Certification in Control Self-
Asessment), CFSA (Certified Financial Services Auditor) og CGAP (Certified Governmental Auditing
Professional). I tillegg til desse fire internasjonale sertifiseringane forvaltar NIRF ordninga ”Diplomert intern
revisor”.
7 IIA-standard 2450 Overordnede uttalelser
7

verksemdsleiinga som har ansvar for å sjå til at den interne kontrollen er tilpassa risiko og
vesentlegheit, at han fungerer tilfredsstillande, og at han kan dokumenterast.
3.1 Forholdet mellom verksemda og det overordna departementet
Eit forvaltingsorgan er økonomisk og administrativt underlagt det overordna departementet
(som sjølv er eit forvaltingsorgan). Statsbudsjettet og det årlege tildelingsbrevet til
underliggjande verksemder inneheld mål, oppgåver og budsjettrammer for verksemda. I
utgangspunktet kan det overordna departementet jamleg instruere forvaltingsorgana i alle
spørsmål dersom ikkje lova hindrar eller avgrensar det. I praksis blir departementets styring
(instruksjon) av underliggjande verksemder utøvd gjennom tildelingsbrev og
etatsstyringsdialogen. Denne dialogen legg vekt på å gi verksemda føreseielege rammer og
mest mogleg sjølvstende med tanke på korleis ho skal løyse samfunnsoppdraget sitt og vareta
den interne styringa av verksemda, jamfør mål- og resultatstyring som det overordna
styringsprinsippet i staten. Dei siste tiåra har det vore ein tydeleg trend i retning av større
sjølvstende for forvaltingsorgana, både formelt og uformelt. Det stiller stadig større krav til at
leiarar i statlege verksemder er bevisste på korleis dei best mogleg kan vareta ansvaret for god
internkontroll i verksemda.
Som etatsstyrar har departementet eit overordna ansvar for at underliggjande verksemder har
forsvarleg styring og kontroll. Departementet må i utøvinga av kontrollansvaret byggje på
internkontrollen til verksemda og vil kunne ha nytte av at underliggjande verksemder har ein
internrevisjonsfunksjon som kan stadfeste at internkontrollen fungerer som han skal. Eit
departement kan gjennom etatsstyringsdialogen ta initiativ til å vurdere om ei underliggjande
verksemd bør etablere ein internrevisjonsfunksjon. Departement bør likevel overlate den
endelege avgjerda om det skal etablerast internrevisjon, til verksemdsleiaren. Eit pålegg om å
etablere internrevisjon frå departementet vil gripe inn i dei interne forholda i verksemda og
utfordrar prinsippet om at det er verksemdsleiaren som er ansvarleg for jamleg å vurdere om
verksemda har god nok styring og kontroll. Eit slikt krav eller pålegg frå det overordna
departementet kan òg reise tvil om kven som reelt sett er oppdragsgivaren for internrevisjonen.
I statsforvaltinga i Noreg er det ikkje tradisjon for at departementa etablerer eigne
internrevisjonseiningar. Eit unntak frå denne praksisen er Forsvarsdepartementets
internrevisjon, som har departementet og tre underliggjande etatar som verkeområde.
3.2 Korleis sikre internrevisjonen nok handlefridom innanfor
rammene av etats- og verksemdsstyringa i staten?
Verksemder som vel å etablere ein internrevisjon, må leggje til rette for at den kan utføre
arbeidet sitt i tråd med IIA-standardane.
8

IIA-standard 1110 stiller krav til at internrevisjonen skal vere organisasjonsmessig
uavhengig 8 . Av IIAs utdjuping av denne standarden om organisasjonsmessig handlefridom går
det fram at det er oppnådd når revisjonssjefen rapporterer funksjonelt til styret og elles har
direkte kommunikasjon og samhandling med styret.
Det øvste leiings-/styringsnivået i eit ordinært forvaltingsorgan er verksemdsleiaren.
Verksemdsleiaren er normalt òg oppdragsgivar for internrevisjonen. Internrevisjonen er
dermed ikkje heilt uavhengig, men står i eit linjeforhold til verksemdsleiaren. Internrevisjonen
vil likevel vere uavhengig frå nivåa under verksemdsleiaren.
Når verksemdsleiaren er oppdragsgivar, kan det innebere ein risiko for at handlefridommen og
objektiviteten til internrevisjonen blir svekt. For å styrkje handlefridommen til
internrevisjonen innanfor desse rammene bør verksemda utarbeide instruksar som tydeleg
definerer kva mandat internrevisjonen har til å gjennomføre uavhengige gjennomgangar. Som
oppdragsgivar for internrevisjonen vil det vere verksemdsleiaren som godkjenner årsplanen
for internrevisjonen. Revisjonsplanen bør baserast på ei overordna risikovurdering og på
drøftingar av risikobiletet mellom verksemdsleiaren og revisjonssjefen. Det bør leggjast stor
vekt på synspunkta til revisjonssjefen. Internrevisjonen må òg ha myndigheit til å kunne
omprioritere oppgåver dersom det er nødvendig ut frå risikoforholda i verksemda.
Det er viktig å understreke overfor organisasjonen at internrevisjonen skal evaluere
internkontrollen til verksemda på vegner av verksemdsleiaren, og at internrevisjonen skal ha
full tilgang til all informasjon som er nødvendig for å vareta kontrollfunksjonen og kunne
utføre oppdraga sine. I tråd med at verksemdsleiaren er oppdragsgivar for internrevisjonen,
skal internrevisjonen rapportere til verksemdsleiaren etter at reviderte einingar har hatt høve til
å uttale seg om resultatet av revisjonen og tilrådingar om tiltak. Dersom internrevisjonen og
den reviderte eininga ikkje blir einige om kva tiltak det er nødvendig å setje i verk, skal det
følgjast opp av verksemdsleiaren.
Det kan òg oppstå usemje mellom verksemdsleiaren og internrevisjon, til dømes om behova
for tiltak for å redusere risikoen på eit område (internrevisjonen meiner at verksemda tek
uforsvarleg høg risiko), eller det kan oppstå situasjonar der internrevisjonens observasjonar av
avvik er knytte til verksemdsleiaren. Internrevisjonen kan då saman med verksemdsleiaren ta
forholdet opp med departementet. Verksemda bør i samband med ei eventuell etablering av
ein internrevisjonsfunksjon fastsetje retningslinjer for korleis slike situasjonar skal handterast.
Det bør òg avklarast om departementet skal få fast rapportering om arbeidet til
internrevisjonen, og korleis det skal skje. Det kan til dømes vere oversending av årsrapporten
til internrevisjonen.
8 IIA-standard 1110 Organisasjonsmessig uavhengighet: ”Revisjonssjefen må rapportere til et nivå i
organisasjonen som gjør det mulig for internrevisjonen å ivareta sitt ansvar. Revisjonssjefen må bekrefte overfor
styret, minst en gang årlig, at internrevisjonen er uavhengig.”
9

3.3 Forholdet mellom internrevisjonen og eit eventuelt styre
Eit ordinært forvaltingsorgan har som hovudregel ikkje noko styre som øvste styringsnivå i
verksemda. Det har samanheng med at verksemda ikkje er noko sjølvstendig rettssubjekt, men
ein del av staten, og blir styrt av det overordna departementet. For ein nærmare omtale av dette
viser vi til Fornyings- og administrasjonsdepartementets rettleiar ”Bruk av styrer i
staten” (2006).
Det er likevel fleire statlege verksemder, også forvaltingsorgan, som har eit styre. Det er
gjerne verksemder med ein viss grad av sjølvstende i faglege spørsmål, ofte regulert gjennom
lover eller forskrifter, eller med økonomisk-administrativt sjølvstende gjennom unntak frå
hovudprinsippa 9 i løyvingsreglementet.
Styret i eit forvaltingsorgan har likevel ikkje det same ansvaret som styret i eit aksjeselskap.
På grunn av det konstitusjonelle og politiske ansvaret til statsråden har ikkje styret i eit
forvaltingsorgan fullt ansvar, verken juridisk, økonomisk eller konstitusjonelt. 10 Sjølv om ei
verksemd har eit styre, er det ikkje gitt at internrevisjonen bør rapportere til det. I vurderinga
av om ein eventuell internrevisjon skal rapportere til eit styre, er det viktig å vere klar over dei
store variasjonane som finst i statlege verksemder når det gjeld oppgåvene, ansvaret og
myndigheita til styret. I nokre tilfelle er ansvaret til styret avgrensa til i praksis å vere eit
fagleg råd som kan støtte verksemda ved å ha ein annan kompetanse enn det verksemda (eller
departementet) sjølv har. Formålet med eit slikt styre vil vere å tilføre verksemda eit breiare
grunnlag for faglege avgjerder eller innsikt i ulike brukargrupper eller målgruppers behov. I
nokre verksemder har styret myndigheit til å gjere vedtak i konkrete saker. Styre blir òg brukte
i verksemder som har stor fagleg og/eller økonomisk-administrativ handlefridom, og der styret
fungerer som eit styringsledd mellom departementet og verksemda. Styrets oppgåver er då til
dømes strategisk styring av verksemda, økonomisk kontroll og oppfølging av verksemdsdrifta,
og kontroll med at verksemda tilfredsstiller fastsette krav. Dersom det er tilfellet, er det
normalt formålstenleg at internrevisjonen rapporterer til styret.
4 Kva verksemder kan ha særleg nytte av internrevisjon?
Kor stort behov ei verksemd og leiaren har for internrevisjon, vil variere. Verksemder som
vurderer å etablere internrevisjon, bør gjere ei kost-nytte-vurdering basert på dei forholda som
er mest relevante for dei. Ein internrevisjon i tråd med krava som IIA-standardane fastset, vil
innebere ein stor kostnad for verksemda, mellom anna i samband med anskaffing av
revisjonskompetanse og vedlikehald av denne gjennom sertifiseringar og deltaking i faglege
forum som krevst for å behalde sertifiseringar. Det finst òg andre (og kanskje billigare) måtar
å forbetre internkontrollen i verksemda på, og dei kan vere eit godt alternativ til å etablere
internrevisjon. Det er i første rekkje tiltak som gir linjeorganisasjonen betre kapasitet til å
følgje opp og forbetre internkontrollen i verksemda. Også enkeltståande evalueringar av
9 Hovudprinsippa i løyvingsreglementet er fullstendigheits-, eittårs-, kontant- og bruttoprinsippet. Det er særleg
det siste (bruttoprinsippet) det er gitt unntak frå, såkalla nettobudsjetterte verksemder.
10 ”Bruk av styre i staten”, rettleiar frå FAD (2006).
10

område som ein opplever som spesielt utfordrande eller problematiske, kan vere eit alternativ
til å etablere ein permanent internrevisjonsfunksjon.
Nedanfor drøftar vi nokre forhold som kan vere relevante når ein skal ta stilling til om
internrevisjon skal etablerast. Lista er ikkje komplett, og det er ei viss overlapping mellom
forholda som er omtalte.
Kvaliteten på internkontrollen i verksemda
Det er ingen eintydig samanheng mellom behovet for internrevisjonstenester i ei verksemd og
kvaliteten på den etablerte internkontrollen.
I ei verksemd med svak internkontroll vil internrevisjonen kunne avdekkje kvar det er størst
risiko for styringssvikt, feil og manglar. Basert på observasjonar kan internrevisjonen òg gi råd
om forbetringar i internkontrollen som gjer verksemda meir robust og førebyggjer negative
hendingar. Nytteverdien av det vil likevel vere avhengig av at leiinga og linjeorganisasjonen
har kapasitet og motivasjon til å følgje opp tilrådingane til internrevisjonen.
Ei verksemd med god internkontroll kan i utgangspunktet klare seg utan
internrevisjonstenester. Internrevisjonen vil likevel bidra til stadig å setje vidareutvikling av
internkontrollen på dagsordenen. I tillegg vil behovet for internrevisjon vere knytt til om
rapporteringa som skjer i linja, gir god nok sikkerheit for at internkontrollen fungerer som
forventa, eller om ein ønskjer ei uavhengig stadfesting frå internrevisjonen.
Storleiken og kompleksiteten til verksemda
Ein internrevisjon kan vere eit formålstenleg verkemiddel for store og komplekse verksemder,
med omfattande krav og utfordringar knytte til internkontroll.
Kompleksitet kan både vere knytt til måten verksemda er organisert på, og til samansetjinga av
produkta og tenestene verksemda skal levere. I ei verksemd med fleire styringsnivå,
geografisk spreiing og stort spenn i oppgåvene er det meir krevjande for leiaren å ha den
nødvendige oversikta over korleis internkontrollen fungerer. Også kompleksitet i
tenesteproduksjonen kan tilseie at det er behov for ein internrevisjon som kan gi kvalifiserte
og objektive vurderingar av kvaliteten i produksjonen.
Verksemder med store transaksjonsvolum (inn- og utbetalingar) kan ofte ha høg risiko knytt til
IKT-systema, bevisste eller ubevisste menneskelege feil eller svikt i rutinane. Ein uavhengig
kontroll av desse i regi av internrevisjonen kan førebyggje og eventuelt avdekkje misleghald.
Internrevisjonens metodikk for testing og kontroll kan gjere verksemda tryggare på at
kontrollane som er innebygde i systema og rutinane, faktisk fungerer.
Ei stor verksemd – målt i tilsette eller budsjett – vil lettare kunne forsvare kostnadene som er
knytte til drift av internrevisjonen. Store verksemder har likevel ofte
administrasjonsavdelingar, stabar, kontrollerfunksjonar, tekniske fagmiljø eller liknande som
utfører kontrolloppgåver. Det må derfor vurderast kor mykje ein internrevisjon kan tilføre
utover det.
11

Risiko og vesentlegheit
Kor omfattande og kritisk risiko ei verksemd er eksponert for, er eit anna forhold som kan
vurderast. Hyppige endringar i omgivnadene som påverkar verksemda og risikobiletet, gjer det
krevjande å gjennomføre god risikostyring og halde internkontrollen oppdatert.
Vesentlegheit kan komme til uttrykk gjennom at verksemda har høgt politisk prioriterte
oppgåver og mange brukarar, at ho er omdømmesensitiv, o.a. Det tilseier at verksemda må ha
stort fokus på internkontroll, og at ho må vere trygg på at internkontrollen fungerer på alle
område.
Nokre statlege verksemder har samfunnskritiske oppgåver, det vil seie at verksemda står
overfor risiko knytt til liv og helse. Sidan toleransen for feil er tilnærma lik null i slike
verksemder, er det svært strenge krav til internkontrollen. Då kan ein internrevisjon gi viktige
bidrag og korrektiv og gi leiinga kvalifiserte vurderingar av om systemet fungerer godt nok.
5 Sjekkliste
Ein framgangsmåte for å vurdere behovet for internrevisjon og etablering av ein
internrevisjonsfunksjon er nærmare beskriven i sjekklista. Framgangsmåten er skjematisk
framstilt i figur 2.
Trinn 1 Trinn 2 Trinn 3
Trinn 4
Kartleggje og analysere
utfordringar og behov
knytte til oppfølging av
internkontrollen
Vurdere alternative
IR-modellar
Avklare rolle, rammer
og ressursar
Avklare formål,
prinsipp for prosess
og metodikk
Aktivitetar
Kartlegging, analyse og vurdering av løysingar
• Kartleggje
verksemdsomfanget
• Risikovurderingar –
sannsynlegheiter og
konsekvensar
• Evaluering av dagens
internkontroll (første-
/andrelinje)
• Vurdere kva
internrevisjonen/
tredjelinja kan tilføre
• Avklare omfang og
kompleksitet
• Vurdere behov for
kapasitet og kompetanse
opp mot ulike
internrevisjonsmodellar
• Vurdere behov for å
utvikle andre
kontrollfunksjonar
• Avklare kva kapasitet
verksemda har til å
nyttiggjere seg
internrevisjon
• Avstemme mot budsjett
• Bestemme ønskt
framdrift
• Avklare formål og rolle
for internrevisjonen
• Avgjere organisering og
ønskt kapasitet og
kjernekompetanse
• Etablere føringar og
forventingar til
kommunikasjon med
leiinga
• Fastsetje budsjett og
årsverk
Etablering av internrevisjon
• Bestemme mandat og
instruks, fullmakter, ansvar
• Definere prinsipp for
prosess og metodikk
• Definere prinsipp for
samhandling med
verksemdsleiinga
• Trekkje opp grensesnitt
mot andre kontrollorgan
internt og Riksrevisjonen
• Definere kravspesifikasjon
for tilsetjingar eller kjøp av
tenester
Resultat
Avgjere om det skal
etablerast internrevisjon
Konkludere med kva
internrevisjonsmodell som
passar for verksemda
Avgjere organisering,
overordna
styringsdokument,
budsjettmidlar
Definere målsetjinga,
oppgåvene og
kompetansekrava til
internrevisjonen
Trinn 5 Intern forankring og kommunikasjon
• Informere og involvere verksemda i arbeidet med å identifisere korleis internrevisjonen kan bidra til verdiskaping
• Informere det overordna departementet og Riksrevisjonen
• Etablere ein prosess for å evaluere ytingane til internrevisjonen
Skape avtalt forståing hos interessentar av internrevisjonens rolle og bidrag til verksemda
Figur 2 Framgangsmåte for å vurdere behov for og etablering av internrevisjon
12

Verksemdsleiaren har det overordna ansvaret for at prosessen blir gjennomført, og vil i
varierande grad vere aktivt involvert i dei ulike trinna i prosessen. Han eller ho må likevel ha
ei sentral rolle i aktivitetane i trinn 1 og 2, mens det i trinn 3 og 4 vil vere naturleg at (den
påtroppande) leiaren for internrevisjonen tek ei aktiv rolle i prosessen.
5.1 Vurderingsfase
Vurderingsfasen omfattar aktivitetane som inngår i trinn 1 og 2, jamfør figur 2 ovanfor.
Formålet med denne fasen er å få eit grunnlag for å avgjere om etablering av ein
internrevisjonsfunksjon vil vere det rette svaret på verksemdsleiaren sitt behov for å styrkje
oppfølginga av internkontrollen. Ved å gjennomføre vurderingsfasen vil ein òg få eit betre
grunnlag for å ta stilling til kva internrevisjonsmodell som vil vere best for verksemda.
Trinn 1: Kartleggje og analysere utfordringar og behov knytte til oppfølging av
internkontrollen
Formålet med trinn 1 er å kartleggje og vurdere utfordringar og behov knytte til leiinga si
oppfølging av internkontrollen, også kvaliteten på avgjerdsgrunnlaget og styringssystemet
generelt. Kartlegginga og analysen må gjennomførast slik at det blir høve til å konkludere med
om internrevisjon vil vere eit eigna tiltak for å gjere det lettare for verksemdsleiaren å følgje
opp ansvaret for internkontrollen.
Følgjande framgangsmåte kan nyttast:
a) Definer mandat for arbeidet og prosessen knytt til å skaffe eit avgjerdsgrunnlag for om det
bør etablerast internrevisjon.
b) Identifiser og gjennomgå dokumentasjon knytt til styrings- og kontrollsystemet til
verksemda.
Dokument som kan gi informasjon om styrings- og kontrollutfordringane i verksemda:
• Dokumentasjon/beskriving av styrings- og kontrollsystemet i
verksemda
• Styringsdokument med mål og resultatkrav
• Risikovurderingane til verksemda
• Resultatrapportar
• Oversikter over rapporterte avvik i verksemda
• Gjennomførte analysar og evalueringar i verksemda
• Merknader/kommentarar frå Riksrevisjonen dei siste åra og
dokumentasjon av korleis merknadene er følgde opp
• Referat frå etatsstyringsdialogen med departementet
13

• Møtereferat og annan dokumentasjon som inneheld informasjon om
korleis leiinga følgjer opp internkontrollen
c) Gjennomfør samtalar med personar som har oppgåver knytte til internkontroll.
Denne malen og desse sjekkpunkta kan nyttast i kartlegginga:
Sjekkpunkt
Kommenter status, utfordringar og svakheiter
Hovudspørsmål
Fungerer internkontrollen i verksemda godt nok?
Er det etablert felles styringsprinsipp i
verksemda?
Er det fastsett og kommunisert etiske
retningslinjer for verksemda?
Er det god nok tryggleik for at
styringsprinsipp og eventuelle
retningslinjer blir etterlevde på alle
nivå?
Er det godt samsvar mellom
kompetanse, ansvar og myndigheit på
ulike nivå i organisasjonen?
Har verksemda god kompetanse på
internkontroll på alle nivå?
Er verksemdsleiaren og linjeleiarane
sikre på at risikoar blir identifiserte og
handterte på ein forsvarleg måte
innanfor ansvarsområdet?
Er det ofte feil eller svikt i systema,
prosessane og rutinane?
Finst det dokumentasjon på
systematiske andrelinjekontrollar i
verksemda, og fungerer dei i tråd med
forventingane?
Har verksemda nok kapasitet til
analyse, rapportering og oppfølging?
Hovudspørsmål
Vil ein internrevisjon vere eit effektivt tiltak i forhold til kontrollutfordringane i verksemda?
Medfører eigenarten til verksemda (til
dømes storleik, risiko, kompleksitet i
oppgåveportefølje, hyppige endringar
eller mykje merksemd frå politikarar
eller media) spesielle utfordringar
14

knytte til internkontroll?
Har verksemdsleiaren kapasitet til å
følgje opp kontrollspennet sitt?
Er rapporteringa i linja så god at leiinga
får eit rett bilete av korleis verksemda
fungerer?
Har evalueringar og analysar i
verksemda avdekt forhold som ikkje er
fanga opp av dei etablerte styrings- og
kontrollsystema?
Har Riksrevisjonen eller andre eksterne
kontrollorgan (tilsyn) påpeikt svikt eller
svakheiter i styrings- og
kontrollsystema til verksemda?
Er det påpeikt forhold i
styringsdialogen med departementet
som verksemda ikkje var kjende med,
og som indikerer svikt i styrings- og
kontrollsystema?
Er det i styringsdialogen med
underliggjande verksemdsnivå avdekt
svakheiter som burde vore rapporterte
tidlegare?
Har leiarane si oppfølging av
internkontrollen avdekt manglar og
svikt som skulle vore rapportert
tidlegare?
Samla vurdering: Gjennomgå svakheitene og utfordringane som er identifiserte, og vurder kva
tiltak det kan vere formålstenleg å setje i verk for å styrkje internkontrollen.
Behovet for å etablere ein uavhengig tredjelinjekontroll (internrevisjon) er avhengig av fleire
forhold, mellom anna om risikoen i verksemda blir vurdert som høg, og om det vil vere
vanskeleg og ressurskrevjande å få etablert tiltak som vil gi leiinga nok sikkerheit for at
internkontrollen fungerer som venta i verksemda. Leiinga må òg vurdere om det er nødvendig
og mogleg å etablere ein funksjon med dei strenge krava til handlefridom og etterleving av
kjende revisjonsstandardar som bør kjenneteikne ein internrevisjon, eller om verksemda har
behov for meir generell leiarstøtte i form av evaluerings- og oppfølgingskapasitet.
d) Hent eventuelt inn erfaringar frå samanliknbare verksemder med internrevisjon.
e) Konkluder.
Kontrollutfordringane som er identifiserte, kan handterast mellom anna ved
• å vidareføre eksisterande styrings- og kontrollsystem
15

• å styrkje den interne kontrollen (førstelinjekontrollen)
• å etablere eller styrkje interne kontrollfunksjonar/stabar (andrelinjekontrollar)
• å etablere ein internrevisjonsfunksjon (tredjelinjekontroll)
Dersom verksemda vel å etablere ein internrevisjonsfunksjon, må alle det får følgjer for, vere
innforstått med at meirverdien knytt til det mellom anna er avhengig av at internrevisjonen får
rammevilkår som gjer han i stand til å opptre i tråd med krava og standardane som IIA stiller
til ein profesjonell internrevisjon.
For verksemder som vel å ikkje etablere nokon internrevisjonsfunksjon, er det ikkje aktuelt å
gå gjennom dei neste trinna i sjekklista.
Trinn 2: Vurdere alternative internrevisjonsmodellar
Behovet for internrevisjonstenester kan dekkjast på ulike måtar. Dersom verksemda vel å
etablere ein internrevisjonsfunksjon, må dei vurdere kva modell som vil vere best eigna.
Alternative modellar som blir praktiserte i dag, er beskrivne nedanfor, med opplysningar om
kva som blir rekna som fordelar og ulemper ved dei ulike modellane.
16

Modell 1
Eiga eining med fast tilsette revisorar 11
Beskriving
Modellen inneber at verksemda etablerer ei ny organisatorisk eining med ansvar for internrevisjon.
Internrevisorar som blir tilsette i eininga, kan rekrutterast både eksternt og internt.
Fordelar
Fordelen med ein slik revisjonsmodell er at
internrevisjonen blir ein del av organisasjonen og får
unik kunnskap om verksemda og kulturen og verdiane
der. I tillegg vil internrevisjonen opparbeide
spisskompetanse om styrings- og kontrollsystem,
risikobiletet og drifta i verksemda. Denne kunnskapen
vil vere fullt tilgjengeleg for verksemda ved at
revisorane er ein del av kompetansemiljøet i
organisasjonen.
Ulemper
Ulempa med ei slik organisering er at ein blir mindre
fleksibel med omsyn til storleik og kompetansemessig
samansetjing av internrevisjonen.
Tilsetjingar inneber faste kostnader og dermed ein
risiko for at kostnaden ikkje vil stå i forhold til nytten.
Det kan òg vere vanskeleg å etablere ei eining som er
stor nok til å utgjere eit robust nok internt fagmiljø.
Vurderingar i forhold til eigen organisasjon
11 Dette er den vanlegaste måten å organisere internrevisjonen på, særleg i store verksemder som til dømes NAV.
17

Modell 2
Full outsourcing 12
Beskriving
Denne modellen føreset at alle internrevisjonstenester blir kjøpte frå eksterne fagmiljø. Det vil seie at verksemda
må hente inn anbod på tenestene og gjere avtale med ein leverandør / leverandørar av denne typen tenester.
Fordelar
Ein fordel med denne modellen er at
kompetansesamansetjinga og ressursbruken for
internrevisjon kan endrast heile tida og tilpassast
behovet i det enkelte revisjonsprosjektet og verksemda
sitt samla behov for internrevisjonstenester over tid.
Internrevisjonsressursane som blir nytta, er normalt òg
ein del av eit større revisjonsmiljø som vil halde seg
oppdatert om utviklinga innanfor faglege og metodiske
tema. Revisjonsressursane vil òg representere eit
eksternt perspektiv som kan bidra til å auke kvaliteten
på vurderingane og tilrådingane til internrevisjonen.
Ulemper
Ei ulempe kan vere at verksemda blir avhengig av ein
ekstern leverandør, og at kunnskapen og forståinga som
blir opparbeidd om verksemda over tid, ikkje blir like
tilgjengeleg. Ein ekstern leverandør har heller ikkje
same høvet til å bli kjend med verksemdskulturen og
observere udokumenterte kontrollar som ein tilsett
internrevisor. Bruk av ein slik modell krev òg at
verksemda har god nok bestillarkompetanse til å få tak i
denne typen teneste og til å følgje opp kontrakt og
leveransar.
Modellen utfordrar den uavhengige rolla til
internrevisjonen ettersom nokon i verksemda vil ha
ansvar for å skaffe og følgje opp revisjonstenestene.
Ofte har ein slik modell mykje til felles med anskaffing
av ekstra evalueringskapasitet. Ein kan derfor stille
spørsmål ved om denne modellen tilfredsstiller kriteria
for å vere ein internrevisjon, i og med at modellen
føreset at alle tenestene blir kjøpte eksternt.
Vurdering i forhold til eigen organisasjon:
12 Universitetet i Bergen er eit døme på ei statleg verksemd som nyttar denne løysinga.
18

Modell 3
Tilsett revisjonssjef som kjøper eksterne revisjonstenester 13
Beskriving
Modellen inneber at det blir tilsett ein revisjonssjef som kjøper tenester frå dei eksterne fagmiljøa med best
kompetanse i forhold til prisen på tenestene. Tenestene kan kjøpast hos éin eller fleire leverandørar, avhengig av
kompetansebehovet.
Fordelar
Modellen gir god forankring av funksjonen i
organisasjonen og gjer det mogleg å setje saman team
på tvers av fagområde og ulike rådgivingsmiljø. Han
gir stor fleksibilitet med tanke på ressursbruk. Fordi
leiaren er tilsett i verksemda, vil denne modellen på ein
betre måte enn ved outsourcing bidra til at kompetanse
som blir utvikla i internrevisjonsavdelinga, kjem den
statlege verksemda til gode.
Ulemper
Ulempa med ein internrevisjon med berre éin person er
at vedkommande ikkje er ein del av eit fagmiljø. Då kan
det òg vere utfordrande å få leiaren godt nok forankra i
organisasjonen. Det kan medverke til at det blir
vanskeleg å behalde personar i ei slik stilling over tid.
Om revisjonssjefen sluttar, kan det vere utfordrande å
sikre kontinuitet og kompetanseoverføring til
erstattaren.
Vurdering i forhold til eigen organisasjon:
13 Meir vanleg er det at internrevisjonar har fleire fast tilsette internrevisorar, men at det likevel blir sett av
budsjettmidlar til å kjøpe tenester.
19

Modell 4
Tilsett revisjonssjef med team frå eiga verksemd
Beskriving
Éin modell kan vere å byggje eit internt kompetansemiljø rundt revisjonssjefen ved at ein nyttar tilsette i
verksemda frå ulike fagfelt til å delta i revisjonsprosjekt.
For å få godt utbyte av ein slik modell må verksemda vere stor nok til at ein kan finne personar med
fagkompetanse som organisatorisk har ei uavhengig stilling i forhold til kvarandre.
Fordelar
Denne modellen har fordelar knytte til forankring i
organisasjonen og kunnskap om verksemda. Fordi det
blir nytta interne ressursar, kan implementeringa av
forbetringstiltak bli meir effektiv.
Modellen kan bidra til meir samhandling mellom
fagmiljøa i verksemda ved at dei deltek i tverrfaglege
revisjonsteam.
Modellen legg òg til rette for betre læring og
kompetanseoverføring i verksemda.
Ulemper
Modellen kan innebere rollekonfliktar og risiko for å
komme i konflikt med krav til handlefridom og
objektivitet.
Når ein nyttar kompetanse frå miljø som ikkje har
revisjonskompetanse, vil revisjonssjefen få meirarbeid
med å lære opp personar i den revisjonsfaglege delen av
arbeidet. Ordninga kan òg medføre større risiko for feil
i gjennomføringa av revisjonsoppdraga fordi ein nyttar
medarbeidarar utan revisjonskompetanse.
Det kan òg vere utfordringar knytte til om relevante
fagmiljø kan stille ressursar til disposisjon i den
perioden revisjonen skal gjennomførast.
Vurdering i forhold til eigen organisasjon:
20

I tillegg til dei fire modellane som er beskrivne ovanfor, kan ein etablere modellar som er ein
kombinasjon av modellane 1 og 4 og modellane 3 og 4. 14 Desse kombinasjonane inneber at
ein tilsett revisjonssjef kan nytte eigne tilsette og i tillegg velje å kjøpe tenester frå eksterne
fagmiljø og/eller nytte ressursar frå interne kompetansemiljø.
Når ein skal velje revisjonsmodell, må ein vurdere spesifikke forhold i verksemda opp mot dei
generelle fordelane og ulempene som er knytte til dei ulike internrevisjonsmodellane.
Nedanfor følgjer kontrollspørsmål som kan vere til hjelp i den samanhengen.
I kolonnen ”Kommenter/grunngi” kan ein gi ei kort beskriving av situasjonen i verksemda og
kva verksemda ønskjer/treng. Oppgi òg for kvart spørsmål kva som kan vere aktuelle
internrevisjonsmodellar. Svara i tabellen vil dermed vise om det er revisjonsmodellar som
ikkje er aktuelle, og om det er modellar som peiker seg ut som dei mest aktuelle.
Kontrollspørsmål
Kommenter/grunngi
Er verksemda så stor at det er forsvarleg å
etablere ei revisjonseining som er stor nok
(kritisk masse) til å fungere som eit attraktivt
kompetansemiljø?
Er det vesentleg for verksemda å etablere ein
revisjonsmodell med stor grad av forankring
i verksemda?
Blir det nødvendig med nytilsetjingar for å
dekkje breidda i kompetansebehovet til
internrevisjonen (til dømes revisjon, IT, juss,
økonomi, forvalting, verksemds- og
risikostyring)?
Er verksemda stor nok, og er ho organisert
slik at det går an (ut frå behovet for å sikre
handlefridom) å nytte interne ressursar i
revisjonsteam?
Vil linjeorganisasjonen ha nok kapasitet til å
gi frå seg ressursar i dei periodane det skal
gjennomførast revisjonar?
Har verksemda erfaring med å nytte interne
ressursar i revisjonsteam, til dømes i
samband med interne kvalitetsrevisjonar?
Vil behovet for internrevisjonstenester i
verksemda variere frå år til år?
14 Det finst òg modellar og praksis for samarbeid mellom internrevisjonar. Forsvarsdepartementets internrevisjon
og Forsvarssjefens internrevisjon samarbeider mellom anna om revisjonsmetodikk. I ein viss grad nyttar statlege
verksemder såkalla ”peer reviews” når dei skal evaluere internrevisjonar, det vil seie at dei samanliknar seg med
andre internrevisjonar.
21

Har verksemda ressursar og kompetanse til å
bestille tenester og følgje opp ein kontrakt /
kontraktar om leveransar av
internrevisjonstenester?
Har verksemda behov for eller ønskjer ho å
få erfaring med bruk av internrevisjon før ho
vel ein endeleg revisjonsmodell?
5.2 Etableringsfase
Trinn 3: Avklare rolle, rammer og ressursar
Skal internrevisjonsfunksjonen ha legitimitet i organisasjonen og overfor omgivnadene, må
han tilfredsstille grunnleggjande krav til handlefridom, objektivitet og kompetanse, slik det
mellom anna går fram av krava i standardane og dei etiske retningslinjene til IIA. Desse krava
blir mellom anna tilfredsstilte gjennom organisatorisk plassering og rapportering, kompetanse,
rolleavklaring og tildeling av ansvar og myndigheit. Dersom handlefridommen eller
objektiviteten er eller verkar å vere svekt, bør det handterast i samsvar med IIA-standard 1130.
Organisatorisk plassering må sikre handlefridommen til internrevisjonen
Internrevisjonsfunksjonen skal vere uavhengig av organisasjonseiningane, verksemdsområda
og prosessane han skal revidere. Desse forholda er retningsgivande:
• Internrevisjonen bør organisatorisk vere knytt til det øvste styrings-/leiingsnivået i
verksemda.
• Internrevisjonen bør rapportere til verksemdsleiaren eller til styret i verksemder der det er
formålstenleg. Det bør avklarast om det skal vere fast rapportering om arbeidet til
internrevisjonen til departementet (til dømes årsrapporten), og korleis det eventuelt skal
skje. Det kan òg oppstå spesielle situasjonar der det er behov for å lyfte ei sak til overordna
departement for avgjerd og oppfølging, til dømes dersom verksemdsleiaren og
internrevisjonen ikkje blir einige om vesentlege observasjonar eller behov for tiltak. Det
bør fastsetjast retningslinjer for korleis leiaren for internrevisjonen saman med
verksemdsleiaren kan ta kontakt med departementet i slike situasjonar.
• Verksemdsleiaren skal gi faglege fullmakter til revisjonssjefen, som understøttar den
faglege handlefridommen.
• Internrevisjonen bør i det daglege arbeidet rapportere til verksemdsleiaren.
22

Rammene for internrevisjonen må innarbeidast i instruksar og
retningslinjer
Det bør utarbeidast skriftlege instruksar og retningslinjer som internrevisjonens oppdragsgivar
skal godkjenne. Styringsdokumenta må omfatte følgjande:
• Instruks for internrevisjonen som definerer einingas formål og oppgåve,
rapporteringslinjer, myndigheit og ansvar 15
• Stillingsinstruks for leiaren av internrevisjonen som mellom anna inneheld referansar til
etiske reglar, god revisjonsskikk og IIA-standardar og eventuelt andre faglege standardar
som gjeld for verksemda
• Retningslinjer og prosedyrar for arbeidet til internrevisjonen. Desse bør beskrive
hovudprinsippa i internrevisjonens metodar og framgangsmåte ved gjennomføring,
rapportering og oppfølging av revisjonsprosjekt. Retningslinjer for rapportering bør
mellom anna innehalde krav om at kopi av revisjonsrapportar alltid skal sendast til
overordna nivå i forhold til den eininga som er revidert. Vidare bør retningslinjene påpeike
at revisjonsdirektøren har fridom til å fastsetje årsplan. Retningslinjene bør òg innehalde
prinsipp for når internrevisjonen kan/skal rapportere til overordna departement, og korleis
det skal skje. Det er gitt ein meir utdjupande omtale av dette i trinn 4.
• Informasjon om korvidt internrevisjonen skal kunne ta på seg rådgivingsoppdrag, og i kva
omfang
• Avtale om / prinsipp for koordinering og samarbeid mellom Riksrevisjonen og
internrevisjonen 16
Internrevisjonen må ha kompetanse og kapasitet som sikrar at han kan
vareta rolla si og oppfylle formålet sitt
Oppdragsgivaren må ta stilling til kva kompetanse og kapasitet internrevisjonen bør disponere.
Formålet med og rolla til revisjonen er viktig for denne vurderinga. Verksemda må derfor
avklare forhold som har noko å seie for kompetanse og kapasitet:
• Gjennomgå instruksen for internrevisjon 17 og vurdere kva det har å seie for kompetanseog
ressursbehovet til internrevisjonen
• Bruke risikovurderinga til verksemda til å kartleggje kva behov internrevisjonen har for
kompetanse og ressursar
• Vurdere krava til basiskompetanse i revisjonseininga, til dømes kunnskap og kompetanse
om verksemda, inkludert styringssystem og fagområde, dessutan kompetanse innanfor
15 IIA-standard 1000 Formål, fullmakter og ansvar.
16 INTOSAI GOV 9150: Coordination and Cooperation between SAIs and Internal Auditors in the Public Sector.
17 IIA-standard 1000 Formål, fullmakter og ansvar og IIA-standard 1200 Faglig dyktighet og tilbørlig faglig
aktsomhet.
23

internrevisjon, risikostyring, internkontroll, juss, økonomi og finans, IT, samfunns- og
organisasjonsvitskap
• Definere personlege eigenskapar som er ønskjelege hos internrevisorane, som evne til
heilskapstenking, grundigheit, kreativitet, kommunikasjons- og samarbeidsevne
• Ta stilling til i kva grad kompetanse og kapasitet skal sikrast gjennom eigne ressursar eller
ved kjøp av tenester
Internrevisjonen må disponere midlar og stillingsheimlar
Basert på organisering og kva kapasitet og kompetanse det vil vere behov for, må verksemda
fastsetje budsjett og klarere nødvendige årsverk.
Trinn 4: Avklare formål og prinsipp for metodikk og prosess
Internrevisjonen skal ha myndigheit, fullmakt og ansvar som gjer han i
stand til å gjennomføre oppdraget sitt
For at internrevisjonen skal kunne utøve funksjonen sin i samsvar med god praksis og faglege
standardar, bør retningslinjer som beskrive i trinn 3 under rammene for internrevisjonen, tredje
kulepunkt, innehalde følgjande element:
• Internrevisjonen skal ikkje ha myndigheit som inneber at han kan gi pålegg til einingar
eller personar som blir reviderte. Det skal mellom anna sikre at revisjonen ikkje kjem i
situasjonar der funksjonen i ettertid skal kontrollere/revidere sine eigne avgjerder.
• Internrevisjonen skal ha høve til å komme med innspel til forbetringar og endringar i form
av tilrådingar om tiltak.
• Internrevisjonen skal kunne informere/rapportere om prinsipielle og vesentlege forhold til
verksemdsleiaren eller styret. I særskilde tilfelle kan internrevisjonen saman med
verksemdsleiaren (eller styreleiaren) ta kontakt med det overordna departementet for
drøfting og avgjerd. 18
• Internrevisjonen må ha tilgang til all informasjon som er nødvendig for at han skal kunne
utføre oppdraget sitt og vareta kontrollfunksjonen på vegner av verksemdsleiaren,
eventuelt styret.
• Internrevisjonen skal ha teieplikt om alle forhold han får kjennskap til ved utøvinga av
funksjonen, og skal signere ein særskild teielovnad.
18 Ettersom internrevisjonen i statlege verksemder normalt rapporterer til verksemdsleiaren, samtidig som
departementet har eit overordna ansvar for kontroll og oppfølging, er det nødvendig å tilpasse IIA-standard 2600
Avklaring i forbindelse med toppledelsens aksept av risikoer. Jamfør òg omtale av forholdet mellom
internrevisjon, verksemdsleiar og departement i kapittel 3.2.
24

• Revisjonsdirektøren skal sjølv fastsetje årsplanen etter drøftingar med verksemdsleiinga.
Internrevisjonen bør på sjølvstendig grunnlag kunne omprioritere oppgåver innanfor ein
godkjend plan dersom det er nødvendig ut frå endringar i risikoforholda i verksemda.
Metodikken og prosessane til internrevisjonen må tilfredsstille faglege krav
og dekkje behova til verksemda
Internrevisjonen er ein sjølvstendig og uavhengig del av organisasjonen og må utøve rolla si i
samsvar med faglege standardar som er gitt av IIA, og anerkjend praksis. Internrevisjonen kan
derfor ikkje ta på seg oppgåver som er ein del av den ordinære internkontrollen til verksemda,
eller utøve funksjonen sin på ein måte som gjer at det kan stillast spørsmål ved objektiviteten
og handlefridommen til internrevisjonen. Avklaringar/beskrivingar av prosessane og
metodikken til internrevisjonen bør innehalde følgjande:
• Prinsipp/retningslinjer for samhandling/dialog med leiarar og linjeeiningar i
organisasjonen
• Prinsipp/retningslinjer for samhandling/dialog med internkontrolleiningar i organisasjonen,
internkontrollansvarlege, controllerar, HMS-ansvarlege eller liknande
• Framgangsmåte ved utarbeiding av årsplan, inkludert drøftingar mellom revisjonssjefen og
verksemdsleiinga, og korleis internrevisjonens eigne risikovurderingar saman med
risikoanalysane til verksemda skal leggjast til grunn for planlegginga
• Krav til revisors oppdragsplanlegging og rapportering
• Informasjon om korleis og kven i verksemda som skal behandle og/eller godkjenne planar,
rapportar og prosjekt som internrevisjonen utarbeider. Det må fastsetjast krav til
oppfølging av foreslåtte tiltak i revisjonsrapportar, inkludert prioritering av tiltak, ansvar
og fristar for gjennomføring.
• Informasjon om korleis internrevisjonen skal kontrollere og rapportere om verksemda
følgjer opp avgjerdene knytte til kva ein har blitt einige om i tidlegare gjennomførte
revisjonar
• Informasjon om korleis prinsipielle og vesentlege forhold skal takast opp, og kven det skal
rapporterast til, inkludert korleis forhold knytte til eventuelle misleghald/avvik skal
handterast og rapporterast
• Informasjon om reviderte einingar sitt høve til å uttale seg om rapportar frå revisor før dei
blir endelege
• Informasjon om korleis internrevisjonen skal opptre i forhold til Riksrevisjonen, og kva
opplysningar det er naturleg/ønskjeleg å utveksle, til dømes internrevisjonens årsplan og
årlege rapportar
• Informasjon om korvidt revisjonsoppdraget skal omfatte heile verksemda og alle
verksemdsområda
• Informasjon om korleis internrevisjonen skal avklare og rapportere spesielle
rådgivingsoppdrag for verksemda
25

• Informasjon om korleis internrevisjonen skal avklare deltakinga i og utøve sin funksjon i
interne prosjekt i verksemda
• Informasjon om korleis eventuelle anskaffingar av eksterne ressursar skal skje
• Informasjon om korvidt revisjonssjefen skal delta i leiarmøte i verksemda og eventuelle
etatsstyringsmøte
• Informasjon om korleis jamleg oppfølging og evaluering av internrevisjonsfunksjonen skal
gjennomførast
Trinn 5 Intern forankring og kommunikasjon
Etablering av ein internrevisjonsfunksjon er eit tiltak som vil påverke alle delar av verksemda.
Ei eventuell avgjerd om å etablere ein slik funksjon må derfor vere godt forankra i toppleiinga
og forstått og akseptert i resten av organisasjonen. Informasjonsopplegget må tilpassast etter
storleiken, kommunikasjonsrutinane og eigenarten til verksemda.
I vurderingsfasen er det viktig at leiarane i verksemda blir informerte om planlagde og
pågåande prosessar knytte til vurderingar omkring etablering av ein internrevisjonsfunksjon.
Ein bør informere om formålet med vurderinga, framgangsmåten, fristane og innhaldet i
prosessen. Ein bør òg informere om kva internrevisjon er, og kva oppgåver
revisjonsfunksjonen har.
Ein bør informere når det er bestemt at ein skal etablere internrevisjon, og når det er valt
revisjonsmodell. I etableringsfasen bør planlagde aktivitetar, framdrifta og korleis
organisasjonen vil bli involvert, kommuniserast til relevante tilsette som leiarar, mellomleiarar
og eventuelle kontrollfunksjonar.
Det bør fortløpande informerast om resultat frå dei ulike trinna i prosessen og vesentlege
avgjerder som blir tekne undervegs. Det bør òg informerast om det er teke avgjerder som kan
vere viktige for eksisterande organisering, arbeidsoppgåver og ressursar i verksemda, til
dømes dersom verksemda vel ein modell der dei tilsette skal delta i revisjonsoppdrag.
Det overordna departementet og Riksrevisjonen bør orienterast når internrevisjonsfunksjonen
er etablert.
5.3 Avslutning
Eit val om å etablere internrevisjon bør vere gjenstand for grundig vurdering. Det er viktig at
leiinga sørgjer for eit dokumentert og fullstendig avgjerdsgrunnlag, slik at ein er trygg på at
avgjerdene blir tekne på eit best mogleg faktagrunnlag.
Dersom den valde internrevisjonsmodellen inneber at det må tilsetjast personell, er det viktig å
rekruttere leiaren av revisjonseininga først, slik at han eller ho kan involverast når resten av
26

evisjonspersonellet skal rekrutterast. Verksemda bør då også vurdere om det er best å
bemanne opp revisjonseininga gradvis, etter kvart som ein får erfaring med behov og
nytteverdi.
I samsvar med IIA-standardane 19 skal det utarbeidast eigne program for å kvalitetssikre og
forbetre internrevisjonsfunksjonen. Formålet med det er å følgje opp at internrevisjonen
arbeider i tråd med IIA-standardane, etiske reglar og instruksar som er fastsette av den enkelte
verksemda. Det er derfor viktig å etablere rutinar for jamleg oppfølging og evaluering av
internrevisjonsfunksjonen.
19 IIA-standard 1300 Program for kvalitetssikring og forbedring.
27