SIRK nr 2. 2011

SIRK
Styring – Internrevisjon
Risiko – Kontroll
Nummer 2, vinter 2011, 19. årgang
Et våkent øye
– om Tilsyns-Norge
Jørgen Kosmo: God kontroll er god økonomi!
God
foretaksstyring
i praksis
Bærekraft og
samfunnsansvar
Etablering av
internrevisjon?
Ny veileder fra DFØ
Bank & forsikring:
FATCA
Solvency
Verdiskapende
internrevisjon
«God kontroll er god økonomi»
stadfester Jørgen Kosmo i sin
samtale med SIRK, til inspirasjon
bl.a. for virksomhetsledere i
offentlig sektor som vurderer å
etablere internrevisjon og støtter seg
på den nye veilederen fra DFØ
(tidligere SSØ).
Det er ikke vanskelig å være enig
med Kosmo; det finnes utallige
REDAKTØRENS
eksempler på hvor kostbart det kan
bli med dårlig kontroll, i form av
ineffektivitet, suboptimale beslutninger, lovbrudd, misligheter og korrupsjon, materielle
skader og i verste fall tap av menneskeliv. Nærliggende
eksempler på hvor dyrt det kan bli, er problemene i SørEuropa, muliggjort ved manglende kontroll på mikroplan
(for eksempel i utbetalingsprosesser) og makroplan
(svakheter i overvåkingen fra myndighetenes side). En
kombinasjon av ferie og jobb har det siste halve året ført
meg til Spania, Italia, Hellas og Island - reneste road show
i finanskrise-land, bare Portugal og Irland gjenstår.
Ratingselskapenes nedgradering av USA er nesten glemt i
det hele, men USA er ikke over kneiken av den grunn.
Selv om årsakssammenhengene er ulike mellom landene,
og det er vanskelig å gjøre observasjoner som gjest på
kort besøk, føles det litt trygt å være norsk.
SPALTE
Men hvordan kan vi vite at ikke Norge kan rammes av
liknende kriser? Hvordan kan vi føle oss trygge på at det
ikke brått kommer for en dag at vi har brukt for mye
penger, eller rettere; at vi har brukt mye mer penger enn vi
trodde? At vi har brukt penger som det viser seg at vi
egentlig ikke har, til prosjekter og formål vi ikke burde
bruke penger på, og at fremtidige generasjoner kan se
REDAKSJONS
KOMITEEN
Ansvarlig for
dette nummeret av
SIRK
Janne Britt Saltkjel - leder
Deloitte AS
Postboks 347 Skøyen
0213 Oslo
M: 99 12 01 95
[email protected]
Anders Blix
EDB Ergo Group
Konsernrevisjonen
Postboks 640 Skøyen
0214 Oslo
M: 48 30 03 87
[email protected]
SIRK nr 2. 2011
”Hey, we´re government accountants.
These numbers aren´t supposed to add up.”
@simoleonsense.com
Her har revisjon- og tilsynsmyndig-
Slike scenarier er en
heter en jobb å gjøre.
absurd tanke for de
fleste. Vi har tillit til
at det norske samfunnet gjennomgående har velfungerende kontrollsystemer. Men den tilliten kan vi ikke ha
uten en god forvaltning tuftet på uavhengighet, åpenhet
og kompetanse. Her spiller Riksrevisjonen og tilsynsmyndighetene avgjørende roller, som vi har sett nærmere
på i dette nummeret av SIRK.
Videre har vi fokus på god foretaksstyring og hvordan
man kan diagnostisere tilstanden for egen virksomhet.
Mange foretak har en jobb å gjøre på dette området, mens
noen er kommet langt. Artikkelen om internrevisjonens
rolle i modne kontrollmiljøer, målbærer en vridning fra
bekreftelse til rådgivning for virksomheter som har på
plass velfungerende system for foretaksstyring og internkontroll som har vært revidert over tid. For noen kontrollfunksjoner vil dette bety en litt annen måte å jobbe på – at
man må se enda mer fremover og mer utover. Det er også
en ambisjon for SIRK. Vi håper dette nummeret av SIRK
kan bidra med opplysning, bevisstgjøring og inspirasjon
for både ansatte og ledere til å møte nye utfordringer
i 2012.
Tor Solbjørg
Helse Nord RHF
8038 Bodø
M: 91 76 88 28
[email protected]
Mari Vonen
PricewaterhouseCoopers AS
Postboks 748, Sentrum,
0106 Oslo,
M: 95 26 01 60
[email protected]
Se mer info på www.iia.no
2
langt etter et liv i
samme velstand som
den vi har i dag? Eller
at ikke finansnæringen
kan klappe sammen på
kort varsel og trenge
mye mer enn midlertidig likviditetstilgang,
med dramatiske
konsekvenser for
norsk økonomi?
Randi Almås
Norges Bank
Postboks 1179 Sentrum
0107 Oslo
M: 95 76 02 88
[email protected]
Innhold
2
4
6
11
14
16
20
22
24
26
28
31
34
36
38
39
40
42
43
46
48
52
54
55
Redaktørens spalte
Styrets leder har ordet
Tilsyns-Norge
God kontroll er god økonomi! – Jørgen Kosmo
Hva gjør – og utgjør – Tilsyns-Norge?
Finanstilsynets arbeid med tilsyn innenfor bank- og finanssektoren
Hvordan påvirker eksterne tilsyn intern styring og kontroll ved et helseforetak?
Internrevisjon som verdiskapende funksjon
Ny veileder fra DFØ om etablering av internrevisjon
Utlendingsdirektoratet - styring og internrevisjon
Fag & Aktuelt
Internrevisors rolle i et modent kontrollmiljø
Hva er god praksis for foretaksstyring?
Solvency II og Internrevisjon
Få FATCA på bordet
Bærekraft og samfunnsansvar – internrevisjonens rolle
Engasjerende paneldebatt
Informasjonsinnhenting og -analyse, et nytt kurs utviklet av nettverk misligheter
Faglig integrasjon og samarbeid mellom profesjoner
Reisebrev fra Kuala Lumpur
ECIIAs Internal Auditing European Conference 2011: Moving forward
Forenings- og profesjonsnytt
Ledernettverket i NIRF
Tillitsvalgtsamlingen 2011
Nyheter fra sekretariatet, IIA og andre samarbeidspartnere
Viktige endringer - CIA
På tampen
NORGES INTERNE REVISORERS FORENING
President
Martin W. Stevens
Gjensidige Forsikring
Postboks 276
1326 Lysaker
M: 95 75 01 92
[email protected]
Programkomitéen
Karl Ludvig Mauland
PricewaterhouseCoopers AS
Postboks 748 Sentrum
0106 Oslo
M: 95 26 07 63
[email protected]
Informasjons- og
promoteringskomitéen
Alf Martin Hanssen
Statsbygg
Postboks 8106 Dep
0032 Oslo
J: 22 95 40 10 M: 92 21 44 66
[email protected]
Redaksjonskomitéen
Janne Britt Saltkjel - leder
Deloitte AS
Postboks 347 Skøyen
0213 Oslo
M: 99 12 01 95
[email protected]
Konferansekomitéen
Siv Austad Hove
If Skadeforsikring
Postboks 240
1326 Lysaker
J: 67 84 08 81 M: 92 22 17 45
[email protected]
Nominasjonskomitéen
Solbjørg Lie leder
NAV Internrevisjon
Postboks 5 St. Olavs plass
0130 Oslo
M: 90 87 64 35
[email protected]
Foreningsekretariat
Ellen C. Brataas
Generalsekretær
M: 97 62 05 65
[email protected]
Svein Stabekk
Foreningssekretær
M: 93 23 79 12
[email protected]
Postadresse:
Norges Interne Revisorers Forening
Postboks 1417 Vika,
0115 Oslo
[email protected]
Besøksadresse:
Munkedamsveien 3 B, 3. etg.
0161 Oslo
Internrevisoren: Organ for Norges
Interne Revisorers Forening, NIRF
Antall utgivelser pr. år: 2
Opplag: 1.300
Meninger og påstander som fremkommer i artikler eller innlegg er
ikke nødvendigvis sammenfallende
med NIRFs syn.
Neste utgave: Juni 2012
Har du bidrag til bladet?
Ta kontakt med redaksjonens leder
for frister m.m.
Årsabonnement: Kr. 150
Annonsepriser:
Kr. 5.000 for en helside
Kr. 3.000 for en halvside
(mva. tilkommer)
Grafisk produksjon:
Dalby Grafisk
Forsidebilde: iStockphoto
Styrets leder
HAR ORDET
Ord fra presidenten
Årets tillitsvalgtsamling var et
høydepunkt for meg. Jeg følte meg
både stolt og beæret over å være
frontfigur i en forening med så mye
engasjement fra medlemmene som vi har. Jeg mener at vi
i denne sammenhengen er ganske unike. Det ga meg
inspirasjon til å jobbe videre med å gjøre også min innsats til utvikling av faget intern revisjon og fagfeltet
internkontroll, risikostyring og corporate governance.
Jeg vil gjerne bruke denne anledning til å fortelle mer om
aktivitetene vi har på gang og invitere alle som har innspill og meninger om temaene til å ta kontakt med oss.
Vi har tatt initiativ til å opprette et faglig forum for
risikostyring. Vi erkjenner at det er mange av våre
medlemmer som jobber innenfor dette fagfeltet og som
attpåtil har byttet ut revisorhatten med riskmanagerhatten. Dette forumet skal kunne danne grunnlag til en
møteplass for erfaringsutveksling og faglig utvikling.
Det vil komme mer informasjon om opplegget fremover.
Samtidig søker vi bedre kontakt og samarbeid med
eventuelle andre foreninger i Norge som har medlemmer
som jobber innenfor dette fagfeltet.
Et annet fagområde vi tenker å fokusere på i neste
omgang er Compliance – mer om det etter hvert.
En hyggelig side med internrevisjon er virkelig hvor
internasjonal den er. Som president har jeg fått anledning
til å representere vår forening i både Kuala Lumpur og
Madrid. Når man hører på de utfordringene vi står
4
SIRK nr 2. 2011
overfor, skjønner man at vi har en felles utfordring i å
kommunisere godt mot de vi rapporterer til og forsyne
dem med den informasjon og innsikt de trenger. Innenfor
Norden har både vår generalsekretær og jeg et godt forhold til våre kolleger i Sverige. Vi merker at flere av våre
bedrifter, spesielt innenfor finansnæringen, er representert i alle de nordiske land samt Baltikum. Vi synes det
da er naturlig å søke samarbeid innenfor dette nære
utlandet. Ikke at vi skal svekke tilbudet nasjonalt, men
heller søke å berike det gjennom å gi tilbud som ikke
kunne forsvares økonomisk eller tidsmessig om vi skulle
stå alene om dem. Vi søker å konkretisere våre diskusjoner – mer om dette senere.
Til slutt ønsker jeg å berømme SIRK. Bladet er blitt lagt
merke til. Hver gang jeg holder et foredrag i fora der det
kommer andre enn våre medlemmer tar jeg med meg en
liten bunke SIRK. Noe finere reklamemateriell for hva
vår forening er og står for kan jeg vanskelig tenke meg.
Bladet har alltid hatt interessante artikler om styring og
kontroll og ikke bare internrevisjonsfaget, men nå opplever vi at det hinderet som navnet var til utenforstående
er borte, og interessen økende. Jeg oppmuntrer alle som
har anledning til å gi en kopi til kollegaer eller kjente
som jobber innenfor fagfeltet. Ta bare kontakt med
foreningssekretariatet og hør om det er noen overskuddseksemplarer som man kan få til egen distribusjon – vårt
prinsipp er ”så lenge lageret rekker”.
Jeg ønsker alle sammen en god jul og et godt nytt år !
Hvordan sikre måloppnåelse?
Deloitte
Internrevisjon
+HOKHWOLJIRUUHWQLQJVIRUVWÆHOVHRJSURDNWLYULVLNRVW\ULQJHUDYJMýUHQGHIRUYLUNVRPKHWHUVPÆORSSQÆHOVH
'HORLWWHNobler VSLVVNRPSHWDQVHLQQHQULVLNRVW\ULQJRJNRQWUROOPHGVWUDWHJLVNLQQVLNWRJEUDQVMHHUIDULQJ
9LYHNWOHJJHUHWIUHPRYHUVNXHQGHSHUVSHNWLYRJQÈUWVDPDUEHLGPHGYÆUHNOLHQWHU
Ta gjerne kontakt med en av våre eksperter for å finne ut hva vi kan gjøre for din bedrift.
Kontakt:
Janne Britt Saltkjel
%HQWH6YHUGUXS
senior manager
tlf: 99 12 01 95
[email protected]
partner
tlf: [email protected]
Karenslyst allé
0213 Oslo
Tlf: 23 27 90 00
www.deloitte.no
© 201 Deloitte AS
SIRK nr 2. 2011
5
T i l s y n s - N o rg e
God kontroll er god økonomi!
– Jørgen Kosmo
ved Janne Britt Saltkjel og Anders Blix, Redaksjonskomiteen
Fra Riksrevisjonens hjemmesider:
Riksrevisjonen er Stortingets viktigste eksterne kontrollorgan og skal bidra til at fellesskapets midler
og verdier blir brukt og forvaltet slik Stortinget har bestemt. Riksrevisjonen har en uavhengig stilling
overfor forvaltningen og rapporterer resultatene av revisjonen og kontrollen til Stortinget.
Visjon: Riksrevisjonen bidrar effektivt til Stortingets kontroll og fremmer god forvaltning.
Organisasjon
Riksrevisjonen er organisert i syv områder. De 540 ansatte inkluderer revisorer, jurister, økonomer, samfunnsvitere og flere andre
profesjoner og utdanningsretninger. Riksrevisjonen ledes av et kollegium på fem riksrevisorer som velges av Stortinget hvert fjerde år.
Riksrevisjonens kollegium
Kollegiets leder
Revisjonsråd
Stabsseksjonen
Avdeling I
Avdeling II
Avdeling III
Avdeling IV
Finansdepartementet
Forsvarsdept.
Justis- og politidept.
Metode
Fornyings-,
administrasjons- og
kirkedepartementet
Fiskeri- og kystdept.
Kunnskapsdept.
Arbeidsdepartementet
Landbruks- og matdept.
Kulturdepartementet
Miljøverndept.
Kommunal- og regionaldept.
Barne-, likestillings- og
inkluderingsdept
Statsministerens kontor
Olje- og energidept.
Nærings- og handelsdept.
Helse- og omsorgsdept.
Samferdselsdept.
Utenriksdept.
Stortinget
Forvaltningsrevisjonsavd. I
Metode
Selskapskontroll
Arbeidsdepartementet
Barne-, likestillings- og
inkluderingsdepartementet
Fornyings-, administrasjonsog kirkedepartementet
Helse- og omsorgsdept.
Kommunal- og regionaldept.
Nærings- og handelsdept.
Forvaltningsrevisjonsavd. II
Finansdept.
Fiskeri- og kystdept.
Forsvarsdept.
Kultur- og kirkedept.
Justis- og politidept.
Kunnskapsdept.
Landbruks- og matdept.
Miljøverndept.
Olje- og energidept.
Samferdselsdept.
Utenriksdept.
Administrasjonsavd.
Drift
Økonomi
IKT
Dokumentasjonsseksjonen
Internasjonalt samarbeid
Personal
Riksrevisjonens organisering og styring
Kollegiet fra og med 2010 til og med 2013 består av:
Jørgen Kosmo tiltrådte som leder av Riksrevisjonen i 2006 og
sitter nå i sin andre periode som leder av riksrevisorkollegiet.
Jørgen Kosmo (Arbeiderpartiet), leder
Arve Lønnum (Fremskrittspartiet), nestleder
Annelise Høegh (Høyre)
Per Jordal (Senterpartiet)
Synnøve Brenden (Arbeiderpartiet)
SIRK møtte Kosmo like før årets Dokument 11 ble avgitt til
Stortinget 22. november. Vi begynte med en gjennomgang av
organisering og kollegiets funksjon, og Kosmo forklarte:
1
Riksrevisjonens nestleder er revisjonsråd Bjørg Selås som har
det faglige og administrative ansvaret.
6
Jørgen Kosmo var
innvalgt på Stortinget
for Vestfold AP i årene
1985 til 2005. Han var
forsvarsminister
1993–1997 og arbeidsog administrasjonsminister
2000–2001. Fra 2001 til 2005 var
han stortingspresident. Kosmo ble 2.
juli 2004 utnevnt til fylkesmann i
Telemark. Han rakk ikke å tiltre
fylkesmannsembetet før han høsten
2005 ble utnevnt til riksrevisor.
Kosmo har i løpet av sin periode
som riksrevisor frontet en rekke
saker som har fått bred
oppmerksomhet i offentligheten,
bl.a. om informasjonssikkerhet,
ineffektivitet i offentlig forvaltning,
pasientrettigheter, oppfølging av
tilskudd til bistandsarbeid m.v.
SIRK nr 2. 2011
Resultatet av revisjonen av departementene og underliggende
virksomheter avgis i årlig rapport til Stortinget; Dokument 1.
T i l s y n s - N o rg e
– Riksrevisjonens kollegium på fem riksrevisorer velges av
Stortinget, dette er en arv fra grunnloven, som har stått fast i
snart 200 år. Stortinget er opptatt av bredt politisk engasjement. Ofte er det stortingsrepresentanter som velges inn i
kollegiet, men ikke alltid. I det nåværende kollegiet er det for
eksempel en dommer og en ordfører
Kosmo forteller at riksrevisorene og deres personlige varamedlemmer velges for fire år om gangen og har en stemme hver.
Beslutninger fattet av kollegiet krever at minst tre riksrevisorer
er enige. Lederen av kollegiet er Riksrevisjonens daglige leder.
– Kollegiet fungerer som et slags styre, der Riksrevisor kan
sammenlignes med en blanding av arbeidende styreformann
og daglig leder. Kollegiet behandler rapportene til Stortinget
og andre viktige saker i plenum.
Riksrevisjonen er organisert i seks ulike revisjonsavdelinger og
en administrativ. Fire av de seks reviderer statsregnskapet,
herunder kontroll med disposisjonene. De to forvaltningsrevisjonsavdelingene etterprøver hvordan offentlige tiltak er
satt i verk, og ser på hvilke virkninger tiltakene har hatt. Kosmo
forklarer at mens regnskapsrevisjonen tar ett regnskapsår ad
gangen, innbærer forvaltningsrevisjon en måling over tid.
Ansvarsfordelingen mellom avdelingene følger departementenes
respektive ansvarsområder.
– I den ene forvaltningsrevisjonsavdelingen ligger selskapskontroll som innebærer å følge med eierstyringen av virksomheter
der staten er hel- eller del-eier. Til forskjell fra vanlig revisjon
er Riksrevisjonens oppgave å se til at eierstyringen foregår i
tråd med virksomhetens samfunnsoppgave og er rettet mot
departementets oppfølging; departementet representerer
eieren. Alle rapporter som skal til Stortinget skal til kollegiet
og alle saker av stor betydning skal fremmes for kollegiet,
bl.a. ansettelse av ledere.
– Hvordan prioriteres arbeidet og hvordan fastsettes revisjonsplan? Hva vil du fremheve som viktig for Riksrevisjonen?
– Vi begynner med risikovurderinger med fokus på risiko og
vesentlighet. Hver avdeling foretar risikovurderingene,
kollegiet bestemmer hva som skal prioriteres. Riksrevisjonen
er pålagt å revidere alle regnskaper, og en god del ressurser
settes inn på dette, men den store utfordringen er å se risikoer
på tvers av områder og vi jobber kontinuerlig med dette for
best mulig ressursbruk. I det øyeblikket man leverer
Dokument 1, det vil si resultatet av regnskapsrevisjonen til
Stortinget, starter planleggingen for neste år.
Anskaffelser og informasjonssikkerhet
Norsk forvaltning er anerkjent internasjonalt, men på spørsmål
fra SIRK om hvilke områder Kosmo vil fremheve som de
viktigste under hans periode, trekker han frem anskaffelser og
informasjonssikkerhet.
– Selv om norsk forvalting er blant de beste i verden, har vi et
forbedringspotensial. Riksrevisjonen har bl.a. hatt spesielt
fokus på anskaffelser – det forekommer store anskaffelser som
Jørgen Kosmo og Janne Britt Saltkjel fra Redaksjonskomiteen.
skjer utenfor loven. Man kan alltids si det er et komplisert
regelverk som er vanskelig å etterleve, men det er dette regelverket myndighetene har bestemt at vi skal ha for å unngå
vennetjenester, korrupsjon og misligheter.
Kosmo bekrefter at dette har vært tema over lengre tid, uten at
man har oppnådd tilfredsstillende forbedringer. Riksrevisjonen
har derfor gjort en gjennomgang av hvorfor man ikke har oppnådd dette. Viktige årsaker er mangel på kompetanse, manglende lederansvar og manglende etisk holdning til anskaffelse.
– Er det spesielle årsaker til dette?
– Et forklarende forhold er at vi i Norge har en tradisjon og
kultur for å styre anskaffelser til lokalmiljøet. Lov om offentlige anskaffelser, som er tilpasset EU-systemet, forpurrer dette
ganske dramatisk. Det tar tid å endre kulturen, og for virksomhetsledere å gå bort fra å styre anskaffelser der de trengs
næringspolitisk.
Dette er ikke bare et problem i Norge, men i mange andre land
også, påpeker Kosmo, og understreker videre at ansvaret må
ligge hos virksomhetslederne. Det å gjøre dette til et politisk
problem blir ikke riktig, det handler om virksomhetens rolle.
Her kan internrevisjonen spille en rolle, for eksempel i Forsvaret
og Vegvesenet. Riksrevisjonen har selv sentralisert innkjøpsfunksjon og lagt vekt på opplæring, kurs og tilgang på kompetanse fra juridisk sekretariat.
Det andre området Kosmo trekker frem, er informasjonssikkerhet. Riksrevisjonen foretok for to år siden en gjennomgang av
informasjonssikkerhet. Vinklingen var mot landets behov for
sikkerhet, dvs både nasjonal sikkerhet og sikkerhet for enkeltpersoner, blant annet sikkerhet for at datasystemene kan
kommunisere med hverandre uten at data lekker ut.
Gjennomgangen gav et nedslående resultat, som har skapt økt
fokus på informasjonssikkerhet.
– Vi har blant annet påpekt at kvaliteten i IT-systemene i justissektoren trenger opprusting. Svakhetene i IT-systemene
reduserer bl.a. rettssikkerheten ved at de forsinker lovendringer og rammer domstolers mulighet til å følge opp lovgivers
intensjoner.
☞
SIRK nr 2. 2011
7
T i l s y n s - N o rg e
– Hvordan følges Riksrevisjonens funn og rapporter opp?
– Riksrevisjonen vil etter en tid foreta oppfølging for å påse at
tiltakene er gjennomført. Forvaltningsrevisjoner følges opp tre
år etter rapporteringen i den såkalte treårsoppfølgingen.
Saker rapportert i Dokument 1 kan følges opp med særskilt
rapportering påfølgende år eller følges i den løpende regnskapsrevisjonen. Kontroll- og konstitusjonskomiteens uttalelse
i innstillingene til rapportene kan gi føringer for oppfølgingen.
Internasjonale forhold og utfordringer
– «Fagfellevurdering» er en metode for kvalitetsvurdering gjort
av andre lands riksrevisjoner: Hvordan gjøres dette og hvilken
nytte har dette for Riksrevisjonen?
– Det gjøres ved at Riksrevisjonen ber tre tilsvarende organer
komme og foreta en «fagfellevurdering». Vi ber disse om å se
på ulike forhold, og vi bruker riksrevisjoner som er kjent for å
være spesielt dyktige på de områdene de skal se på. Sist var
dette den finske, den østerrikske og EUs Court of Auditors.
Riksrevisjonen ba om fagfellevurdering som går på alt;
revisjon, kvalitetskontroll, administrative rutiner. Den finske
riksrevisjonen er den som produserer mest med minst folk,
ECA har stor ekspertise på standarder, mens Østerrikes riksrevisjon er den som likner mest på vår. Vurderingene baseres
på intervjuer, gjennomgang av systemene og dokumentasjon
– noe dokumentasjon må oversettes for formålet, men mye er
uansett oversatt til engelsk i forbindelse med internasjonal
rapportering, spesielt forvaltningsrevisjoner. Slike fagfellevurderinger skjer gjerne hvert 5. år, det er krevende og kan
ikke skje for ofte og heller ikke av de samme. Rapporten fra
vurderingen gjennomgås systematisk. Det er ikke alltid vi er
enig i alt, men rapportene går usminket til parlamentet.
Riksrevisjonen yter samme tjenester selv og har nylig hatt
ansvar for en slik fagfellevurdering for Finland og en for USA
(GAO). Riksrevisjonen fikk en henvendelse fra USA om å
lede en fagfellevurdering sammen med Nederland og Sverige.
Dette var en stor oppgave og en ære for oss. Norge er kjent
for å ligge langt fremme når det gjelder offentlig revisjon, og
vi får generelt veldig mange forespørsler om å dele vår innsikt
og erfaring med andre.
PN-ene og ISA-ene blir tilsammen kalt for ISSAI-er.
Utviklingen har skjedd i et godt samarbeid med viktige
aktører i privat sektor som IFAC, International Auditing and
Assurance Standards Board (IAASB) og nasjonale revisorforeninger. Standardene dekker også Riksrevisjonens utvidede
mandat i finansiell revisjon, den såkalte kontroll av disposisjonene (ISSAI 4200).
– Selv om det er felles rammeverk for riksrevisjoner, er det likevel noen forskjeller i oppgavefordelinger, og det vil være litt
forskjell på organiseringer. I Hellas er riksrevisjonen en del av
Finansdepartementet. I tillegg er det forskjeller i mulighetene
i det politiske klima, og i grad av åpenhet. EU har sin egen
revisjonsordning, EU Court of Auditors, med en representant
– auditor – for hvert land (dvs 27), men man har ennå ikke
funnet den rette balansen mellom EUs revisjon og de respektive riksrevisjonene. EU skal føre kontroll med bruk av EUmidler, men trenger støtte fra de nasjonale riksrevisjonene, og
her ser vi ulikheter mellom landene med hensyn til den støtten
EU får fra de nasjonale riksrevisjonene. European Court of
Auditors har hatt størst utfordringer i Middelhavslandene.
Det er imidlertid avgjørende at man har en fullstendig uavhengig riksrevisjon som ikke har tilknytning til forvaltningen
som sådan, og at det håndheves krav til at rapportene skal
være åpne. Dette er ikke alltid tilfellet.
Åpenhet og utviklingen videre
Har man fulgt med noen år, vil man ha registrert at
Riksrevisjonen er mer synlige og oftere omtalt eller referert i
dagens pressen enn for noen år siden. Kosmo og kollegiet
holder med jevne mellomrom pressekonferanser der man deler
informasjon om de revisjonsoppdragene som er gjennomført.
– Riksrevisjonen er mer åpen nå enn før. Hva ser du som
fordelene og ulempene ved økt åpenhet? Hvordan er Norge
er i forhold til utlandet?
– Dette er veldig viktig. Riksrevisjonens posisjon tilsier
åpenhet. Folk skal vite at man har et kontrollorgan som
foretar kontroller og rapporterer åpent, noe som krever kommunikasjon til pressen. Vi er helt bevisst på dette, og kollegiet
holder pressekonferanser. Vi ser mange eksempler ute på at
rapporter ikke er åpne eller kommuniseres til pressen, men
nettopp trykket fra offentligheten medfører at man må
reagere.
– Kan du si noe om eventuelle forskjeller eller utfordringer i
riksrevisjonsfunksjoner internasjonalt? Hvis man ser på
Hellas’ feilrapportering over flere år av viktige økonomiske
parametere, hvordan kan
riksrevisjoner bidra til at
olk skal vite at man har et
slikt ikke skjer?
kontrollorgan som foretar
F
kontroller og rapporterer
– Internasjonalt sett er riksåpent.
revisjonene skåret over
samme lest og alle riksrevisjoner skal legge til grunn samme
standarder. Det skal også kommunerevisjoner og internrevisjoner gjøre. INTOSAI, en verdensomspennende samarbeidsorganisasjon for riksrevisjoner i 189 land, har jobbet med utvikling
av felles revisjonsstandarder for offentlig revisjon i mange år.
Arbeidet har gått parallelt med utvikling av ISA'ene i privat
sektor og INTOSAI har vedtatt offentlige tillegg til ISA-ene,
såkalte Practice Notes (PN).
8
SIRK nr 2. 2011
– Hva er Riksrevisjonens holdning til
samarbeid med andre fagmiljøer, som
internrevisjon og nettverk for statlig og
offentlig sektor?
– Riksrevisjonen må være med å delta slik
at internrevisjonsfunksjoner fungerer så godt som mulig, men
vi må også ivareta vår uavhengighet. Vi bygger alltid på
internrevisjoners arbeid, men foretar en kvalitetsvurdering før
man beslutter hvor stor vekt man skal legge på deres arbeid.
Denne vurderingen går gjerne på ressursene som er tilgjengelig, dvs i mindre grad på resultatene, men mer på vilkårene de
er satt under.
T i l s y n s - N o rg e
Kosmo påpeker at selv om økonomiregelverket for staten er
veldig bra, har det en svakhet i at det kun setter krav til internkontroll, ikke til internrevisjon. Hvorvidt man skal ha internrevisjon er et spørsmål om risiko, størrelse og kompleksitet, men
kravene burde ifølge Kosmo vært tydeligere.
– For store og komplekse virksomheter, bidrar god kvalitet i
internrevisjonsarbeidet til en god eksternrevisjon.
Riksrevisjonen for eksempel, har internkontroll, men ikke
internrevisjon. Det er en stor organisasjon, men få utgiftsposter (lønn), som er enklere å kontrollere enn komplekse og
mangeartede kontantstrømmer. Viktigheten av internrevisjon
kan demonstreres ved et eksempel fra Forsvaret: På et tidspunkt ble internrevisjonen i Forsvaret lagt ned. Forsvaret fikk
ikke godkjent regnskapene flere år på rad etter dette, sier
Kosmo. - Det er en misforståelse at kutt i kontroll frigjør
ressurser og dermed gir bedre økonomi. God internkontroll
skaper god økonomi!
D
et skjer en revolusjon innen
offentlige virksomheter
– Hva har du lagt vekt på som ditt bidrag i Riksrevisjonen siste
året og hva mener du er viktig å fokusere på fremover?
– Det skjer en revolusjon innen offentlige virksomheter vedrørende anskaffelser, utskilling, outsourcing, for eksempel i
helsevesenet, og dette vil fortsette. Endringstakten øker og det
skjer en modernisering av offentlig sektor.
– Når en rapport er levert Stortinget, er det opp til politikerne å
treffe beslutninger om gjennomføring av forbedringstiltak.
Dette behøver ikke være et spørsmål om bevilgninger eller
penger, men kan også handle om ressursstyring, organisering,
sentralisering og effektivisering.
– Det er også avdekket svakheter ved at man iblant har truffet
valg og beslutninger eller gitt løfter FØR analysene er ferdige.
Da kan ikke resultatet blir bra! For eksempel var sykehuset i
Molde lovet før analysen forelå, denne viste at det ikke ville
være god ressursbruk, men da var løftet allerede gitt.
– Kan det være ide å følge midler (for eksempel støtte til private
sykehus)?
– Riksrevisjonen har bedt om fullmakt om å følge midlene inn i
privat virksomhet, men har det ikke per nå. Vi er derfor
avhengig av tilgang og samarbeid her, og det kan man komme
langt med. Man må da se på mandatet til Riksrevisjonen. Vi
bruker mye ressurser på helse, men andre land får til mer
effektiv bruk gjennom bedre kontroll, organisering og ressursstyring.
– Hva har vært og er ditt fokus i Riksrevisjonen?
Riksrevisjonens oppgaver.
– Jeg har lagt stor vekt på vesentlighets- og risikovurderinger og
at ressursbruken skal være risikobasert. Det har vært en lang
vei å gå.
Kosmo understreker viktigheten av at det er en felles prosess og
vurdering for hele Riksrevisjonens ansvarsområde, og at det
ikke kun er separate vurderinger for hver av de seks avdelingene. Kosmo fortsetter:
– Også fokus på pågående endringsprosesser har vært viktig,
som gjør at vi til enhver tid skal kunne møte de ulike utfordringene som vi står overfor. Samfunnet utvikler seg, og
Riksrevisjonen må kunne påta seg nye oppgaver og anvende
nye tilnærmingsmåter.
Kosmo fremhever også ambisjonen om å ligge langt fremme
med hensyn til metode og kvalitet. De nye standardene fra
INTOSAI som skal være implementert i løpet av 2012, har
Riksrevisjonen ambisjon om å legge til grunn fra starten av
2012, og selv om noen tilpasninger kan være nødvendig, skal vi
fortsatt innfri INTOSAI-standardenes krav.
– Det skal være kvalitet i arbeidsprosessene våre, og om vi
følger INTOSAI, kan ingen hevde noe annet, fremholder
Kosmo.
S
amfunnet utvikler seg og
Riksrevisjonen må påta seg
nye oppgaver og anvende nye
tilnærmingsmåter
– Hva liker du best ved din rolle?
– Det beste med rollen er å få være i ledelsen av over 500
fantastiske medarbeidere. Jeg får daglig innspill fra veldig
flinke og engasjerte ansatte.
SIRK nr 2. 2011
9
Z Z ZSZFQR
6WUDWHJLVNH
6WUDWHJLVNH
U
LVLNRDQDO\VHU
ULVLNRDQDO\VHU
.RQWDNWRVV
J MHUQHIRUHQ
J MHQQRPJDQJ
DYYHUNWý\HW
RJKYRUGDQGHW
I XQJHUHULSUDN VLV
3 Z&KDUXW Y LN OHWHWYHUNWý\IRUULVLNRDQDO\VHVRPN Q\\ WWHUULVLNRRJ
UHY LVMRQVSODQHUGLUHNWHRSSPRWPÆOVWUDWHJLHURJYHUGLGULYHQGH
DNWLY LWHWHU
.RQWDNW
. DUO/XGY LJ0DXODQG
$ QVYDUOLJIRU/HGHUVWýWWHRJLQWHUQUHY LVMRQVWMHQHVWHU
(SRVWNDUOOXGY LJPDXODQG#QRSZFFRP
7OI
© 2010 P wC . “P wC” er benevnelsen for de uavhengige medlemsfirmaene i PricewaterhouseCoopers International Limited. P wCs virk somhet i Norge ligger i selskapene
PricewaterhouseCoopers AS og Advokat firmaet PricewaterhouseCoopers AS.
10
SIRK nr 2. 2011
T i l s y n s - N o rg e
Hva gjør – og utgjør – Tilsyns-Norge?
ved Randi Almås, Redaksjonskomitéen
Fra Wikipedia har vi sakset denne definisjonen:
”Tilsyn eller pass betyr å passe på, føre tilsyn med, eller stelle
for eller med noe eller noen. Likeledes er tilsyn en felles
betegnelse på instanser innenfor offentlig forvaltning som ser
etter at lov- og regelverk blir overholdt.”
Statskonsult, som nå er en del av direktoratet for forvaltning og
ikt, Difi, utga i 2000 et notat nr 8 ”Organsering av statlige tilsyn”, etter oppdrag fra Arbeids- og administrasjonsdepartementet. Deres definisjon av tilsyn er sett i forhold til Statens
eksterne tilsyn/kontroll, og omtalt som
”Myndighetsapparatets kontroll med hvordan rettslige forpliktelser knyttet til ekstern produksjon, aktivitet eller posisjon
etterleves, samt eventuelle etterfølgende reaksjoner på avvik”.
Statskonsult benytter en snever definisjon av tilsyn, som en
undergruppe av myndighetsutøvelse. De sier videre:
”Ved vurdering av tilsyn og tilsynsoppgaver er det nødvendig å
se tilsyn i sammenheng med øvrige oppgaver som organene
ivaretar. I en kartlegging av tilsynsetater gjennomført i årsskiftet 1999/2000, har vi ”funnet” mer enn 40 tilsynsetater som
grovt beskrevet har følgende oppgaver:
1. Utforming av formelle detaljkrav i forskrifter eller enkeltvedtak.
2. Kontroll av pliktsubjektets status i forhold til kravene og
eventuell oppfølging med reaksjoner (tilsyn).
3. Utarbeidelse av informasjon, kampanjer og annen virkemiddelbruk som underbygger hensikten med reguleringen.
4. Områdeovervåkning og annen gjennomføring av sektorpolitikk.
Disse oppgavene kan være knyttet til ett eller flere regelverksområder, og for enkelte tilsynsorganer kan det være mange
ulike tilsynsordninger som er plassert under “samme tak”.
For den som ønsker videre fordypning kan notatet leses her:
http://www.difi.no/statskonsult/publik/rapporter/fulltekst/
n2000-08.pdf
Det finnes et mangfold av tilsynsorganer i Norge, og mange
virksomheter som blir ført tilsyn med. Hvis du ”googler” ordet
tilsyn kommer det opp flere millioner resultater, så det kan
synes å være høy aktivitet innenfor dette ”fagfeltet”. I det siste
tiåret, etter Statskonsults notat, har det skjedd noen omorganiseringer og sammenslåinger av statlige tilsynsorganer, og noen
har også fått ny geografisk plassering ”ut fra Oslo”.
Tilsynsaktørene er en uensartet gruppe. Det er ikke bare Staten
som fører tilsyn, men også Stortinget, Domstolene, kommunene og andre utfører beslektede oppgaver.
Felles for de fleste er at de har flere roller og oppgaver, de kan
være både reguleringsmyndighet og kontrollmyndighet, de kan
være rådgivende organ og konsesjonsgiver, og de tar i bruk
ulike virkemidler og sanksjonsmuligheter for å gi informasjon
og støtte og hindre virksomhet som bryter med lover og regler.
Mange avgir egne forskrifter og rundskriv, gjerne etter høringsrunder hos de som blir ført tilsyn med. De er også synlige i
offentlig debatt innenfor sine fagfelt. Fra tid til annen oppstår
diskusjoner om rolleblanding og politisk tyngde, og om engasjement fra tilsynsorganet kan svekke deres troverdighet. Felles
er arbeidet med kontroll av etterlevelse og eventuell reaksjon.
Tilsynsorganenes virksomhet er i stor grad regulert i egne lover
eller forskrifter, og de statlige virksomhetene er knyttet til et
departement som de også rapporterer til. Dette gjelder for
eksempel Finanstilsynet, med Finanstilsynsloven opprinnelig
av 1956 og Finansdepartementet som ”oppdragsgiver”.
Mens roller, oppgaver og omfanget av tilsynsaktivitetene er
ulike ser vi en tendens til likhet i arbeidsmetodene. De fleste
gjennomfører stedlige tilsyn og dokumentbaserte tilsyn.
Et stedlig tilsyn beskrevet av Finanstilsynet innebærer en
omfattende gjennomgang av en virksomhets drift, herunder
virksomhetens risikoeksponering og kapitalbehov. Et stedlig
tilsyn kan favne over hele virksomheten eller være fokusert
mot enkelte risikoområder.
Dokumentbasert tilsyn utføres blant annet gjennom at de som
føres tilsyn med har rapporteringsplikt til tilsynsorganet.
Arbeidstilsynet har for eksempel listet sine arbeidsoppgaver
slik:
Kontroller
Reaksjonar
• Varsla tilsyn
• Ikkje varsla tilsyn
• Revisjon
• Verifikasjon
• Marknadskontroll
• Kampanjar og aksjonar
• Tilsyn med ulukker
•
•
•
•
Pålegg
Tvangsmulkt
Stansing
Melding til politiet
☞
SIRK nr 2. 2011
11
T i l s y n s - N o rg e
Mange av virksomhetene som blir ført tilsyn med har etablert
intern revisjon eller andre interne kontrollorganer som rapporterer til virksomhetens ledelse og evt styre. Disse kan ofte bistå
med å håndtere tilsynsorganenes behov for informasjon og
dokumenter. Internrevisjonen bistår ofte også i oppfølgingen av
tilsynet.
Vi har utarbeidet en oversikt, ikke fullstendig, men med de
kanskje mest kjente tilsynene, som vi møter i hverdagen enten
gjennom arbeid eller privat. Til dette har vi brukt Norge.no
”din veiviser i det offentlige”, som også har kontaktinfo til alle
statlige tilsynsorganer og direktorater. Alle har selvfølgelig sine
egne hjemmesider, hvor de beskriver for eksempel prioriterte
oppgaver, hvilke typer virksomheter de fører tilsyn med, regelverk, publikasjoner, metodikk og rapportering. Det meste av
informasjonen nedenfor er hentet fra hjemmesidene.
• Direktoratet for arbeidstilsynet – hovedkontor
i Trondheim
Etatens oppgave er å føre tilsyn med at virksomhetene følger
arbeidsmiljølovens krav, den utfører kontroll og gir veiledning om arbeidsmiljø.
Arbeidstilsynet er organisert med et direktorat og syv regioner med underliggende tilsynskontor spredd over hele landet.
Arbeidstilsynet er koordinerende etat for tilsynsetatene med
tilsynsansvar i henhold til internkontrollforskriften på land.
Samarbeidet ledes av Arbeidstilsynet og omfatter
Direktoratet for samfunnssikkerhet og beredskap (DSB),
Mattilsynet, Næringslivets sikkerhetsorganisasjon (NSO),
Petroleumstilsynet (Ptil), Klima og forurensingsdirektoratet
(Klif), Statens helsetilsyn og Statens strålevern.
• Datatilsynet – hovedkontor i Oslo
Datatilsynet er både tilsyn og ombud. Det skal medvirke til
at den enkelte ikke blir krenket gjennom bruk av opplysninger som kan knyttes til han eller henne.
Gjennom aktivt tilsyn og saksbehandling kontrollerer
Datatilsynet at lover og forskrifter for behandling av personopplysninger blir fulgt, og at feil og mangler blir rettet.
Datatilsynet fører en offentlig fortegnelse over alle behandlinger av personopplysninger som er meldt inn. Videre
behandler Datatilsynet søknader om konsesjon, der dette
kreves etter loven.
Datatilsynet har også en viktig ombudsrolle. Rådgivning og
informasjon gis til enkeltpersoner som tar kontakt med tilsynet. For å skape oppmerksomhet og interesse omkring
personvernspørsmål deltar Datatilsynet aktivt i den offentlige
debatt og legger stor vekt på å praktisere meroffentlighet.
Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med
lov og bestemmelser gitt i medhold av lov samt med den
hensikt som ligger til grunn for institusjonens opprettelse,
dens formål og vedtekter.
”Gjennom tilsyn med føretak og marknader skal Finanstilsynet bidra til finansiell stabilitet og ordna marknadsforhold og til at brukarane kan stole på at finansielle avtalar
og tenester blir følgde opp etter føremålet. I tillegg til det
førebyggjande arbeidet må Finanstilsynet kunne bidra til å
løyse problem som kan oppstå. Finanstilsynet legg til grunn
at norske verksemder skal ha konkurransevilkår som samla
sett er på linje med verksemder i andre EØS-land.”
• Konkurransetilsynet – hovedkontor i Bergen
Konkurransetilsynets hovedoppgave er å håndheve konkurranseloven, gjennom å overvåke at konkurranselovens
bestemmelser blir fulgt.
I det daglige arbeidet legges det vekt på å gi oversiktlig
informasjon og riktige incentiver til markedsaktørene, til
beste for forbrukerne, næringslivet og offentlig virksomhet.
• Lotteri- og stiftelsestilsynet – hovedkontor i
Førde
Følgende fremgår av tilsynets hjemmeside:
”Lotteri- og stiftelsestilsynet er eit direktorat med to fagtilsyn med felles leiing og administrasjon. Vi fører tilsyn og
kontroll med norske lotterier, pengespel og stiftelsar og
administrerer ordninga med momskompensasjon til frivillige
organisasjonar
Lotteritilsynet blei oppretta 1. januar 2001 og er eit tilsynsorgan for forvaltning og kontroll av private lotteri og statlege
spel. Bakgrunnen var eit ønskje frå Stortinget om å få betre
kontroll med den veksande marknaden for spel og lotteri i
Noreg.
Stiftelsestilsynet har ansvaret for tilsyn med og kontroll av
alle stiftelsar i Noreg etter stiftelseslova. Dette ansvaret var
tidlegare knytt til Fylkesmannen. Det er om lag 8 000
stiftelsar i Noreg.
Momskompensasjon
Ansvaret for ordninga for momskompensasjon blei lagt til
Lotteri- og stiftelsestilsynet i 2009. Gjennom ordninga har vi
kontakt med rundt 2 000 frivillige lag og organisasjonar i
Noreg.”
• Luftfartstilsynet – hovedkontor i Bodø
• Finanstilsynet – hovedkontor i Oslo
Finanstilsynet (tidligere Kredittilsynet) har tilsyn med blant
annet banker, finansieringsselskap, kredittforetak, forsikringsselskap, pensjonskasser, verdipapirforetak, fondsforvaltningsforetak, børser, eiendomsmeglerforetak, regnskapsførere, revisorer osv.
12
SIRK nr 2. 2011
Luftfartstilsynets hovedoppgave er å bidra til økt sikkerhet i
all norsk sivil luftfart.
Tilsynet har hovedansvaret for tilsynet med norsk luftfart, og
skal være en aktiv pådriver for sikker og samfunnsnyttig
luftfart i tråd med overordnede målsetninger for regjeringens
T i l s y n s - N o rg e
samferdselspolitikk. Luftfartstilsynet fører tilsyn med at
lover og forskrifter som gjelder sivil luftfart etterleves, og
har overordnet ansvar for å fastsette normer og utøve
kontroll i forhold til flyselskaper, verksteder, piloter og
kabinpersonell.
• Mattilsynet – hovedkontor i Oslo
Mattilsynet ble etablert ved en sammenslåing av fire statlige
tilsyn og de kommunale næringsmiddeltilsynene. Det består
av ett hovedkontor, åtte regionkontorer og 54 distriktskontor
fordelt på om lag 70 kontorsteder.
Mattilsynet er et statlig, landsdekkende forvaltningsorgan
som bidrar til å sikre forbrukerne helsemessig trygg mat og
trygt drikkevann, og som skal fremme folke-, plante-, fiskeog dyrehelse, miljøvennlig produksjon og etisk forsvarlig
hold av fisk og dyr. Tilsynet forvalter alle lovene som
omhandler produksjon og omsetning av mat, ”matkjeden fra
jord og fjord til bord”.
• Medietilsynet – hovedkontor i Fredrikstad
Medietilsynet fører tilsyn med det omfattende området vi til
daglig kaller media. Oppgavene omfatter for eksempel
bevisstgjøring om barns bruk av internett og dataspill, regler
for radio- og tv-sendinger, og aldersgrensesetting for kinofilm og videogramregistrering. Tilsynet håndterer også
tilskuddsordninger, og fører tilsyn med markeds- og eierforhold i dagspresse og kringkasting.
Hovedmålet innenfor medieområdet er å sikre ytringsfrihet,
rettstrygghet og et levende demokrati.
barnevern-, sosial- og helsetjenester i Norge. Vi sakser fra
hjemmesiden:
Statens helsetilsyn sine oppgåver omfattar:
− overvaking av tenestene opp mot befolkninga sine behov
for tenester og samfunnet sine krav til tenestene
(områdeovervaking)
− styring av tilsynsverksemda som fylkesmennene og
Helsetilsynet i fylka driv
− behandling av enkeltsaker som dreier seg om alvorleg
svikt i helsetenestene og der det er aktuelt med reaksjonar
mot helsepersonell eller pålegg mot verksemde
− styring av fylkesmennene og Helsetilsynet i fylka si
behandling av klager som gjeld befolkninga sin rett til
tenester (etter blant anna barnevernlova, sosialtjenestelova
og pasientrettslova)
− formidling av røynsler frå tilsyn til allmenta, tenestene og
forvaltninga
Statlig tilsyn er ett av flere virkemidler for å følge opp
intensjonene i lovverket. Tilsyn og rådgivning basert på
erfaringer fra tilsyn skal medvirke til at befolkningens behov
for tjenester blir ivaretatt, tjenestene blir drevet på en faglig
forsvarlig måte, svikt i tjenesteytingen forebygges og ressursene i tjenestene blir brukt på en forsvarlig og effektiv måte.
Tilsynet retter seg mot virksomheter, og på helseområdet
også mot helsepersonell.
• Statens jernbanetilsyn – hovedkontor i Oslo
Statens jernbanetilsyn er utøvende kontroll- og tilsynsmyndighet for jernbanevirksomheter i Norge, herunder trikk
og T-bane.
• Petroleumstilsynet – hovedkontor i Stavanger
Petroleumstilsynet fører tilsyn med petroleumsvirksomheten
på sokkelen og enkelte petroleumsanlegg på land, og dekker
mye av de samme arbeidsoppgavene som arbeidstilsynet gjør
i landbasert virksomhet.
Tilsynets formål sier bl.a. at: “Tilsynet skal arbeide for at
jernbaneverksemda blir utøvd på ein sikker og formålstenleg
måte, til beste for dei reisande, personalet ved banen og
publikum generelt.
Petroleumstilsynet har myndighetsansvaret for teknisk og
operasjonell sikkerhet - herunder beredskap - og arbeidsmiljø.
Tilsynet skal føre tilsyn med at utøvarane av jernbaneverksemd oppfyller dei vilkåra og krava som er sette til
verksemda i samsvar med jernbanelovgjevinga. I tillegg
skal tilsynet overvaka marknaden for å sikra konkurranse på
like vilkår og sjå til at rettane til passasjerane blir ivaretekne.”
Om selve tilsynsvirksomheten skriver Petroleumstilsynet:
Vårt tilsyn omfatter en rekke aktiviteter som samlet gir oss
grunnlag for å avgjøre om selskapene ivaretar sitt ansvar for
å drive forsvarlig i alle faser av virksomheten.
• Post- og teletilsynet – hovedkontor i Lillesand
Post- og teletilsynet er et frittstående forvaltningsorgan med
ansvar for å regulere og overvåke post- og ekomsektoren i
Norge. (Ekom: Offentlige og private elektroniske kommunikasjonsnett.) Noen av tilsynets prioriterte oppgaver er knyttet
til nummerforvaltning, digitalradio, sikkerhet og beredskap i
nett, internett, domenenavn.
• Statens helsetilsyn – hovedkontor i Oslo, også
kalt Helsetilsynet – med fylkeskontorer
Foruten disse organisasjonene som har tilsyn i navnet, er det
andre virksomheter og ulike direktorater som også utfører
kontroll og tilsyn. Noen eksempler:
• Barneverntjenesten fører tilsyn med fosterhjem.
• Kommunene er pålagt å føre tilsyn med barnehagene og
at reglene i plan- og bygningsloven blir fulgt av foretak.
• Fylkesmannen fører tilsyn med kommunene og fylkeskommunene.
• Utdanningsdirektoratet fører tilsyn med privatskoler, og
har ansvaret for at Fylkesmannen fører tilsyn etter
opplæringsloven.
• Biskopene i Den norske kirke fører tilsyn i forhold til
menigheter, rådsorganer og ansatte i kirken.
Statens helsetilsyn er overordnet tilsynsmyndighet for
SIRK nr 2. 2011
13
T i l s y n s - N o rg e
Finanstilsynets arbeid med tilsyn
innenfor bank- og finanssektoren
ved Randi Almås, Redaksjonskomitéen
Finanstilsynet er et selvstendig tilsynsorgan som bygger
på lover og vedtak fra Stortinget, Regjeringen og
Finansdepartementet og på internasjonale standarder for
tilsyn. Gjennom tilsyn med foretak og markeder skal
Finanstilsynet bidra til finansiell stabilitet og ordnede
markedsforhold, og til at brukerne kan stole på at finansielle avtaler og tjenester blir fulgt opp etter formålet.
I tillegg til det forebyggende arbeidet, må Finanstilsynet
kunne bidra til å løse problemer som kan oppstå.
Bankene er sentrale aktører i det finansielle systemet.
Regulering og tilsyn er viktig for å bidra til å sikre finansiell
stabilitet og tillit til det finansielle systemet.
Tilsynet med bank- og finanssektoren skal bidra til solide
foretak som har høy risikobevissthet, styring og kontroll.
Vi har vært så heldige å få et kort intervju med Dag Bjørneset
som er spesialrådgiver i Finanstilsynet og blant annet jobber
med stedlig tilsyn i banker og finansieringsselskap.
Han forteller at ”tilsynsarbeidet består av både stedlig og
dokument-basert tilsyn. Stedlig tilsynsvirksomhet er viktig for å
identifisere problemområder i enkeltinstitusjoner og for å
komme i dialog med ledelsen og styret i en så tidlig fase som
mulig. Finanstilsynet anvender en risikobasert tilsynsmetodikk.
Det innebærer at flest ressurser blir anvendt på tilsyn av de
mest systemviktige bankene og på de områdene som til enhver
tid anses som mest risikofylte.”
14
•
Hvor mange banker og finansinstitusjoner føres det tilsyn
med i Norge?
Ved starten av året var det 113 sparebanker, 20 forretningsbanker og 57 finansieringsforetak, dessuten 35 utenlandske
filialer i Norge samt 17 norske filialer i utlandet.
•
Hvor ofte gjennomfører finanstilsynet stedlig tilsyn i en
bank?
Det varierer svært mye. Noen små og utvilsomt solide
finansinstitusjoner har ikke hatt stedlig tilsyn på mange år.
De største bankene har tilsyn hvert år, de aller største flere
for året på ulike områder av virksomheten. DNB er i en
særstilling ut fra sin størrelse og bredden i virksomheten.
Vanligvis har det vært om lag 50 stedlige tilsyn per år, men
SIRK nr 2. 2011
Dag Bjørneset, spesialrådgiver i Finanstilsynet.
i 2010 var det hele 70. Omfanget av tematilsyn, som typisk
er et tilsyn av spesifikke compliance-forhold i et utvalg
banker, avgjør gjerne om det enkelte år er særlig mange
tilsyn.
•
Besøkes både hovedkontor og filialer?
Det er vanligvis hovedkontoret som besøkes, med noen
unntak. Men filialer kan bli involvert ved at kredittsaker fra
filialen kan være omfattet av tilsynet.
•
Hvordan skjer tilsynsaktiviteter i forhold til utenlandske
banker med filial i Norge?
Det er tilsynsmyndighetene i hjemlandene som er ansvarlige for tilsynet med kredittrisiko, likviditet, soliditet osv i
disse bankene, også det som er relevant for filialen i Norge.
Finanstilsynet har imidlertid tilsynsansvar med compliance
i forhold til norske regler og markedsadferden. Derfor var
flere utenlandske filialer omfattet av tematilsynene om hvitvasking i 2010 og om praksis for boliglån i vår. Vi deltar
også i tilsynsarbeidet med konsernene hvor den norske filialen inngår ved at vi deltar i et felles arbeid i det som kalles
"college". Et college-samarbeid etableres ved at hjemlandsmyndighetene for internasjonale banker har invitert tilsynsmyndighetene i andre land der banken har filial eller datterbank til å være med i et tilsynssamarbeid. I "college"
T i l s y n s - N o rg e
utveksles informasjon og inspeksjonsresultater, og vi planlegger tilsynsaktiviteter fremover, gjerne felles inspeksjoner. Konklusjonene knyttet til evaluering av ICAAP og
kapitalnivå skal også besluttes i "college". Det er retningslinjer i EU for hva arbeidet i college skal omfatte.
ICAAP
Alle finansinstitusjoner og verdipapirforetak skal årlig
gjennomføre en vurdering av egen risiko og kapitalbehov.
Dette kravet gjelder i EU/EØS-området, og gjennomgangen betegnes som ICAAP - Internal Capital
Adequacy Assessment Process. Finanstilsynet kan bruke
bankenes ICAAP som grunnlag for sin tilsynsvirksomhet,
sammen med annen innrapportering fra bankene.
Tilsynsmyndighetene evaluerer ICAAP-prosessen og
resultatene av prosessen i den enkelte bank (Supervisory
Review Evaluation Process - SREP). Ved mangelfull
etterlevelse av regelverket, har Finanstilsynet myndighet
til å fastsette individuelle kapitalkrav, kreve redusert risikonivå eller kreve forbedret styring og kontroll. Årlig
gjennomgang av kapital- og risikovurderinger fra mindre
og godt kapitaliserte banker blir normalt ikke gjort.
•
•
Hvilke deler av organisasjonen har tilsynet kontakt med
under sine besøk?
Vi har alltid møter med daglig leder og styrets leder, og
ledelsen for det forretningsområdet som er omfattet av tilsynet, samt internrevisor. I mindre banker møter vi gjerne
hele ledergruppen. Dessuten møter vi fagansvarlige og
saksbehandlere for de aktuelle sakene som tas opp. Risk
manager, eller økonomisjef der det ikke er risk manager, er
alltid også sentral.
Hvordan forholder tilsynet seg til internrevisjonen?
Vi er svært opptatt av internrevisjonens arbeid, og det fremgår klart ved de stedlige tilsynene. Vi ber alltid om å få
rapportene fra internrevisjonen, samt årsplan og årsrapport.
Vi starter ofte forberedelsene til stedlig tilsyn med å lese
bankens risikorapport og internrevisors rapporter. Det gir
normalt en god oversikt over bankens risikoprofil. I samtalene med internrevisor, som vi har uten deltakere fra
banken ellers, spør vi blant annet om internrevisors arbeid,
ressurser og bekymringer, og om hvordan banken prioriterer oppfølgingen av anbefalingene fra internrevisjonen.
Internrevisors vurdering av bankens ICAAP er også noe vi
alltid tar opp i samtalene.
Ettersom Finanstilsynet ikke gir en vurdering av ICAAP til
alle banker, er den uavhengige vurderingen av ICAAP
desto viktigere for bankens styre.
•
Hvordan rapporterer Finanstilsynet tilbake til en bank etter
et stedlig tilsyn?
Vi utarbeider først det som kalles en foreløpig rapport.
Den er ganske omfattende, og inneholder en grundig
gjennomgang av tilsynets observasjoner, vurderinger og
anbefalinger. Rapporten stiles til styret i finansinstitusjonen.
Etter at vi har mottatt styrets kommentarer, utarbeides en
endelig rapport som er offentlig. Den er noe mer overordnet
enn den foreløpige rapport. Forretningshemmeligheter og
kundeopplysninger er selvsagt unntatt offentlighet.
Hvordan velges tema for tilsyn:
•
Benyttes modeller for risikobasert utvelgelse av tema?
Vi har ikke en særskilt metodikk for å velge tema for
stedlig tilsyn. Det følger av hva som vurderes som de mest
aktuelle risikoene, og tid siden forrige tilsyn. Kredittrisiko
og likviditetsrisiko er hyppigst dekket - typisk annet hvert
år i de større bankene. I mindre banker dekkes vanligvis
begge risikoområdene, og dessuten ICAAP og styring og
kontroll, ved alle stedlige tilsyn.
Gjennomføringen av de stedlige tilsynene bygger på risikomoduler utviklet av Finanstilsynet. Disse er basert på egne
erfaringer og internasjonale anbefalinger, f.eks. fra Baselkomiteen og EBA (European Banking Authority).
Modulene er et rammeverk for å kartlegge bankenes risikoeksponering og bankenes styring og kontrollopplegg. Det er
moduler for kredittrisiko, markedsrisiko, likviditetsrisiko,
operasjonell risiko og overordnet styring og kontroll. ITtilsynet har også utarbeidet en modul. Det risikobaserte
tilsynet og modulene er tilgjengelige på Finanstilsynets
hjemmesider.
•
Hvordan gjennomføres tilsyn med at for eksempel forskriften om internkontroll og risikostyring og IKTforskriften overholdes?
Det er en egen enhet i Finanstilsynet som gjennomfører tilsyn på IKT-området innenfor enkeltinstitusjoner og fellessystemene. Det publiseres årlig en rapport basert på denne
virksomheten som heter Risiko og sårbarhetsanalyse. Det er
interessant lesning.
Kravene i forskrift om risikostyring og internkontroll er
innarbeidet i våre tilsynsmoduler for styring og kontroll, og
sånn sett er det dekket av alle tilsyn. For banker ligger
kravene til risikostyring og kontroll formelt sett nedfelt i
Basel II-regelverket. I Norge er dette nedfelt i
Finansieringsvirksomhetsloven og Kapitalkravsforskriften.
Men Forskrift om risikostyring og internkontroll er fortsatt
aktuell også for banker og finansieringsselskap, særlig med
kravet om "lederbekreftelsen" av gjennomførte kontrollhandlinger. Dette er en prosess hvor de fleste bankene kan
utvikle en mer konkret metodikk slik at ledernes vurderinger bygger på mest mulig konkrete og konsistente målinger
av kvaliteten.
SIRK nr 2. 2011
15
T i l s y n s - N o rg e
Hvordan påvirker eksterne tilsyn intern styring
og kontroll ved et helseforetak?
Av Hege Knoph
Antonsen, internrevisor i Helse
Nord RHF
Innledning
Helgelandssykehuset HF er et helseforetak på Helgeland i Nordland fylke.
Foretaket består av tre lokalsykehus og
betjener en befolkning på ca 75 000.
Helgelandssykehuset er organisert med
foretaksledelse og avdelingsdirektører for
hver av de tre autonome sykehusenhetene
i Mo i Rana, Mosjøen og Sandnessjøen.
Foretaket har ikke tverrgående faglig
ledelse for de tre sykehusenhetene, men
en del av det medisinske behandlingstilbudet er funksjonsfordelt.
I foretakets vedtekter er formålet for virksomheten definert slik:
Helgelandssykehuset HF skal yte
gode og likeverdige spesialisthelsetjenester til alle som trenger det
uavhengig av alder, kjønn, bosted,
økonomi og etnisk bakgrunn samt
legge til rette for forskning og
undervisning.
Pasientfokus og samhandling er stikkord
for Helgelandssykehusets målsetting:
Gjennom pasientfokus og samhandling skal helseforetaket sikre
et trygt og framtidsrettet tjenestetilbud basert på verdier som kvalitet, omsorg og respekt.
På foretakets internettside skriver administrerende direktør Per Martin Knutsen
at denne målsettingen er valgt ”… for å
understreke at det er pasientene som skal
være i fokus i all planlegging og virksomhet”. Videre skriver han at:
”Utfordringene er mange. ... Tjenestetilbudene må samordnes og organiseres i
foretaket, slik at vi kan forbedre kvaliteten og møte nå- og framtidens krav fra
våre brukere.”
16
SIRK nr 2. 2011
Som internrevisor i Helse Nord RHF har
undertegnede hatt gleden av å samarbeide
med representanter fra Helgelandssykehuset i flere sammenhenger. Denne
gangen ba jeg om å få en prat om eksterne tilsyn og hvordan disse påvirker virksomhetens interne styring og kontroll.
Medisinsk direktør Fred Mürer og kvalitetsleder Sigurd Finne har villig delt sine
erfaringer, inntrykk og oppfatninger med
SIRKs lesere.
Aktuelle tilsynsorganer
Fred Mürer
Medisinsk direktør
Helgelandssykehuset HF
Sigurd Finne
Kvalitetsleder
Helgelandssykehuset HF
• Helseforetak er komplekse virksomheter som reguleres av omfattende lovverk, og føres tilsyn med av mange tilsynsorganer. Hvilke tilsynsorganer
gjelder dette, og hvilke aktiviteter eller
enheter omfattes av de ulike tilsyn?
Det er mange ulike aktører. For å gi et
innblikk i bredden av dette har vi satt opp
en tabell som viser noen av tilsynsorganene og hvilke tema/områder de fører tilsyn
med. Oversikten er ikke komplett.
Tilsynsorgan
Fører tilsyn med
Helsetilsynet
Helsetjenesten og alt helsepersonell.
☞
Helsetilsynet skal påse at foretaket har etablert
internkontrollsystem og fører kontroll med sin
egen virksomhet på en slik måte at det kan
forebygge svikt i helsetjenesten.
Arbeidstilsynet
At foretaket følger arbeidsmiljølovens krav.
Mattilsynet
Matsikkerhet, helsemessig trygg mat og drikke.
Direktorat for samfunnssikkerhet
Forebyggende samfunnssikkerhet og krisebe-
og beredskap (DSB)
redskap, brann- og elsikkerhet, håndtering av
brannfarlige, eksplosjonsfarlige, trykksatte og
reaksjonsfarlige stoffer, og sikkerhet ved produkter og forbrukertjenester.
Statens Legemiddelverk
Produksjon, oppbevaring og salg av legemidler.
Baxter
Produksjon av blodprodukter.
Kommunal Kontrollkommisjon
Psykisk helsevern.
Lokalt Branntilsyn
Brannsikkerhet.
Helgelandskraft
Elsikkerhet.
Riksrevisjonen
Forvaltningen av statens interesser.
Ernst & Young (ekstern revisor)
Regnskapsføring
T i l s y n s - N o rg e
Videre koordinerer han også rapportsvaret fra HF’et til tilsynsorganet.
Fred A. Mürer som er medisinsk direktør for HF’et, har et overordnet ansvar
for koordinering av medisinsk virksomhet, og er stedfortreder for adm.
dir. Han er oftest intervjuobjekt ved
foretaksovergripende tilsyn på den
medisinske virksomheten.
• Hvor ofte gjennomfører de aktuelle
tilsynsorganene tilsyn med
Helgelandssykehusets aktivitet?
For foretaket sett under ett vil det
vanligvis dreie seg om:
Tilsynsorgan
Hyppighet pr. år
Helsetilsynet
6
Arbeidstilsynet
3
Mattilsynet
3
DSB
1
Statens Legemiddelverk
Baxter
Kommunal Kontrollkommisjon
Lokalt Branntilsyn
Helgelandskraft
Riksrevisjonen
Ernst & Young (revisor)
3
3
3
3
3
2
2
• Hvordan opplever dere tilsynsaktivitetene samlet sett?
Vi ser at det er en økende ressursbruk
på tilsynsaktivitetene. Noen ganger er
det koordinerte opplegg fra tilsynsorganer som har ”snakket sammen”, men
ofte opplever vi at det kan komme 2 tilsyn med 1 ukes mellomrom. Noen tilsynsorganer får vi en fin dialog med og
får fin læringseffekt, mens med andre
får vi ikke den dialogen som vi ønsker.
• I hvilken grad samsvarer tilsynsorganers fokusområder med områder virksomheten selv oppfatter som viktige,
risikoutsatte eller sårbare?
Det varierer. Enkelte ganger treffer de
veldig bra, andre ganger synes vi at det
er pirk/unødvendige detaljer de er ute
etter.
• I tillegg er helseforetakene pålagt å
selv melde fra om spesielle hendelser
til ulike tilsynsorganer. Kan dere kort
fortelle om noen av disse meldeordningene?
Ja, se eksempler i tabellen nedenfor.
Generelle erfaringer, inntrykk
og oppfatninger om tilsyn
• På hvilken måte er dere to involvert
ved ulike tilsynsaktiviteter?
Sigurd Finne som er kvalitetsleder for
HF’et har et overordnet koordineringsansvar ved foretaksovergripende tilsyn.
Dvs. å sørge for at de involverte blir
informert om tilsynet som kommer og
om når og hvor de skal møte til intervju, åpningsmøte og avslutningsmøte.
Sigurd Finne blir også intervjuet ved
foretaksovergripende systemtilsyn.
Tilsynsorgan
Helsetilsynet
Rapporteringsform
Standardskjema
Helsetilsynet
Egen e-postadresse
Sosial- og
Helsedir.
DSB
Datatilsynet
Standardskjema
Standardskjema
Brev
• I tillegg til disse eksterne tilsynsorganene overvåker også Helse Nord RHFs
Internrevisjon foretakets virksomhetsstyring, risikostyring og internkontroll.
Opplever dere at Internrevisjonens
rolle og aktiviteter skiller seg fra eksterne tilsynsorganer på noen måte?
Nei, vi opplever at de følger samme
”mal” som de andre tilsynsorganene.
Internrevisjonen oppleves som en fin
samtalepart som vi kan diskutere løsninger med.
Innhold
Melding om pasientskade / forhold som
kunne ført til betydelig pasientskade
Statens helsetilsyn har etablert en utrykningsgruppe for å styrke den tilsynsmessige oppfølgingen når det har skjedd
alvorlige hendelser (dødsfall eller
betydelig skade) i spesialisthelsetjenesten.
Uhell og ulykker vedr. elektromedisinsk
utstyr
Uhell ved transport av farlig gods
Dersom hendelser/situasjoner oppstår
som kan eller har medført at sensitiv
informasjon har eller kan tilflyte
uvedkommende
Spesielt om Helsetilsynets
virksomhet
Helsetilsynet er naturlig nok et sentralt
tilsynsorgan for helseforetakene.
I Prop. 1 S (2010-2011) (HOD, side 89)
om statsbudsjettet for 2011 framgår det at
tilsynsressursene i Statens helsetilsyn,
fylkesmennene og Helsetilsynet i fylkene
skal styres mot:
− områder av stor betydning for enkeltmenneskers rettssikkerhet der sannsynlighet for svikt er stor,
− der konsekvensene av svikt for brukere
og pasienter er alvorlige eller
− der brukere og pasienter ikke selv kan
forventes å ivareta egne interesser.
• I hvilken grad oppfatter dere at de tilsyn som gjennomføres av Helsetilsynet
i fylket er rettet mot områder som
samsvarer med beskrivelsen overfor?
Synes det er godt samsvar her.
• Hvordan opplever dere foretakets
muligheter for dialog med tilsynet om
utvelgelse av tema, og er slik dialog
ønskelig?
De gjennomfører nå årlige møter med
representanter fra alle foretakene i
Helse Nord i januar måned der de
presenterer planene sine for året som
kommer, der får vi gi tilbakemelding
på planene deres. Veldig bra.
• Generelt vet vi at Helsetilsynet etter
systemrevisjoner relativt ofte konkluderer med både avvik og merknader til
virksomheten som er revidert. Går det
an å svare generelt på om slike svakheter, for Helgelandssykehusets del,
oftest er forhold dere har vært klar
over selv, eller om tilsynet ofte
avdekker svakheter dere ikke har vært
oppmerksomme på?
Et generelt svar på dette må være at
det er begge deler. Noen ganger vet vi
at vi kommer til å få avvik, mens
andre ganger er vi så sikre som det går
an å bli på at vi ikke vil få avvik. Men
her kan vi jo tro feil noen ganger, i
begge retninger.
• Hvilken effekt har det at Helsetilsynet
påpeker avvik og forbedringsmuligheter?
Det er flere effekter her. For det første
får vi jo økt fokus på det området der
det ble avdekket avvik, og for det
andre blir læringsprosessen av å se
☞
SIRK nr 2. 2011
17
T i l s y n s - N o rg e
egne feil og forbedringsmuligheter
styrket. Det er positivt at utenforstående ser oss i korta, de ser med andre
øyne og alle tilbakemeldingene styrker
oss i å se oss selv bedre.
Helgelandssykehusets nytte av
tilsyn i egen styring og kontroll
• Hvilken betydning opplever dere generelt at tilsyn har for Helgelandssykehusets interne styring og kontroll?
Internkontrollen vår blir jo bedre av
tilsynene. Det er jo en kontinuerlig
prosess å forbedre internkontrollsystemet vårt. Tilsynene bidrar på sin måte
med kontroller og sammen med vårt
interne arbeid får vi en progresjon i
utviklingen av internkontrollsystemet
vårt.
• Hvordan benytter dere erfaringer fra
gjennomførte tilsyn til læring og forbedring i andre enheter enn de som har
vært direkte omfattet?
18
SIRK nr 2. 2011
Her har vi ikke vært flinke nok til å
oppnå læring og forbedring ved andre
enheter enn de som har vært direkte
involvert. Informasjon om at det har
vært tilsyn ved en enhet og senere
resultatene fra tilsynene blir tatt opp på
ledermøtene, samt info om avvikene
som ble avdekket. I tertialrapportene
til Helse Nord RHF gir vi også en kort
status om tilsynene som har vært. Vi
har imidlertid et klart forbedringspotensial i å sette resultatene fra tilsynene i system i hele helseforetaket.
• I hvilken grad orienteres og involveres
den øverste ledelse og styret i slikt forbedringsarbeid?
De blir regelmessig orientert på ledermøter og styremøter, og kvalitetsarbeid
er ett hovedfokus for styre og ledelse i
2011 – 2012. Som ledd i det er også
ulike områder innen kvalitetsarbeidet
blant temaene på seminarer for styret i
forbindelse med styremøter.
• Er det andre forhold dere ønsker å
belyse til slutt nå som dere har anledning til å nå en stor leserkrets?
Det måtte være at alle tilsynsorganer
var åpne for, og satte av tid til, diskusjoner om alternative løsninger på de
avvik og forbedringsområder som de
finner, før de bestemmer seg for resultatet av revisjonen. I et kort avslutningsmøte er det ikke tid nok til slike
diskusjoner. Til slutt kunne det også
vært fint om enkelte tilsynsorganer
innen rimelig tid ga oss tilbakemelding
på om forslagene våre på å lukke avvikene i den mottatte tilsynsrapporten
var gode eller dårlige, og ikke venter
til neste år og ny revisjon.
DET SOM ER
VIKTIG FOR DEG
ER VIKTIG FOR OSS
BDO er en revisjons- og rådgivningsvirksomhet med over 900 ansatte
ved kontorer over hele landet. Vi tilbyr tjenester innenfor hovedområdene; revisjon, rådgivning, skatt og avgift samt regnskap og lønn.
Våre medarbeidere har lang erfaring fra risikostyring, internkontroll,
internrevisjon, IT-revisjon og informasjonssikkerhet. Vi er en fortrolig
samarbeidspartner og etterspurt løsningsleverandør for krevende kunder
innen norsk næringsliv, organisasjoner og offentlig sektor.
For mer informasjon om hva vi kan hjelpe deg med, ta kontakt med:
Morten Thuve
Tlf.: 23 23 76 50
[email protected]
Kent M. E. Kvalvik
Tlf.: 23 11 91 03
[email protected]
Rune Waage
Tlf.: 23 11 92 57
[email protected]
www.bdo.no
SIRK nr 2. 2011
19
T i l s y n s - N o rg e
Internrevisjonen som verdiskapende funksjon
ved Jeanette Andersen, Direktør, PwC, Mariann Tronsrud, Statsautorisert revisor, PwC og Mari Vonen, Statsautorisert revisor, PwC
Som en del av studiet i ”Internrevisjon, risikostyring og
governance” på handelshøyskolen BI har vi vurdert internrevisjonen som verdiskapende funksjon ved å gjennomgå
relevant teori på området, samt hvordan denne teorien gjør seg
gjeldende for ulike virksomheter.
Den strategiske målsettingen til internrevisjonen er å tilføre
virksomheten merverdi. De grunnleggende forutsetningene for å
tilføre merverdi er henholdsvis objektivitet, selskapsforståelse,
samt fag- og bransjekompetanse.
Hva er merverdi og hvordan skape merverdi
I vår undersøkelse har vi involvert virksomheter som representerer tre ulike bransjer. Virksomhetene er valgt på bakgrunn av
sektor (offentlig vs. privat), størrelse (internasjonal vs. nasjonal),
organisering og rapporteringslinjer. Konklusjonene som fremgår
av undersøkelsen vil derfor ikke være egnet for generalisering,
men fungere som et supplement i vurderingen av internrevisjonen som verdiskapende funksjon.
Undersøkelsen skiller mellom faktorer ved en verdiskapende
internrevisjon og aktiviteter som tilfører merverdi for virksomheten. Vi har imidlertid fokusert på hvorvidt internrevisjonen
bidrar til verdiskapning for toppledelsen. Dette fordi toppledelsen anses å ha den beste forutsetning for å si noe om opplevd
verdiskapning av arbeidet som utføres av internrevisjonen. Dette
gjelder for både rådgivnings- og bekreftelsesoppdrag. Vi har
derfor intervjuet representanter fra toppledelsen, samt leder for
internrevisjonen i de ulike selskapene. I undersøkelsen vår
vurderes funnene fra intervjuene opp mot hverandre, samt mot
det teoretiske fundamentet.
Fra revisorstøtte til verdiskaper
Internrevisjonen som funksjon har endret seg betraktelig
gjennom tidene. Fra å være en part som tidligere støttet eksternrevisor, til nå å fokusere på å være en uavhengig bekreftelses- og
rådgivningsfunksjon som tilfører merverdi til virksomheten.
Kravet om å tilføre merverdi fremkommer av The Institute of
Internal Auditors (IIA) definisjon av internrevisjon:
”Internrevisjon er en uavhengig, objektiv bekreftelses- og
rådgivningsfunksjon som har til hensikt å tilføre merverdi og
forbedre organisasjonens drift” (Etiske regler og standarder for
profesjonell utøvelse av internrevisjon, januar 2011, s 5).
Hva vil det egentlig si å tilføre merverdi og for hvem skal internrevisjonen tilføre denne merverdien? Hva som ligger i begrepet
”tilføre merverdi” vil variere fra virksomhet til virksomhet.
Hypotesen i oppgaven er imidlertid at noen elementer er
sammenfallende og det er disse elementene oppgaven søker å
belyse. Videre forutsettes det at det foreligger en sammenheng
mellom ledelsens oppfatning av verdiskaping og faktorer ved
internrevisjonen som funksjon.
“Internrevisjonen tilfører merverdi til organisasjonen (og dens
interessenter) når den gir objektiv og relevant bekreftelse og
bidrar til hensiktsmessige og effektive prosesser for governance,
risikostyring og kontroll”.
Den oppdaterte definisjonen fra 2011 representerer en betydelig
endring fra definisjonen i standarden fra 2000 da fokuset var på
at merverdi knyttet seg til internrevisjonens leveranse av forbedringer.
”Merverdi skapes ved å forbedre mulighetene for at organisasjonen når sine målsetninger, identifisere driftsmessige forbedringer
og/eller redusere risikoeksponering både gjennom bekreftelsesog rådgivningstjenester.”
Sammenhengen og hovedtyngden av merverdibegrepet knyttes i
den nye standarden til bekreftelsestjenester. Rådgivningsdimensjonen sidestilles med anbefalingene fra bekreftelsesoppdrag i andre delsetning ”bidrar til hensiktsmessige og
effektive prosesser for governance, risikostyring og kontroll”.
Det er interessant å registrere at definisjonen av bekreftelsestjenester i standardene ikke nevner merverdi, mens definisjonen
av rådgivningstjenester eksplisitt fastsetter det å tilføre merverdi
som formålet med de rådgivende tjenestene. Like fullt er det
standardsetternes klare intensjon at også bekreftelsestjenester
tilfører merverdi.
Verdiskapende faktorer og bidrag til verdiskapning
Med bakgrunn i teorien, delte vi opp de verdiskapende faktorene
i følgende områder:
• Organisering og roller
• Samspill mellom toppledelsen, revisjonsutvalg1/styret og
internrevisjonen
• Internrevisjonens profesjonalitet
• Risikovurdering og revisjonsplanlegging
• Koordinering med andre tilsyns- eller overvåkningsfunksjoner
Figur 1: Internrevisjonens verdiforslag (kilde: IIA Value
Proposition task force).
20
SIRK nr 2. 2011
1
Revisjonsutvalg benyttes for det engelske begrepet “Audit
Committee”, jfr.Asal. § 6-41.
T i l s y n s - N o rg e
Bidrag til verdiskapning ble inndelt i følgende kriterier:
• Risikovurdering og revisjonsplanlegging
• Koordinering med andre tilsyns- eller overvåkningsfunksjoner
• Internrevisjonens verdiskapning
Oppsummering fra undersøkelsen
Undersøkelsen viser at det er enighet om at internrevisjonen
utgjør en nødvendig funksjon for virksomheten. Funksjonen
anses som en ”må ha funksjon” mer enn en ”vil ha funksjon”.
Generelt anses oppdragene internrevisjonen utfører som viktige
og nødvendige for virksomheten, og er med på å bidra til virksomhetens verdiskapning.
Hovedvekten av oppdragene som internrevisjonen utfører
(ca 95 % i alle de spurte virksomheten) er bekreftelsesoppdrag.
Bekreftelsesoppdrag anses å tilføre mest merverdi for virksomheten. Bekreftelse på at forhold fungerer som de skal anses som
viktig og betryggende for ledelsen og styret. Dette synes å henge
sammen med at virksomheten som inngår i studiet er modne
innenfor virksomhetsstyring, kontroll og risikostyring.
Det fremkommer fra intervjuene med toppledelsen at bekreftelsesoppdrag kan være viktigere for styret enn toppledelsen selv.
Toppledelsen på sin side ser verdi i at internrevisjonen utfører
rådgivningsoppdrag. Her er det således samsvar mellom teori og
praksis, jfr. figur 2 ”Internrevisjonens verdiskapning”.
Ledelsen i samtlige virksomheter opplever at internrevisjonen
kommer med verdiskapende anbefalinger til viktige funn.
Hvorvidt rapportene fra internrevisjonen konsekvent adresserer
årsaken til avdekkede svakheter er mer varierende. Dog er det
enighet blant ledelsen at identifikasjon av underliggende årsak til
avdekkende svakheter vil tilføre virksomheten større merverdi på
lang sikt, enn kun påpekning av svakheter. Her kan det synes
som internrevisjonen i dag har et forbedringspotensial.
De grunnleggende forutsetningene for å tilføre merverdi er
henholdsvis objektivitet, selskapsforståelse og fag- og bransjekompetanse. Undersøkelsen viser at de tre elementene verdsettes
Figur 2: (Kilde: IIA Research Foundation, 2003)
på lik linje, både blant representanter for ledelsen og blant
internrevisorene. Virksomhetens egne internrevisorer har større
forutsetning for å ha en inngående virksomhetsforståelse, mens
innleide ressurser i større grad besitter bredere bransjekunnskap
og har bedre kjennskap til beste praksis på tvers av virksomheter.
En optimal organisering av en verdiskapende internrevisjonsfunksjon synes derfor å være en kombinasjon av interne ressurser
som trekker på eksterne spesialister ved behov.
Undersøkelsen viser at det stilles høye krav til internrevisjonen
fra de ulike interessentene, profesjonen og ikke minst internrevisjonen selv, for å nå de strategiske målene og være en verdiskapende funksjon. Funksjonen har utviklet seg fra å være en
”blindvei på karrierestigen” til å ha potensial til å etablere seg
som en plattform for lederutvikling.
NIRF minner om sin hjemmeside
www.iia.no
og e-mail
[email protected]
SIRK nr 2. 2011
21
T i l s y n s - N o rg e
Ny veileder fra DFØ om etablering
av internrevisjon
Intervju med Ola Otterdal og Martin Aasness i Direktoratet for økonomistyring – tidligere Senter for statlig økonomistyring
Direktoratet for økonomistyring (DFØ) har nettopp lansert «Veileder for statlige virksomheter som vurderer å
etablere en internrevisjonsfunksjon». Formålet med veilederen er å gi støtte til ledere i statlige virksomheter som
skal ta stilling til om en internrevisjonsfunksjon er et egnet virkemiddel i ledelsen sitt arbeid for å styrke virksomhetens samlede styring og kontroll. For virksomheter som bestemmer seg for å etablere en internrevisjon, gir veilederen også et grunnlag for å velge en passende modell for å organisere funksjonen og å utvikle rutiner.
Bakgrunn for veilederen: Kartlegging av internrevisjon i statlige forvaltningsorganer
DFØ fikk i 2008 i oppdrag fra Finansdepartementet å
gjennomføre en kartlegging av internrevisjon og liknende
funksjoner for å vurdere hvorvidt og hvordan man eventuelt
skulle arbeide videre med internrevisjon og liknende funksjoner i statlige virksomheter. I etterkant besluttet Finansdepartementet på grunnlag av DFØs anbefalinger, at det skulle
utarbeides en sjekkliste eller veileder for statlige virksomheter
som vurderer å etablere en internrevisjonsfunksjon. Utvalget i
kartleggingen omfattet underliggende statlige virksomheter,
dvs. statlige forvaltningsorganer. Det statlige økonomiregelverket inneholder ikke krav om at statlige virksomheter
(forvaltningsorganer) skal ha internrevisjon.
Noen hovedfunn fra kartleggingen (DFØ-rapport (4/20091)
var følgende:
Internrevisjonsenhetene
• Det var kun 5 pst av utvalget som hadde en slik funksjon,
og da typisk de største og mest komplekse virksomhetene,
deriblant Arbeids- og velferdsetaten (NAV), Forsvaret,
Skatteetaten og Utlendingsdirektoratet (UDI). Utvalget
fulgte i hovedsak standardene fra IIA.
• Flere av internrevisjonene oppga at den viktigste utfordringen for dem var å finne en rett balanse mellom rådgiving og bekreftelse eller at virksomhetsleder ikke så
nytten av internrevisjonens arbeid.
• Virksomhetslederne som ble intervjuet betraktet internrevisjonen som et nyttig ledelsesverktøy knyttet til deres
ansvar for intern kontroll. Lederne oppfattet ikke internrevisjon som særlig forskjellig fra en stabsfunksjon,
controller eller lignende.
• Det framkom at det er noen utfordringer knyttet til hvem
som skal være oppdragsgiver for internrevisjonen og hvordan internrevisjonen, i samarbeid med virksomhetsledelsen,
skal forholde seg til Riksrevisjonen og departementet.
1
22
Andre funksjoner som arbeider med intern kontroll
• Det var stor variasjon i hvordan virksomhetene organiserer
arbeidet med intern kontroll. En tredjedel av virksomhetene
har etablert en egen enhet til støtte for virksomhetsleders
ansvar for intern kontroll.
• De etablerte enhetene har ganske like arbeidsoppgaver og
roller som internrevisjonene. Forskjellen var at disse funksjonene i mindre grad arbeidet etter IIA-standarder, men
flere benytter samme rammeverk som internrevisorene
(COSO m.m.). De utfører bekreftelsesoppdrag og flere
operative oppgaver. Virksomhetene som ikke hadde en egen
enhet til arbeidet med intern kontroll arbeidet i langt
mindre grad etter IIAs standarder og metodikk.
• Flere respondenter pekte på at intern kontroll ikke oppfattes
entydig i virksomheten og det er utfordringer med forankring av arbeidet med internkontroll i ledelsen.
Det kom også fram at internrevisjonene i statlige virksomheter
i Norge arbeider relativt likt som internrevisjoner i statlige
Internrevisjon og intern kontroll i statlige virksomheter – en kartlegging
SIRK nr 2. 2011
T i l s y n s - N o rg e
virksomheter i Sverige, men at svenske myndigheter har valgt
å pålegge en rekke statlige virksomheter å etablere en internrevisjonsfunksjon. I Danmark forholder ikke internrevisjonene
i statlige virksomheter seg til IIA-standarder, men bygger sitt
arbeid på revisjonsstandarder fra den danske Riksrevisjonen og
internrevisjonene opprettes også etter avtale mellom
Riksrevisjonen og aktuelt departement.
Utvikling av veileder
Arbeidet med utvikling av veilederen ble startet for om lag ett
år siden. Arbeidet ble organisert som et internt prosjekt i DFØ
med Hallfrid Nagell-Erichsen som leder, Ola Otterdal som
deltaker og Ellisiv Taraldset som intern kvalitetssikrer. Vi fikk
en samtale med Ola og med Martin Aasness, som sammen med
Hans Petter Eide gjennomførte kartleggingen i 2008/2009.
– Kan dere si litt om utviklingsprosessen for denne veilederen?
– Arbeidet med veilederen tok til senhøstes 2010. Det ble
gjennomført en work shop 31. januar 2011 med deltakere fra
internrevisjonene i Forsvarsdepartementet, NAV,
Skattedirektoratet og NIRFs nettverk for statlig sektor.
Veilederen ble sendt på en ekstern høring i juni og DFØ har
også vært i dialog med Finansdepartementet. DFØ har også
hatt noe bistand fra eksterne konsulenter i utarbeidelsen.
Veilederen gir en introduksjon til hva internrevisjon er, dens
rolle i forhold til virksomhetens styrings- og kontrollstruktur,
og hvilken merverdi internrevisjonen kan bidra med gjennom
en uavhengig og objektiv vurdering av internkontrollen.
Veilederen gir også en beskrivelse av hva som er spesielt med
internrevisjon i staten og drøfter forhold som kan tilsi at
etablering av internrevisjon er hensiktsmessig. Deretter følger
en sjekkliste som kan gi et grunnlag for å ta stilling om internrevisjon bør etableres og hvilken modell som eventuelt er
aktuell og hvordan retningslinjer og prinsipper for funksjonen
kan etableres.
– Hva er spesielt utfordrende med bruk av internrevisjon i
staten?
– Veilederen omtaler hvordan uavhengighet kan ivaretas i en
statlig kontekst. Noen statlige virksomheter med internrevisjon
har retningslinjer som beskriver hvordan internrevisjonen og
virksomhetsleder i fellesskap kan ta opp forhold med overordnet departement i særskilte tilfeller dersom de er uenige.
Et annet budskap i veilederen er at alle som kaller seg internrevisjon må forplikte seg til å følge IIA-standardene.
– Sier veilederen noe om hvordan virksomheten bør organisere
arbeidet med internrevisjon?
– Veilederen tar for seg ulike former for organisering av internrevisjon. Den skisserer dessuten internrevisjonens mulige
tilnærminger til kompetanse; om kompetanse skal sikres
gjennom å kjøpe tjenester av rådgivningsselskaper eller om
man skal bygge opp en egen enhet. Veilederen drøfter fordeler
og ulemper knyttet til fire ulike modeller;
•
•
•
•
Egne, fullt ansatte internrevisorer
Full outsourcing
Ansatt revisjonssjef som kjøper eksterne revisjonstjenester
Ansatt revisjonssjef med team fra egen virksomhet
Et eksempel på en kombinasjon av de nevnte modellene er
UDI, som har en enhet med tre faste internrevisorer, men som
bruker ansatte fra andre enheter i seks måneders engasjementer. Det er da viktig at de har tilfredsstillende internrevisjonskompetanse eller veiledes slik at man ikke løper en risiko for
at revisjonen blir uforsvarlig («audit risk»).
– Vi ser at en ny veileder nettopp ble lansert (28/10) – «strategisk og systematisk bruk av evaluering i styringen». Hva er
forskjellen på denne type evalueringer og internrevisjon?
– I definisjonen av internrevisjon brukes begrepet evaluere og
noen revisjoner vil falle inn under definisjonen av evaluering.
En internrevisjon er en egen funksjon som utfører revisjoner
etter en årlig plan. Det finnes også eksempel på virksomheter
som har en egen evalueringsenhet. Den nye veilederen om
bruk av evaluering i styringen redegjør for evaluering som en
av flere kilder til styrings- og resultatinformasjon. Veilederen
om internrevisjon viser til at i stedet for å etablere internrevisjon kan et mulig alternativ være å gjennomføre evaluering
av et område av virksomheten.
– Sier veilederen noe om samordning mellom internrevisjoner
og Riksrevisjonen?
– Veilederen går ikke detaljert inn på internrevisjonenes forhold til Riksrevisjonen, men viser til INTOSAI-standard GIV
9150: Coordination and Cooperation between SAIs and
☞
SIRK nr 2. 2011
23
T i l s y n s - N o rg e
Internal Auditor in the Public Sector, som skal sikre god
ressursutnyttelse. I tillegg nevner veilederen at det i retningslinjene for internrevisjonen bør avklares om Riksrevisjonen
skal motta rapporter fra internrevisjonen, for eksempel en årlig
oppsummering. Per i dag er slik oversendelse av rapporter ikke
regulert, men Riksrevisjonen kan be om det.
– Hvem skal ta stilling til etablering av internrevisjon og hvem
skal involveres i disse vurderingene?
– Det er virksomhetsleder (eventuelt styre) som skal ta stilling
til etablering av internrevisjon og som må få gjennomført
vurderingen. Veilederen spesifiserer ikke hvem som i praksis
skal gjennomføre vurderingen. Man har primært tenkt at dette
er et verktøy for virksomheten som vurderer etablering av
internrevisjon. Departementet kan likevel ta initiativ til at en
slik vurdering gjøres, men beslutningen må ligge hos virksomhetsleder. Nytteverdien kan bli redusert dersom et departement
pålegger en virksomhet å etablere en internrevisjon som
virksomhetsleder ikke selv ser nytten av.
– Hva vil dere sier mest utfordrende med å utvikle denne typen
veiledningsmateriell?
– Når man utarbeider slike dokumenter er det en utfordring å
være tydelig på problemstillingen, å definere hvem som er den
viktigste målgruppen. Det er også viktig å vurdere hva slags
funksjon og nytte en slik veileder skal ha. I denne veilederen
har det vært viktig å finne et hensiktsmessig grensesnitt i forhold til IIA-standardene. Videre har det vært en utfordring å
tilpasse dette til virkeligheten i statlig sektor. IIA-standardene
er ikke så veldig tydelige på hvordan de skal tilpasses statlig
kontekst og det har ikke vært skrevet så mye om tilpasning til
en statlig kontekst før. Det pedagogiske er en utfordring siden
virksomhetsledere, som er den sentrale målgruppen, har
begrenset med tid og ikke alltid kjenner til IIA-standardene,
COSO og begrepsapparatet på området. Man har derfor lagt
vekt på at leser skal få forståelse for internrevisjon og verdien
av en slik funksjon, som igjen er avgjørende for å realisere
nytteverdien av en internrevisjon.
Utlendingsdirektoratet - styring og internrevisjon
UDI er en av de statlige virksomhetene som hatt internrevisjon noen år. Vi spurte UDIs direktør Ida
Børresen og leder av UDIs internrevisjon, Espen Andersen, hvilke erfaringer de har.
Ida Børresen,
direktør i UDI:
Hva opplever virksomhetslederen
er internrevisjonens bidrag /
nytteverdi for UDI?
Jeg betrakter internrevisjonen
som mitt ”redskap” i styringen av virksomheten og som viktige
rådgivere til meg som ansvarlig leder. De er mine øyne og min
lyttepost i organisasjonen og utgjør et viktig supplement til den
informasjon jeg får om virksomheten gjennom mine ledere og
saksbehandlingen for øvrig. UDI er en stor og mangslungen
virksomhet. Det er krevende å styre UDI helhetlig og med den
nødvendige kvalitet. Internrevisjonen bidrar gjennom sin kompetanse og sine revisjonsoppdrag til å utvikle organisasjonen.
Gjennom det reduseres risiko på områder hvor vi kan være sårbare. Det at internrevisjonen er organisatorisk plassert i stab til
direktøren og dermed er litt ”frikoplet” fra virksomheten for
24
SIRK nr 2. 2011
øvrig, gir dem en selvstendig og mer objektiv rolle og en
posisjon til å se ting utenfra.
Hvordan bruker UDI internrevisjonen i sin styring?
Internrevisjonens aktiviteter inngår i UDIs styringhjul (årshjul).
Planen for internrevisjonens virksomhet behandles i UDIs ledergruppe og skal være basert på virksomhetens risikovurderinger
som foretas i forbindelse med at virksomhetsplanen for UDI
totalt legges hvert år. Det er viktig at revisjonsområder velges ut
fra vesentlighet og konsekvens og knyttes nært opp til virksomhetens måloppnåelse. Ansvaret for oppfølging av internrevisjonens tilrådninger ligger hos avdelingslederne.
Espen Anderssen, leder for internrevisjonen
i UDI:
Hvor lenge har UDI hatt internrevisjon?
Internrevisjonen i UDI ble etablert i 2006. Organisasjonen hadde
T i l s y n s - N o rg e
over en periode hatt vekst i antall ansatte og i budsjett. UDI er
samtidig en kompleks virksomhet. For å støtte direktørens ivaretakelse av kontrollansvaret ble det besluttet å etablere en
internrevisjon som kunne gi tilbakemelding på effektivitet og
hensiktsmessighet i direktoratets styrings- og kontrollsystemer.
Hvordan er internrevisjonen deres organisert, og på hvilken
bakgrunn ble aktuell organisasjonsform valgt?
Internrevisjonen i UDI rapporterer til direktøren, og er uavhengig
av linjeorganisasjonen.
Funksjonen ble opprinnelig organisert i form av en samarbeidsmodell. En leder og en medarbeider ble ansatt med ansvar for
planlegging, gjennomføring og rapportering av internrevisjonens
oppgaver. Spisskompetanse for gjennomføring ble innkjøpt fra
en ekstern leverandør til de enkelte revisjonsprosjektene.
Formålet med denne modellen var å sikre intern styring av funksjonen samt å bygge intern revisjonskompetanse samtidig som
man fikk fleksibilitet gjennom tilgang til eksterne ressurser. Etter
hvert ble modellen utviklet gjennom etablering av en ny stilling i
internrevisjonen og redusert bruk av eksterne tjenester.
I dag er vi organisert med tre ansatte revisorer og en intern hospitant. Hospitanter fra avdelingene engasjeres på kontrakter med
seks måneders varighet. Siden oppstarten har vi nå hatt til sammen ni hospitanter fra ulike avdelinger. I tillegg har vi de senere
årene hatt en avtale med en ekstern leverandør av internrevisjonstjenester.
Hvilke fordeler og ulemper/utfordringer ser dere ved dagens
organisering?
UDI er en organisasjon som i sin saksbehandling og styring må
håndtere betydelig variasjoner i asylankomstene. Samtidig
gjennomfører vi en omstillingsprosess med endring av oppgavefordelingen mellom Politiet og UDI. Videre har UDI ansvaret for
et større program for utvikling av elektroniske brukertjenester,
elektronisk saksbehandling og elektronisk samhandling i utlendingsforvaltningen. I en organisasjon med sammensatte,
styringsmessige utfordringer og høyt endringstrykk vil evnen til
å opparbeide god virksomhetsforståelse være et av de viktigste
designkriteriene for organisering av internrevisjonen. Dette er en
forutsetning for å forstå risikobildet, og dermed prioritere internrevisjonens ressurser slik at vi gir mest mulig verdi. Gjennom
dagens organisering med interne ressurser er det lagt til rette for
å sikre nødvendig virksomhetsforståelse.
Utfordringene ved organiseringen vil i første rekke være knyttet
til å dekke behov for spesialistkompetanse på enkelte områder.
Dette kan likevel kompenseres gjennom videreutvikling av
interne ressurser og bruk av ekstern kompetanse ved behov.
Hvordan sikrer dere at personer som er inne på seks måneders
engasjement fra andre deler av organisasjonen har tilfredsstillende internrevisjonskompetanse eller risiko & kontrollforståelse/fokus?
Vi benytter innføringskursene til NIRF samt enkelte andre kurs
til å bygge grunnleggende forståelse. Videre vil våre hospitanter
arbeide i team med erfarne internrevisorer under faglig veiledning. En sentral del av formålet med bruk av hospitanter er at
disse etter avsluttet opphold i internrevisjonen skal ta med seg
kompetanse innenfor risikostyring og internkontroll til egen
avdeling.
Hvor mange av de fast ansatte i internrevisjonen er sertifisert
(CIA/Diplomert internrevisor/annet)?
To revisorer er diplomerte internrevisorer, mens en for tiden
følger master of management-programmet i risikostyring, internrevisjon og governance ved BI.
I hvilken grad er organisasjonen – mellomledere – selv involvert
i risikovurderingene?
UDI har etablert en prosess for risikostyring der alle avdelingene
identifiserer og vurderer risiko. I tillegg vurderer toppledelsen
risiko i et etatsperspektiv. Prosessen sikrer involvering av
mellomledere i alle avdelinger, selv om gjennomføringen nok
kan variere noe mellom avdelingene. Prosessen er stadig i
utvikling.
Hvordan oppfatter virksomhetsleder og eventuelt de som blir
revidert nytten av internrevisjonen? Måles dette gjennom
spørreskjema eller lignende?
Alle revisjoner blir evaluert ved bruk av spørreskjemaer etter
avsluttet revisjon. I forbindelse med en egenevaluering i 2009
innhentet internrevisjonen vurderinger fra ulike deler av organisasjonen. Videre har jeg som ny leder for internrevisjonen foretatt en interessentanalyse blant våre avdelingsdirektører som ledd
i den videre utvikling av internrevisjonsfunksjonen. Samlet har
vi et godt innblikk i ledelsens vurderinger av hvilken verdi
internrevisjonen tilfører. Dette er utdypet av direktørens egne
svar.
Hva vil dere si er deres største utfordring?
En av de største utfordringene vi har er å balansere og prioritere
ressurser mellom utvikling av virksomhetsforståelse og innsikt i
risikobildet, planlagte revisjoner, rådgivning og ad hoc-oppgaver
slik at vi gir vårt beste bidrag til ledelsen.
SIRK nr 2. 2011
25
Fag & Aktuelt
Internrevisors rolle i et modent kontrollmiljø
Jonas Gaudernack
PhD,
Statsautorisert
revisor
Direktør, PwC
Det finnes mange dyktige internrevisorer
i Norge, og de fortjener sin del av æren
for at deres arbeidsgivere etter hvert
har utviklet god styring og kontroll (et
modent kontrollmiljø). Dette er i og for
seg flott, men hvis alle vet at virksomheten er godt styrt og kontrollert, hva
skal da internrevisor bedrive? Skal man
gjenta seg selv år etter år, skal man
dykke videre ned i detaljene, eller finnes
det andre muligheter?
Det høres kanskje ut som en luksusproblemstilling, men det er ikke lett å være
internrevisor i en virksomhet som har
gode kjerneprosesser, veletablert internkontroll, aktive risk- og compliancefunksjoner, dyktig ledelse og en internkontrollorientert ekstern revisor. Enda vanskeligere blir det hvis internrevisor allerede i
flere år har bekreftet til styret at det
faktisk foreligger god styring og kontroll.
For å forbli relevant, merker man at det
forventes ”noe nytt”.
Årsaken til utviklingen ligger i det siste
tiårets enorme fokus på, og investeringer
i, governance, risikostyring og internkontroll. Etter hvert som kontrollmiljøet
utvikles går risikonivået ned. Siden
internrevisor bør ha en risikobasert tilnærming er det da naturlig at utviklingen
får konsekvenser for fokus og omfang av
revisjoner.
Har denne utviklingen kommet til Norge?
Ja, jeg har hørt flere internrevisjonsledere
fortelle om at de fra ulikt hold blir utfordret i forhold til rolle, relevans av fokus,
budsjett, og kompetanse om forretningsprosessene. Videre opplever mange at de
blir til dels fortrengt av oppegående riskog compliancefunksjoner.
Kan man si at internrevisjonsbransjen er
inne i en eksistensiell krise? Denne
artikkelen inneholder ingen fasitsvar, men
jeg har derimot som formål å belyse
problemstillingen og komme med noen
tanker om mulige løsninger. Artikkelen er
basert på et foredrag jeg holdt på NIRFs
årsmøte i juni 2011.
26
SIRK nr 2. 2011
Generelle betraktninger rundt
internrevisors rolle
IIAs definisjon av internrevisjon bør leses
sekvensielt. Internrevisors hovedformål er
å tilføre merverdi og bidra til å forbedre
organisasjonens drift. Deretter presiseres
det at internrevisors bidrag skal komme
gjennom utførelsen av bekreftelses- og
rådgivningsoppdrag. Rekkefølgen er
viktig. Hovedformålet er ikke å utføre
bekreftelsesoppdrag - det er bare ett av de
to virkemidlene internrevisor har for å
oppnå hovedformålet om å bidra med noe
nyttig. Til slutt presiseres det i definisjonen at internrevisors fokus er tematisk
avgrenset til governance (G), risikostyring (R) og internkontroll (C). Det
siste elementet er i realiteten ingen
avgrensning, da definisjonene av GRCbegrepene er så vide at de favner om alt
virksomheten driver med (se ordlisten i
IIA-standardene).
Hvorfor begrense seg til bekreftelsesoppdrag? Jeg tror mange har misforstått
uavhengighetsbegrepet, og blander det
med objektivitetsbegrepet. Derfor tar de
ikke i rådgivningsoppdrag, selv om det i
praksis er å kappe av seg det ene benet i
forhold til mulighetene til å tilføre
merverdi.
Å
planlegge ressursbruken slik at man alltid
har noen som er objektive i forhold til de
ulike elementene i revisjonsuniverset
hvor det er realistisk at det vil bli utført
bekreftelsesoppdrag. Dette synet støttes
av Finanstilsynet: ”kravet om objektivitet
og upartiskhet ikke er til hinder for at
internrevisjonen er engasjert i rådgivning
eller konsulentvirksomhet, da dette kan
være en kostnadseffektiv måte å sikre at
styre og ledelse tar velinformerte beslutninger ved innføring av styring og
kontrolltiltak i organisasjonen”. 1
Internrevisor bør derfor også bedrive
rådgivning når det tilfører merverdi.
Jeg kan allerede her røpe at dette er et av
hovedpoengene i artikkelen: Dersom
kontrollmiljøet er godt, og man begrenser
seg til bekreftelsesoppdrag, så blir det
enten kjedelig i lengden, eller så må man
etter hvert bekrefte så detaljerte prosesser
at det både blir irrelevant på toppnivå og
vanskelig ut fra kompetansekrav.
I tillegg til bekreftelsesoppdrag og rådgivning, må internrevisor investere tid i å
følge med på virksomhetens utvikling og
endringer i omgivelsene som kan ha innvirkning på risikobildet. Internrevisors
generelle rolle og tidsbruk kan derfor
deles i tre hovedkomponenter: (1)
nekte å påta seg rådgivningsoppdrag er å
kappe av seg det ene benet i forhold til
mulighetene for å tilføre merverdi
La oss se på definisjonene av uavhengighet og objektivitet i IIA-standardene og
Finanstilsynets tolkninger:
• Uavhengighetskravet omhandler selve
internrevisjonsfunksjonen og kravet
om at internrevisjonssjefen skal
rapportere til et organisasjonsnivå som
gjør det mulig for enheten å ivareta sitt
ansvar.
• Objektivitetskravet omhandler den
enkelte internrevisor og kravet om at
hun/han skal unngå interessekonflikter
og ha en upartisk og uhildet innstilling
i sitt arbeide.
Uavhengighet er stort sett ivaretatt
gjennom internrevisjonens mandat.
Objektivitetskravet gjelder derimot på
enkeltpersonsnivå i forhold til det enkelte
oppdrag. Det er således ingen grunn til at
internrevisjonsfunksjonen generelt skal
unngå rådgivningsoppdrag. Det er bare å
Bekreftelsesoppdrag, (2) rådgivningsoppdrag, og (3) følge virksomheten løpende /
virksomhetsforståelse. Tidsbruken på de
ulike komponentene vil avhenge av
kontrollmiljøets modenhet.
Generelle betraktninger rundt
kontrollmiljøets modenhet
Med kontrollmiljøet menes virksomhetens samlede opplegg for styring og
kontroll; summen av det man får hvis
man hiver governance, virksomhetsstyring, foretaksstyring, risikostyring,
internkontroll, fire COSO-rammeverk,
internkontrollforskriften, noen BIS-prinsipper, samt noen Finanstilsynsverktøy i
en stor gryte og rører godt.
1
www.kredittilsynet.no/archive/
f-avd_word/01/04/Temat033.doc
Fag & Aktuelt
En nærmere analyse av gryten vil da vise
at et godt kontrollmiljø består av tydelige
roller, ansvarsforhold og prosesser for
hvordan virksomheten blir styrt og kontrollert. Dette innebærer for det første en
ryddig organisasjonsutforming med klare
roller, ansvarsforhold og kommunikasjonslinjer. Herunder etablerte lederroller
og lederfora med tydelige instrukser/
mandat og gode administrative rutiner for
saksbehandling og beslutningstaking.
I
hensiktsmessig å utføre bekreftelsesoppdrag. Da er det bedre å gå rett på rådgivning, og komme med forslag til forbedringer. Eneste grunn til å utføre bekreftelsesoppdrag ville være hvis ledelsen påstår
at kontrollmiljøet er godt. Da kan et forsøk
på å bekrefte påstanden vise at oppfatningen ikke stemmer, slik at man kan komme i
gang med forbedringsarbeidet.
Dersom kontrollmiljøet er OK, men lite
et modent kontrollmiljø bør mer av internrevisors
tid gå med til å fungere som en huskonsulent.
Deretter består det av ryddige prosesser
for planlegging og oppfølging a virksomheten. Planleggingsdimensjonen omfatter
strategisk planligging og tilhørende årlige
operasjonalisering gjennom risikovurderinger, handlingsplaner, budsjett og målkort. Oppfølgingsdimensjonen omfatter
perioderegnskap, ”business reviews / målkortoppfølging”, periodiske ledermøter,
HR-oppfølging og løpende lederoppfølging i linjen og kontrollfunksjonene.
Til slutt kreves en formaliseringsgrad tilpasset virksomhetens omfang, kompleksitet og risikonivå. Dette innebærer at det
utvikles, vedtas, tilgjengeliggjøres og
vedlikeholdes hensiktsmessige styringsdokumenter gjennom en transparent og
ryddig prosess. Med hensiktsmessig
menes her at det oppnås en balanse
mellom linjens behov for fleksibilitet og
ledelsens, stabenes og kontrollfunksjonenes behov for standardisering, effektivisering og forutsigbarhet.
I et umodent kontrollmiljø er prosessene
lite formaliserte og internkontrollen skjer
på ad-hoc basis. I et middels kontrollmiljø
har man begynt å formalisere, men det
foreligger store variasjoner i de ulike virksomhetsområdenes praksis. I et modent
kontrollmiljø har man oppnådd en hensiktsmessig grad av standardisering og
oversikt på virksomhetsnivå. Det er forutsigbart hvordan virksomheten gjennomføres, styres og kontrolleres, og det er
mulig å gjennomføre verifikasjoner i ettertid. Oppfølging og etterkontroll utføres
både av ledere på ulike nivåer, og av kontrollfunksjoner som compliance og risk.
Internrevisors rolle i et modent
kontrollmiljø
Graden av modenhet har stor innvirkning
på internrevisors rolle.
Dersom kontrollmiljøet er svakt er det lite
formalisert, kan det være vanskelig å utføre verifikasjoner. Internrevisor må da
bruke mye tid på intervjuer for å forstå
hvordan kontrollmiljøet fungerer, men
uten at det lar seg gjøre å verifisere i
ettertid. Ledelsen bør i så fall få innspill
og råd om formalisering, samt om
hvordan de selv bør følge opp og etterkontrollere (tilsvarende ”monitoring” i
COSO). Eksempelvis kan økt formalisering og dokumentasjon rundt ledermøter
og lederbeslutninger bidra til notoritet
rundt styringsmekanismene. Særlig vil
mange ha nytte av å øke mengden av
kvalitativ informasjon i den periodiske
lederrapporteringen – spesielt knyttet til
utvikling i risiko og usikkerhet. En slik
utvikling vil legge grunnlaget for å
gjennomføre påfølgende bekreftelsesrevisjoner.
Dersom kontrollmiljøet er antatt OK og i
tilstrekkelig formalisert ligger alt til rette
for bekreftelsesoppdrag. Internrevisor kan
sette seg inn i prosessene gjennom
dokumentstudier, komplettere forståelsen
gjennom intervjuer og deretter foreta
verifikasjoner gjennom testing av kontrollbevis. Eventuelle mangler kan påpekes, med tilhørende råd om forbedringer.
Jeg anbefaler at internrevisor begynner
med verifikasjoner av de overordnete
styringsmekanismene og deretter beveger
seg nedover på prosessnivå. Internrevisor
bør imidlertid ikke operere på et detaljnivå som ikke har relevans for styret og
toppledelsen. Det ligger utenfor internrevisors mandat; internrevisor rapporterer
til styret og bør befatte seg med tema som
er relevante på styrenivå. En annen ting
er om ledelsen ber internrevisor utføre
rådgivning rettet mot detaljprosesser. Da
er vesentlighetsnivået basert på behovene
til ledelsesnivået som ber om råd.
Anta at men etter noen år har fått etablert
robuste kjerneprosesser, veletablert
internkontroll, dyktig ledelse, og aktive
risk- og compliancefunksjoner. Anta
videre at internrevisor gjennom en rekke
internrevisjonsoppdrag har bekreftet
dette, og at det er allment anerkjent at
kontrollnivået er godt. Hva skal internrevisor så gjøre? Etter min mening er det
fortsatt relevant å bekrefte robustheten av
overordnet styring og kontroll. Dette kan
imidlertid gjøres mye mer effektivt ved
at man løpende følger virksomheten,
løpende følger arbeidet til øvrige kontrollfunksjoner, og selv begrenser seg til å
foreta mindre stikkprøverevisjoner for å
verifisere at helheten fungerer.
Jeg mener imidlertid at internrevisor bør
unngå revisjoner av detaljprosesser som
ikke er relevante på styrenivå. Jeg har
observert at internrevisorer som har gått
tomme for bekreftelsestema har beveget
seg inn på verifikasjoner av slike perifere
prosesser. Jeg har også sett at det kjeder
styret og toppledelsen i lengden. Da er
det bedre å åpent bruke tiden på rådgivningsoppdrag som er ønsket på ulike
ledernivå. Rett og slett utvikle seg i
retning av at noe av tiden går med til å
fungere som en huskonsulent, særlig i
tilknytning til GRC-relaterte tema.
Internrevisor kan også vri mer av tidsbruken sin mot mer proaktiv oppfølging
av forretningstema, strategiske utfordringer, bransjeutvikling og regulatorisk
utvikling. Dette for å være mer fremoverskuende i risikovurderinger, og være en
støttespiller for ledelsen også på det
risikostrategiske planet.
Oppsummert bør internrevisors rolle
følge utviklingen i kontrollmiljøets
modenhet. I den tidlige fasen er man
rådgiver i forhold til utvikling av kontrollmiljøet. Når man har nådd et visst
modenhetsnivå har det verdi å bekrefte
dette overfor styret. Etter hvert vil denne
typen bekreftelser kunne gjøres med
redusert ressursinnsats. Mer av tidsbruken
kan da vris mot rådgivningsrelatert aktivitet og risikostrategisk støtte til ledelsen.
SIRK nr 2. 2011
27
Fag & Aktuelt
Hva er god praksis for foretaksstyring?
Artikkelen er skrevet av Helene Raa Bamrud,
partner og leder av Enterprise Risk Services (ERS)
i Deloitte, og Endre Fosen som er ansvarlig for
tjenesteområdet Foretaksstyring i ERS.
Helene
Raa Bamrud
Endre
Fosen
krav til foretaksstyringen har lovgiver ved implementeringen
av de nye reglene i Norge i stor grad overlatt til næringslivet
selv å etablere god praksis, ref Prop. 117L (2009/2010):
”Departementet viser til at fastsettelsen av forsvarlige
prinsipper og rutiner for god foretaksstyring etter norsk
selskapsrettslig tradisjon i stor utstrekning er overlatt til
næringslivets, evt. regulerte markeders, selvregulering.”
Nedenfor vil vi redegjøre kort for hva vi mener er god praksis
for foretaksstyring og hva som skal til for å tilfredsstille
kravene på dette området, spesielt innenfor regnskapsrapporteringsprosessen.
Hovedelementer i foretaksstyringssystemet
Gjennom det siste tiåret har det vært en sterk utvikling både
globalt og nasjonalt i teori og praksis knyttet til foretaksstyring
og systemer for risiko og internkontroll. Nye lovkrav bidrar til
å sette ytterligere fokus på foretaksstyring og styrets ansvar,
og flere norske virksomheter har de siste årene jobbet systematisk med å utvikle sine foretaksstyringssystem. I denne
artikkelen redegjør vi for hva vi mener er en god og praktisk
måte å strukturere foretaksstyringen på.
Nye lovkrav for foretaksstyring
Den 1. juli 2010 trådte det i kraft endringer i regnskapsloven
som krever at styret i selskap med verdipapirer notert på
regulert marked blant annet skal gi en beskrivelse av hovedelementene i foretakets systemer for internkontroll og risikostyring knyttet til regnskapsrapporteringsprosessen. Det er vår
oppfatning at lovfesting av kravene vil bidra til å sette ytterligere fokus på arbeidet med å etablere god foretaksstyring i
norske virksomheter.
God foretaksstyring krever systematikk og vi snakker derfor
ofte om et foretaksstyringssystem. Foretaksstyringssystemet
inneholder alle de viktige elementene for foretaksstyring i
virksomheten, og bør være innrettet slik at det sikrer etterlevelse av policyer og gjennomføring av alle viktige aktiviteter.
Et foretaksstyringssystem bør være skalerbart og designes i
samsvar med virksomhetens kompleksitet og risikoprofil.
Flere norske virksomheter har de siste årene jobbet systematisk
med å utvikle sine foretaksstyringssystem. Vår erfaring basert
på dette arbeidet er at et effektivt foretaksstyringssystem
inneholder følgende fire praktiske hovedelementer:
1. Styringsprinsipper
2. Internkontroll i prosesser
3. Koordinering
4. Overvåking
I tillegg er det viktig å fokusere på kompetanse, roller/ansvar
og dokumentasjon for å lykkes med å implementere og drifte
et effektivt foretaksstyringssystem.
Selskap som allerede følger anbefalingene til Norsk anbefaling
for eierstyring og selskapsledelse (NUES) følger i utgangspunktet allerede de nye kravene til rapportering.
Selskap med obligasjoner notert på regulert marked har ikke
tidligere hatt krav til å følge NUES, men er nå omfattet av de
nye kravene i regnskapsloven.
Betydelig utvikling knyttet til foretaksstyring i
løpet av de siste ti årene
Gjennom det siste tiåret har det vært en sterk utvikling både
globalt og nasjonalt i teori og praksis knyttet til foretaksstyring
og systemer for risiko og internkontroll. Globalt bidro SOXlovgivningen i USA, som en direkte følge av finansskandalene
med Enron i spissen, til å formalisere arbeidet med internkontroll over finansiell rapportering for alle virksomheter knyttet
til børsmarkedet i USA. Betydelige ressurser ble satt inn for å
utvikle robuste risiko- og internkontrollsystemer som skulle
sikre bedre kvalitet på den finansielle rapporteringen.
I samme periode har det kommet krav i Norge rettet mot informasjon knyttet til foretaksstyring. Når det gjelder konkrete
28
SIRK nr 2. 2011
1.
Styringspolicy
2. Funksjonspolicyer
3. Prosedyrer / håndbøker
4. Nøkkelkontroller i transaksjonsprosesser
Fag & Aktuelt
1. Styringsprinsipper
Styret og ledelsen beslutter styringsprinsipper som klargjør
roller og ansvar mellom styret og administrasjon, og definerer
målsetninger og prinsipper for sentrale funksjoner.
Styringsprinsippene operasjonaliseres gjennom styringsdokumenter. Styringsdokumentene beskriver hovedprinsipper for
hvordan selskapets virksomhet skal utføres. De danner grunnlaget for god internkontroll og utvikling av en ansvarsfull og
bærekraftig virksomhetskultur. Styringsdokumentene er bygget
opp i et hierarki som vist i nivå 1 til 3 i figuren på foregående
side, og består av styringspolicyer, funksjonspolicyer og prosedyrer/håndbøker. Prosedyrer og håndbøker er viktige virkemidler
for å sikre implementering og etterlevelse av styrings- og funksjonspolicyer.
Det er viktig at styringsdokumentene er godkjente, oppdaterte og
tilgjengelig for alle relevante brukere i selskapet.
2. Kontroller i vesentlige transaksjonsprosesser
For å sikre god internkontroll over regnskapsrapporteringsprosessen må det etableres nøkkelkontroller i alle relevante
transaksjonsprosesser som ender opp i regnskapet, nivå 4 i
figuren ovenfor. Eksempler på slike prosesser vil være: Inntekter,
anskaffelser, lønn/HR, anleggsmidler/investeringer, periodeavslutning og IT (støtteprosesser).
Det er viktig å ha en god oversikt over de relevante prosessene,
gjerne i form av prosesskart, for å kunne identifisere risiko for
feil eller mangler. Vesentlig risiko bør resultere i etablering av
nøkkelkontroller som skal redusere risikoen for vesentlige feil i
regnskapet.
3. Koordinering
For å sikre at alle viktige aktiviteter utføres og at foretaksstyringssystemet er oppdatert bør det etableres en funksjon som
har ansvaret for å koordinere og vedlikeholde foretaksstyringssystemet. Prosessen organiseres gjerne som en årssyklus delt inn
i fire faser: Planlegging, vedlikehold, oppfølging og rapportering.
4. Overvåking
For å sikre implementering og etterlevelse av kravene til foretaksstyring i selskapet bør det etableres overvåkingsaktiviteter.
Overvåking kan utføres på mange måter og med ulik grad av
objektivitet. Den enkleste formen vil være selvevaluering, mens
den mest objektive men kostnadsdrivende vil være ekstern
testing. Hvilken metode som velges bør være et resultat av en
risikovurdering, krav til regnskapsrapporteringen og hvilke krav
som stilles til etterlevelse av policyer og rutiner i selskapet.
Andre viktige elementer
I tillegg til de fire hovedelementene er effektiv foretaksstyring
avhengig av at nøkkelpersoner i virksomhetene har riktig og
tilstrekkelig kompetanse til å utføre sine arbeidsoppgaver på en
god måte.
Virksomhetens organisering og en tydelig struktur på roller og
ansvar er også viktig for at foretaksstyringssystemet skal fungere
i praksis.
Dokumentasjonen bør være strukturert, tydelig og tilgjengelig
slik at virksomhetens ansatte har mulighet til å benytte den aktivt
i forbindelse med sine arbeidsoppgaver. Samtidig vil denne
dokumentasjonen danne grunnlaget for vurdering av om internkontrollen i virksomheten er tilfredsstillende.
Vurdering av modenhet
Kvaliteten på et foretaksstyringssystem vurderes ofte ut fra en
modenhetsskala. I hovedtrekk illustrerer modenhetsskalaen at det
ikke er tilstrekkelig å ha på plass enkeltelementer eller uformell
internkontroll. Et eksempel på en slik modenhetsskala er gjengitt
nedenfor.
Skalaen er inndelt i fem nivåer hvor nivå 1 – Ustruktruert gir
stor risiko for feil og hvor foretaksstyringssystemet i liten grad
bidrar til å øke selskapets verdi. På den andre siden av skalaen
angir nivå 5 – Integrert at det er liten risiko for feil og foretaksstyringssystemet bidrar til å øke selskapets verdi.
☞
SIRK nr 2. 2011
29
Fag & Aktuelt
Vår vurdering er at god praksis for foretaksstyring er et
modent system angitt som nivå 4 i skalaen. Et modent foretaksstyringssystem kjennetegnes ved at hovedelementene er
designet, dokumentert og implementert på en systematisk og
standardisert måte, og det er etablert en prosess som overvåker
gjennomføring av kontrollaktiviteter for å sikre etterlevelse av
policyer og retningslinjer.
Oppsummering
Foretaksstyring er en viktig del av et selskaps virksomhetsstyring. Virksomhetsstyring omfatter etter vår vurdering alt fra
strategi, budsjett, organisasjonsstruktur, policyer, prosedyrer og
kontrollaktiviteter samt alle rapporteringsverktøy som KPIrapportering, balansert målstyring etc. Foretaksstyringen er en
svært viktig premissgiver i virksomhetsstyringssystemet ved at
det angir retning og prinsipper som organisasjonen skal
forholde seg til for å jobbe effektivt og riktig. Et effektivt fore-
taksstyringssystem er skalert i forhold til selskapets risiko og
kompleksitet, og det er strukturert, dokumentert og overvåket
på en hensiktsmessig måte. Det er styrets ansvar å sette
forventningen til selskapets foretaksstyringssystem.
I lys av den senere tids utvikling innenfor området anbefaler vi
at foretak som ikke har etablert strukturerte og dokumenterte
risiko- og internkontrollsystemer vurderer å utvikle og implementere dette. For foretak som allerede har etablerte systemer,
er det hensiktsmessig å gjennomføre en modenhetsvurdering,
for å identifisere forbedringsmuligheter og gi styret et godt
grunnlag for å kunne vurdere selskapets foretaksstyringssystem. Et godt strukturert og dokumentert foretaksstyringssystem som er gjenstand for betryggende overvåking er en
viktig premiss for at styret skal kunne rapportere på en tilfredsstillende måte.
Foreningen gratulerer følgende
medlemmer med nye titler:
Diplomert Intern Revisor (Dipl. I.R.)
Irene Ekerhovd, Tryg
Merete Sandstad, Riksrevisjonen
Jens Aarsand Sæter, Komrev 3 IKS
Gunnar Jacobsen, Riksrevisjonen
Alf Petter Sætre, NTE Holding AS
Linda Løberg Økseter, Riksrevisjonen
Andreas Grefsrud, Riksrevisjonen
Sun V. Håland, Statoil
Kirsten Steinberg, Norges Bank
Tom Næss, Riksrevisjonen
Mette Elisabeth Holmen, Riksrevisjonen
Bodil B. Brattli, Riksrevisjonen
Runar Pettersen, IF
Certified Internal Auditor (CIA)
Endre Jo Reiten, Sparebank 1
Rahman Mehraliyev, Orkla
Certified Government Auditing Professional
Frank Alvern, Forsvarsdepartementet
30
SIRK nr 2. 2011
Fag & Aktuelt
Solvency II og Internrevisjon
Av [email protected] og
[email protected]o
SOLVENCY II
Solvency II er det kommende, risikosensitive
solvensregelverket for forsikringsbransjen.
Regelverket forventes å tre i kraft 1. januar 2014.
Regelverket er basert på tre pilarer
(se figur 1).
Solvency II vil medføre en rekke nye krav til styring
og kontroll for forsikringsbransjen.
Når dette regelverket innføres, sannsynligvis pr 1.
januar 2014, oppheves også flere av dagens norske
forskrifter og lovbestemmelser da de tilsvarende
forholdene vil bli regulert av Solvency II-bestemmelsene. For de fleste norske forsikringsselskaper,
og da kanskje særlig de mindre selskapene, vil sannsynligvis denne endringen oppleves som ”byrdefull”.
Et av de økte kravene er relatert til internrevisjon.
Pilar 1
Pilar 2
Pilar 3
• Verdsettelse av
aktiva og passiva
• Solvenskapitalkrav
• Internmodeller
• Kapital
• Tilsynsprosessen
• Krav til styring og
andre kvalitative
krav, inkl ORSAprosessen
• Offentliggjøring av
informasjon
• Myndighetsrapportering
Figur 1: Solvency II
Solvency II og internrevisjon
Det kommende Solvency II-regelverket for forsikringsbransjen
har som mål å øke beskyttelse for forsikringstakerne, samt å
bedre stabiliteten i finansmarkedene. Solvency II bygger på tre
pilarer, tilsvarende som Basel II-regelverket (se faktaboks).
Kravene til styring og kontroll (pilar 2) inkluderer en rekke
omfattende og til dels detaljerte krav relatert til risikostyring,
internkontroll, interne prosesser for vurdering av samlet kapitalbehov, utkontraktering og nøkkelfunksjoner. En av de fire
nøkkelfunksjonene som blir obligatorisk for alle selskaper er
internrevisjon. De tre andre er risikostyring, compliance og
aktuar.
I dag stiller Forskrift om risikostyring og internkontroll krav
om å etablere internrevisjon i alle forsikringsselskaper som har
en forvaltningskapital på mer enn 10 mrd kroner. Denne forskriften oppheves for forsikringsselskapenes vedkommende når
Solvency II trer i kraft. Som nevnt stiller også Solvency II krav
om internrevisjon, men dette regelverket inneholder ingen
bestemmelser som gjør plikten avhengig av selskapets
størrelse. Følgelig vil internrevisjon være pålagt for alle forsikringsselskaper og brannkasser.
Pilar 1 omfatter regler om verdsettelse av eiendeler
og forpliktelser, beregningene av de to solvenskapitalkravene (Solvenskapitalkravet – SCR og
Minimumskapitalkravet – MCR), samt definisjoner av
kapital.
Pilar 2-reglene vil stille omfattende krav til selskapenes interne styring og kontroll. Dette omfatter så
vel organisatoriske krav, som krav til dokumenterte
retningslinjer for risikostyringen og krav om at det
regelmessig gjennomføres en egen intern prosess for
vurdering av risikoeksponering og nødvendig
soliditet, den såkalte ORSA-prosessen (Own Risk
and Solvency Assessment).
Under pilar 3 stilles omfattende krav til selskapenes
publisering av informasjon om risikoeksponering,
risikostyring og solvens.
I tillegg til publisering av informasjon til allmennheten,
dekker pilar 3 også bestemmelsene om informasjon
og rapportering til tilsynsmyndighetene.
Hva er internrevisjon under Solvency II?
Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon. Den har til hensikt å tilføre merverdi og
forbedre organisasjonens drift. Internrevisjonen bidrar med å
forbedre muligheten for at organisasjonen oppnår sine mål-
☞
SIRK nr 2. 2011
31
Fag & Aktuelt
settinger gjennom å evaluere og forbedre effektiviteten og
hensiktsmessigheten av organisasjonens prosesser for virksomhetsstyring, risiko og internkontroll.
internrevisjonsarbeidet, skal alle internrevisjoner således planlegges med et avtalt scope/ definisjonsområde med risikobasert
tilnærming.
Solvency II-direktivets krav til internrevisjonen bygger på
etablerte standarder for internrevisjon, og spesifiserer særlig at:
- Internrevisjonen skal vurdere tilstrekkeligheten og effektiviteten av selskapets system for internkontroll og øvrige
elementer i virksomhetsstyringen.
- Internrevisjonen skal være uavhengig, og dermed objektiv.
- Internrevisjonen skal rapportere til selskapets styre og
ledelse.
- Rapportering
I tillegg vil det komme utfyllende retningslinjer og krav til
internrevisjonen gjennom retningslinjer i form av de såkalte
nivå 2- og nivå 3-bestemmelsene under Solvency II. I forslagene som foreligger er det flere føringer som er viktig for
internrevisjonens innretning i selskapene. Dette gjelder bl.a.
følgende områder:
Internrevisjonen skal minst årlig utarbeide en skriftlig rapport
som skal sendes til styret og ledelsen. Rapporten skal som
minimum omfatte eventuelle svakheter og mangler med hensyn til effektiviteten og hensiktsmessigheten av virksomhetens
rammeverk og system for internkontroll, samt vesentlige
svakheter med hensyn til etterlevelse av lovkrav, interne
retningslinjer, prosedyrer og prosesser. Rapporten skal videre
inneholde anbefalinger til tiltak for å utbedre påpekte svakheter, samt oppfølging av hvorvidt tidligere anbefalinger er
fulgt opp. Internrevisjonen skal ha som utgangspunkt at viktige
observasjoner skal rapporteres skriftlig og raskest mulig til de
enheter som er revidert, uavhengig av om det foreligger
mangler eller svakheter.
- Uavhengighet
For å sikre sin uavhengighet fra organisasjonen som revideres,
skal internrevisjonen utføre sine oppdrag med objektivitet, og
ikke være gjenstand for instrukser fra ledelsen.
Internrevisjonen skal kunne utøve sitt oppdrag på eget initiativ
i alle områder av virksomheten og ha frihet til å uttrykke sine
meninger og kommunisere funn til ledelsen og styret. Dersom
internrevisjonen ansetter interne ressurser, bør ikke disse
revidere områder de selv har arbeidet i den siste tiden.
- Myndighet og tilgang
Internrevisjonen skal ha fullstendig og ubegrenset rett til å innhente opplysninger og dokumentasjon i virksomheten som er
nødvendige for revisjonsarbeidet, herunder også rett til rask
levering av dette. Internrevisjonen skal videre ha rett til fullt
innsyn i alle relevante prosesser og aktiviteter i virksomheten,
samt å kunne kommunisere direkte med alle ansatte, uavhengig
av nivå, stillingsbrøk og plassering i organisasjonen.
- Kapasitet
For å sikre god effektivitet og kvalitet i internrevisjonen skal
det påses at funksjonen/ avdelingen er utstyrt med tilstrekkelig
kapasitet og ressurser. Andre oppgaver som tildeles internrevisjonen bør begrenses til et minimum, både av kapasitetsog uavhengighetshensyn.
- Formelle dokumenter
Det skal foreligge en styrevedtatt policy for internrevisjonen
som fastsetter formål, omfang og arbeidsområde, status, krav
til kompetanse, samt oppgaver og ansvar for internrevisjonen.
Policyen bør videre avstemmes med generelle styringsprinsipper i virksomheten, samt inkludere betingelser for utførelse
av andre arbeidsoppgaver.
- Effektivitet
Internrevisjonen skal utarbeide en internrevisjonsplan for å
planlegge fremtidige revisjonshandlinger, med en risikobasert
tilnærming ved prioriteringer. For å sikre god effektivitet i
32
SIRK nr 2. 2011
Internrevisjonen skal også utarbeide en internrevisjonsplan
som spesifiserer arbeidet som skal gjennomføres i de(t)
kommende regnskapsåret/-ene.
Fag & Aktuelt
Planen skal være basert på en metodisk risikoanalyse som
hensyntar virksomhetens aktiviteter og rammeverk/ opplegg
for risikostyring, i tillegg til forventede nye aktiviteter og forretningsområder. Risikoanalysen gir et godt grunnlag for
internrevisjonens omfang og kompleksitet for den kommende
perioden.
Solvency II og få på plass en velfungerende internrevisjon.
Det er flere faktorer selskapene bør vurdere: Når man skal
etablere internrevisjon, omfang av internrevisjonen, hvorvidt
funksjonen skal utkontrakteres eller ikke, samt hvilken ønsket
rolle internrevisjonen skal ha (bekreftelsesfunksjon, rådgiver,
osv).
Internrevisjonen bør påse at alle vesentlige områder inkludert
de områder der lovgiver krever internrevisors uttalelser blir
regelmessig revidert, herunder også oppfølging av tidligere
anbefalinger, at internrevisjonsarbeidet blir dokumentert slik at
det blir enkelt å spore gjennomført arbeid, samt resultater av
internrevisjonen.
En del selskaper er godt i gang med planleggingen av internrevisjonen og struktur for denne, og flere selskaper har allerede
internrevisjon på plass.
Hvilken nytteverdi skaper internrevisjonen?
Internrevisjonen er en del av de tre forsvarslinjene i selskapenes risikostyring og internkontroll. Første forsvarslinje består
av de operative enhetene (driftsmiljøene) som gjennom sitt
daglige virke har ansvaret for og skal sikre god kvalitet i alle
prosesser og produkter.
Andre forsvarslinje, som består av typiske støttefunksjoner
som risikostyring, økonomi, HR, etc. skal rådgi og følge opp
den første forsvarslinjen og bidra til at denne kan ivareta sitt
ansvar på best mulig måte.
Internrevisjonen representerer den tredje forsvarslinjen og er
styrets organ. Internrevisjonen skal gi styret bekreftelser på og
dermed trygghet for at organisasjonens risikostyring og internkontroll er velfungerende. Der det foreligger svakheter skal
internrevisjonen gi anbefalinger til forbedringer som øker
sannsynligheten for at virksomheten oppnår sine mål. Gjennom
sin erfaring og sine uavhengige vurderinger, og i en god dialog
med resten av organisasjonen, vil internrevisjonen derfor skape
verdier ved å bidra til økt sannsynlighet for måloppnåelse.
Hvordan bør forsikringsselskapene forberede
seg på dette kravet?
Forsikringsselskapene bør i god tid før Solvency II-regelverket
trer i kraft, planlegge hvordan de skal sikre etterlevelse av
Internrevisjonen kan være en viktig bidragsyter også før
Solvency II-regelverket trer i kraft, gjennom å evaluere og
rådgi selskapet ift eksempelvis modellarbeid, prosjektstyring
samt IT- og datastøtte (prosjektrevisjoner).
Når regelverket trer i kraft vil følgende områder typisk være
gjenstand for internrevisjonsprosjekter/ -gjennomganger:
- Pilar 1: kvalitetssikring av de forsikringsmessige
avsetningene, vurdering av internmodeller
- Pilar 2: vurdere selskapets prosess for ORSA og selskapets
beregninger av kapitalbehov under ORSA
- Pilar 3: kartlegge/ gjennomgå og vurdere:
• etterlevelsen av styrevedtatt pilar3-policy
• etterlevelsen av den etablerte internkontrollen mht
pilar3-rapporteringen
• kontrolltiltak som er etablert for å sikre datakvalitet
• utkast til pilar3-rapporter
Avslutningsvis kan vi konkludere med at dersom selskapet
allerede har en godt etablert og velfungerende internrevisjon,
vil nok ikke Solvency II-regelverket medføre vesentlige
endringer for internrevisjonen forutsatt at denne følger etablerte standarder for internrevisjon.
Solvency II poengterer allerede eksisterende føringer for god
praksis. Dog er det viktig å merke seg at dersom (når) retningslinjene blir vedtatt, vil denne gode praksis bli et regulatorisk
krav og ikke kun være en føring.
SIRK nr 2. 2011
33
Fag & Aktuelt
Få FATCA på bordet
Janne Britt Saltkjel
[email protected]
Senior manager Deloitte
Finn Edvardsen
[email protected]
Senior manager Deloitte
Amerikanske skattemyndigheter innfører Foreign Account Tax Compliance Act, med
konsekvenser også for norske finansinstitusjoner.
Hva er FATCA?
Amerikanske myndigheter planlegger en ny skatteregel som vil
få implikasjoner for finansforetak langt utenfor amerikanske
grenser: Foreign Account Tax Compliance Act (FATCA). Målet
med FATCA for amerikanske myndigheter er å sikre at amerikanere med finansielle plasseringer og produkter i utlandet,
betaler amerikansk skatt.
FATCA innebærer at de fleste utenlandske finansinstitusjoner
blir betegnet som FFIs, (Foreign Financial Institutions).
Utgangspunktet for IRS1 er da at alle FFI’er blir trukket 30%
skatt på alle kildeinntekter med opprinnelse i amerikanske aktiva, samt på inntekter fra salg av slike aktiva.. Den eneste
måten å unngå denne skatten er å inngå en avtale med amerikanske skattemyndigheter (IRS) om rapportering av slike
transaksjoner og bli en såkalt «participating FFI».
Det som kompliserer bildet for de fleste FFI er at man i tillegg
til å rapportere egen inntekt og transaksjoner også må ta på seg
Figur 1 Målgruppen for FATCA.
1
34
oppgaven med å rapportere på vegne av alle sine kunder.
Det vil si at en norsk FFI må rapportere amerikanske kunder
og deres transaksjoner, beholdninger og inntekter til IRS. Gjør
man ikke dette, vil det bli trukket 30% skatt på alle inntekter
som går til utenlandske individer.
FATCA vil derfor få konsekvenser for FFIs som banker, forsikringsselskaper, finansieringsselskaper kapitalforvaltningsselskaper, fond, meglerhus og andre som kan tenkes å ta i mot
eller formidle denne type inntekter. FATCA bør derfor ikke
bare interesse compliance officers, men også ledelse, systemog prosessansvarlige, og etter hvert også internrevisjonsfunksjoner.
Hva må FFIene gjøre?
Hver FFI som anser seg som berørt av dette, vil måtte foreta en
gjennomgang av eksisterende kunder, for å kartlegge om noen
er amerikanske, såkalte «US persons». Definisjonen av «US
person» er mangfoldig, og kan omfatte ikke bare personer med
amerikansk pass, men også personer som er født i USA uten å
Figur 2 Implikasjoner for FFIs
Internal Revenue Service, det amerikanske motstykke til Skattedirektoratet i Norge.
SIRK nr 2. 2011
Fag & Aktuelt
ha sagt fra seg statsborgerskapet, til personer spom bor i USA i lengre perioder,
til selskaper eiet av «US persons».
Finansforetaket må da søke å innhente
informasjon som avkrefter eller verifiserer hvorvidt kunden er amerikansk. Dette
betinger en bevisst kommunikasjon med
kunden. De minste foretakene kan
gjennomgå sine kunderegistre manuelt,
mens for mellomstore og store finansinstitusjoner vil det være nødvendig med
langt mer sofistikerte metoder, samt system- og prosesstilpasninger for i fremtiden å kunne registrere om en kunde er
en «US person».
FATCA-prosessen fremover
Forslag til lov- og avtaletekst skal foreligge ved inngangen til 2012, mens det
endelige vedtaket er ventet å foreligge
sommeren 2012. IRS skal senest fra 1.
januar 2013 akseptere avtaler med FFI
gjennom et elektronisk søknadssystem
for avtaler gjeldende fra 1. juli 2013. En
illustrasjon av det forventede løpet er gitt
i figur 3.
Første steg for FFIene
For alle FFIer som vet eller er usikre på
om FATCA vil berøre deres virksomhet
og kunder, vil det første steget være å
foreta en overordnet konsekvensvurdering, for å avgjøre hvorvidt FATCA berører dem og eventuelt i hvilket omfang.
Dersom konsekvensvurderingen tilsier at
dette har relevans for FFIet, må foretaket
gå i gang med prosjektplanlegging og
rammeavklaring. Et FATCA-prosjekt vil
involvere potensielt store deler av virksomheten. Et slikt prosjekt bør derfor
drives av en egen prosjektgruppe og ikke
kjøres av compliance-avdelingen alene.
Andre anbefalinger til et prosjekt er
blant annet at det er viktig å identifisere
nøkkelpersoner tidlig og lære disse opp
med henblikk på FATCA. Ut fra den
erfaring man har så langt i bankene
internasjonalt som har begynt å tilpasse
seg FATCA, er det viktig å ikke bruke
for mye tid på å bare ”betrakte”
problemstillingen, men innta en praktisk
holdning til hva dette innebærer. Man må
benytte kompetanse riktig, dvs. at man
lar skatteeksperter tolke reglene og ITeksperter tolke konsekvenser for IT-porteføljen. Mens omfanget varierer, vil det
for FFIer med store kundemasser og produktportefølje og internasjonal tilstedeværelse medføre et omfattende arbeid.
FATCA tidslinje
Uansett er det viktig at man er proaktiv
til FATCA. Selv om ikke alle forhold er
klare ennå, vet vi at innføring av dette
lovforslaget i USA vil påvirke norske
finansinstitusjoner direkte. Det er derfor
viktig å være proaktive til FATCA.
Kilder:
http://www.deloitte.com/view/en_US/us/S
ervices/tax/930c9948e681a210VgnVCM
100000ba42f00aRCRD.htm
Figur 3 Tidslinje for innføring av FATCA.
Så enkelt er det ikke.
SIRK nr 2. 2011
35
Fag & Aktuelt
Bærekraft og samfunnsansvar
– internrevisjonens rolle
Pål Brun, Direktør i PwC, og Wenche Grønbrekk, Manager i PwC
Bærekraft og samfunnsansvar er et risikoområde som får økende betydning
for både private og offentlige virksomheter. Nye reguleringer og økende
forventninger fra interessentene er viktige drivere for denne utviklingen.
Internrevisjonen har her en helt sentral rolle, spesielt gjennom å etterse at
virksomheten har tilstrekkelig kontroll på nye risikoer knyttet til bærekraft
og samfunnsansvar.
1. Introduksjon
”Bærekraftig utvikling innebærer
en utvikling som imøtekommer
behovene til dagens generasjon
uten å redusere mulighetene for
kommende generasjoner til å
dekke sine behov.”
Brundtland-kommisjonen, 1987
Bærekraft, eller Sustainability, er en
global megatrend som allerede har
endret spillereglene i globale markeder.
De globale miljø- og ressursutfordringene har de siste årene fått økt betydning
og fokus, kanskje spesielt med vekt på
klimautfordringene som det nå er bred
enighet om vil ha dramatisk innvirkning
globalt uten aktive tiltak. Andre megatrender som globalisering, urbanisering
og befolkningsvekst vil i større og større
grad påvirke selskapers rammevilkår.
Selskapers ”samfunnsansvar” er et
begrep som det kan være utfordrende å
konkretisere. Det er derfor viktig å være
bevisst på at samfunnsansvaret vil være
forskjellig fra selskap til selskap. Et
gruveselskap vil for eksempel ha helt
andre samfunnsansvarsutfordringer enn
en matvareprodusent. Gruveselskapet og
matprodusenten vil også oppleve svært
forskjellige forventninger fra sine interessenter til hvordan de best skal operere
på en bærekraftig måte. Utgangspunktet
for en verdiskapende tilnærming til
samfunnsansvar må derfor være å forstå
hvilke utfordringer som er mest vesentlige for selskapet.
1
Nyere forskning viser at virksomheter
med en sterk bærekraftskultur, som
frivillig har adaptert miljømessige og
samfunnsmessige standarder, faktisk gjør
det best både når det gjelder markedsprestasjoner og fortjeneste.1 En studie av
konsulentselskapet Mercer i 2009,
konkluderte med at integrering av
Environmental, Social and Governance
(ESG) faktorer i 86 prosent av tilfellene
hadde en nøytral eller positiv effekt på
utbytte.2 Selskaper som bevisst styrer
risikoer knyttet til bærekraft og samfunnsansvar, får altså ofte mer igjen enn
kun et godt rykte.
Nye reguleringer og økende forventninger fra interessentene innebærer at etterlevelse av krav fra myndigheter, kunder,
investorer, NGOer og andre interessenter
blir stadig viktigere for norske virksomheter. Internrevisjonen har en helt
sentral rolle i å etterse at virksomheten
har tilstrekkelig kontroll på nye risikoer
knyttet til bærekraft og samfunnsansvar.
Det er et økt behov for solid virksomhetsstyring, med et bredere fokus på risiko som inkorporerer miljømessige og
samfunnsmessige krav og forventninger.
2. Hvilken betydning har dette
for norske virksomheter?
Nye risikoer. Norske og internasjonale
bedrifter står overfor et endret risikobilde, både når det gjelder utfordringer
knyttet til globalisering, men også med å
forholde seg til forventninger fra interessenter. Det stilles høyere krav til samfunnsansvar og etisk opptreden for at
selskaper skal beholde sin ”license to
operate”. Investorer på sin side stiller i
økende grad krav til bærekraftig verdiskapning, og inkorporerer miljømessige
og sosiale standarder inn i sine investeringsbeslutninger, samtidig som det
stilles strengere krav til bærekraftsrapportering. Noen sentrale risikofaktorer knyttet til bærekraft og samfunnsansvar er videre innen:
• Korrupsjon og økonomisk kriminalitet
• Klimaendringer og reguleringer av
klimagassutslipp
• Krav til bærekraftsrapportering
• HMS og menneskerettigheter i leverandørkjeden
• Forholdet til lokalsamfunn og lokale
interessenter
Omdømme. Globaliseringen av norsk
næringsliv og tilstedeværelse i nye markeder med svakere institusjoner og ofte
mangelfulle regelverk fører til økt risikoeksponering. Risikoen for korrupsjon
øker mens lavere HMS-standarder ofte
utsetter bedrifter for helt andre utfordringer enn i hjemmemarkeder, noe som
kan påføre selskaper betydelige tap og
omdømmemessig risiko. Virksomheters
medvirkning til menneskerettighetsbrudd
er en annen faktor som i økende grad
kommer i offentlighetens søkelys.
Samtidig fører utbredelse av internett og
sosiale medier til økt transparens slik at
etiske normbrudd lettere blir kjent.
Eksempelvis kan dette gjelde ved
involvering i prosjekter i områder med
urbefolkning, sårbar natur eller i korrupte regimer. Ett eksempel er Statoils satsing på oljesand i Canada, der selskapet
nylig ble ilagt en bot for brudd på
Canadas miljølovgivning. Boten var ikke
høy, men saken ble grundig dekket i
Se Robert G. Eccles m.fl: “The Impact of a Corporate Culture of Sustainability on Corporate Behavior and
Performance”, Working Paper 12-035, Harvard Business School, Nov. 04, 2011.
2
Mercer, "Shedding Light on Responsible Investment: Approaches, Returns, and Impacts", Nov. 2009.
36
SIRK nr 2. 2011
Fag & Aktuelt
norske medier, noe som kan ha potensiell negativ innvirkning på Statoils
omdømme. Et annet eksempel er SN
Powers vannkraftssatsing i Chile, der
urbefolkningsgrupper demonstrerte mot
utbyggingen og fikk bred medieomtale i
internasjonale medier.
Et område hvor virksomheter generelt
har et betydelig forbedringspotensial, er
innen leverandøroppfølging. Få bedrifter har oversikt over i hvor stor grad helheten av deres leverandører utfører sine
tjenester på en etisk forsvarlig måte eller
utvikler sine produkter i tråd med akseptable miljøstandarder. Sannsynligheten
for at man i disse tilfellene utsetter seg
for omdømmerisiko avhenger av tre
hovedfaktorer: hvor man opererer (landrisiko), hvilke produkter eller tjenester
man produserer (produktrisiko) og leverandørrelatert risiko. Konsekvensen, på
sin side, kommer an på overtredelsens
karakter, i hvor stor grad bedriften knyttes opp mot en kontroversiell leverandør
eller prosjekt, samt grad av interessentfokus. Her har selskapenes innkjøpsfunksjon en sentral rolle, i å sørge for at man
ikke har ”tikkende bomber” i sin leverandørkjede, men også sørge for en
bevisst håndtering av denne risikoen ved
evaluering av leverandørkontrakter.
Nye reguleringer for samfunnsansvar
og bærekraft er trådt i kraft eller er under
utvikling. Med EU som pådriver, har
flere miljø- og klimarelaterte reguleringer blitt innført også i Norge.
Internasjonal anti-korrupsjonslovgivning
som FCPA og UK Bribery Act får også
økende betydning for norske virksomheter. Krav til bærekraft og samfunnsansvar i offentlige anskaffelser er blitt utarbeidet i en rekke land, og nye EU-direktiver under utarbeidelse, som også vil få
betydning for Norge. I tillegg øker krav
til selskapers bærekraftsrapportering, og
en endring av regnskapsloven er under
utvilkling.
Institusjonelle investorer er i økende
grad opptatt av bærekraft og samfunnsansvar, og er aktive pådrivere i internasjonale initiativer som Principles for
Responsible Investment (PRI) og Carbon
Disclosure Project (CDP). Totalt rapporterte 1550 selskaper sine karbonutslipp
til CDP i 2008, mens PRI har tilslutning
fra over 900 institusjonelle investorer
som representerer mer enn 30 mrd USD.
3. Hvilken betydning har disse
faktorene for internrevisjonen?
Samfunnsansvar og bærekraft er risikoområder som får økende betydning for
alle virksomheter og kan ha stor innvirkning på virksomhetens evne til å nå sine
mål. Styre og toppledelse er med god
grunn i økende grad opptatt av temaet.
Hensynet til bærekraft og samfunnsansvar må derfor integreres i virksomhetens eksisterende prosesser og systemer
og fokus fra internrevisjonen bidrar til å
sikre dette. Internrevisjonen kan bidra til
at virksomheten får:
• Økt forståelse for iboende risikoer,
herunder risikoer knyttet til nye regulatoriske krav og forventninger fra
interessentene
• Bedre prosesser og systemer for å
håndtere risiko gjennom målrettede
revisjoner
• Bekreftelse på overholdelse av standarder og retningslinjer som virksomheten har sluttet seg til
I tilegg kan det bidra til å vurdere etiske,
sosiale og miljømessig risiko i leverandørkjeden. Risikoanalyse og revisjonsplanlegging kan hjelpe å identifisere
vesentlige bærekrafts- og samfunnsansvarsutfordringer og gi muligheter for
økt verdiskapning, som illustrert i figur 1
under.
Ifølge Stortingsmelding nr. 10 (20082009), ”Næringslivets samfunnsansvar i
en global økonomi” innebærer samfunnsansvar at ”bedrifter integrerer sosiale og miljømessige hensyn i sin daglige
drift og i forhold til sine interessenter.
Samfunnsansvar innebærer hva bedriftene gjør på en frivillig basis utover å
overholde eksisterende lover og regler i
det landet man opererer.” Virksomheter
har m.a.o. et ansvar ”beyond compliance”, noe som innebærer at det ikke holder å etterleve lover og regler, men at
man også må imøtekomme interessentenes forventninger. Gode systemer og
prosesser for å fange opp og etterleve
interessenters forventninger kan gi betydelige bidrag til å redusere virksomheters risikoeksponering.
4. Konklusjon
Ved å fokusere på langsiktig verdiskapning, kan selskaper være i forkant av
reguleringer og redusere operasjonell
risiko. En proaktiv risikohåndtering i
form av inkorporering av faktorer relatert til bærekraft og samfunnsansvar kan
videre gi betydelige kostnadsbesparelser
og styrket forhold til interessenter og
samfunnet for øvrig. Dette kan videre gi
selskapene et styrket omdømme i samfunnet og blant samarbeidspartnere,
gjøre virksomheten mer attraktiv for
Figur 1: Proaktiv risikohåndtering gir muligheter for økt verdiskapning.
Et annet eksempel der internrevisjon
spiller en sentral rolle er i å vurdere kvaliteten på bærekraftsrapportering i henhold til god praksis. Retningslinjene fra
Global Reporting Initiative (GRI) er i så
måte blitt en global standard for bærekraftsrapportering.
potensiell arbeidskraft, øke kundelojalitet
og salg, samt øke mulighetene for tilgang til markeder. Bærekraft og samfunnsansvar får økende betydning i både
private og offentlige virksomheter.
Internrevisjonens rolle er derfor å etterse
at virksomheten har tilstrekkelig kontroll
på de nye risikoene knyttet til bærekraft
og samfunnsansvar.
SIRK nr 2. 2011
37
Fag & Aktuelt
Engasjerende paneldebatt
Hvilke preventive tiltak kan arbeidsgiver iverksette for å
beskytte seg mot økonomisk kriminalitet, omdømmerisiko, skadeverk, lekkasje av konfidensiell informasjon,
uten å bryte lov og enkeltmenneskers personvern?
Dette var problemstillingene da arbeidsutvalget i
Mislighetsnettverket inviterte til paneldebatt i høst.
Byline: Vivian Ellingsen Gotaas
Foto: Magnus Digernes
Mediebildet er fylt av nyhetssaker hvor ansatte har gjort seg
skyldig i misligheter, og mye oppmerksomhet er rettet mot
granskningsarbeidet som følger i kjølvannet av en mislighetssak. Arbeidsutvalget for mislighetsnettverket tror mye av
løsningen for å unngå denne type kriminalitet ligger på det
preventive området, og ønsket derfor en debatt rundt temaet.
Benket rundt panelbordet satt Datatilsynets leder for tilsyns- og
sikkerhetsavdelingen, Leif. T. Aanensen, Fafo-forsker Mona
Bråten, tidligere førstestatsadvokat i Økokrim, og nåværende
partner og leder av BDOs granskningsenhet, Erling Grimstad,
samt Øyvind Danielsen fra Statoil, sikkerhetsekspert med tretti
års fartstid på området. Møtelederjobben ble ivaretatt av partner og personvernsekspert Lars Erik Fjørtoft fra KPMG.
Etter en innledende runde av debattantene, hvor erfaringer og
synspunkter ble luftet, begynte selve debatten. Mye av debatten rettet seg mot den rammen personopplysningsloven gir, i
form av begrensninger, men også muligheter. Davidsen sa at
han var skeptisk da loven kom, men har etter hvert blitt mer
positiv til loven.
Lav kunnskap om personvern
Bråten fremhevet betydningen av at arbeidsgivers styringsrett
er begrenset av lover som personopplysningsloven, arbeidsmiljøloven, forskjellige hoved- og tariffavtaler, samt ikke-lovfestede rettslige prinsipper. Likevel har arbeidsgivere lav kunnskap om temaet personvern, ifølge forskning på feltet. 42 % av
de spurte arbeidsgiverne som deltok i en undersøkelse, hadde
liten eller ingen kunnskap om dette området. Fafo-forskeren
fremhevet også at skulle arbeidsgiver foreta kontroll og overvåking av ansatte, måtte en del forutsetninger være oppfylt,
som åpenhet om formål og bruk, nødvendighet/saklighet,
proporsjonalitet, medbestemmelse og samtykke fra den ansatte.
Aanensen mente at disse forutsetningene bidrar til en balansering av makt, og at man på denne måten unngår maktmisbruk
fra arbeidsgivers side. Fjørtoft var av den oppfatning at maktforholdet mellom arbeidsgiver og en ansatt er prisgitt flere
forhold, og trakk frem eksempler fra det virkelige livet som
eksempelvis bruk av kjørebok for å loggføre de ansattes
aktiviteter. Ifølge ham var personopplysningsloven dynamisk.
Den forplikter, men gir også gode muligheter. I de tilfellene
man er i tvil, er det bare å søke råd hos Datatilsynet. Aanensen
støttet dette og opplyste at fire jurister satt klare i førstelinje
hos Datatilsynet for å svare på spørsmål. Man har også
anledning til å ringe anonymt hvis man ønsker det.
38
SIRK nr 2. 2011
Lars Erik Fjørtoft (KPMG), f.v. var en engasjert møteleder da
det ble arrangert paneldebatt i mislighetsnettverket. I bakgrunnen ser vi panelet bestående f.v. Mona Bråten (Fafo), Leif T.
Aanensen (Datatilsynet), Øyvind Danielsen (Statoil) og Erling
Grimstad ( BDO).
Heller preventive tiltak enn overvåking
Grimstad viste til at det er en trend at man unnlater å gjøre
innsyn på grunn av at man er ”redd” for Datatilsynet. Det er
mange tiltak man kan iverksette, før det blir aktuelt å gå til
overvåkning av en person, og Grimstad var av den oppfatningen at forebyggende tiltak er viktigere enn overvåkning, som for
eksempel fjerne muligheter til personlig vinning (fra kontanter
til elektronisk betaling) og ha høy grad av oppdagelsesrisiko
gjennom gode interne kontrollrutiner, arbeidsdeling, fullmakter
etc. Andre interne preventive tiltak, i stedet for overvåkning,
var ”social engineering”: Code of Conduct (etiske retningslinjer), sanksjoner, samt null-toleranse med hensyn til mislighet.
Dessuten er det viktig å etablere en organisasjonskultur som
sier fra/bryr seg dersom noen omgår rutiner/regler. Det vil si
kultur i form av tydelig lederskap, risikoevaluering, avvikshåndtering, gode økonomiske systemer, fullmakter, rullerende
roller, intern revisjon, kompetanseoppbygging, fakturakontroll,
saksbehandlingsregler v/mistanke, samt varslingssystem.
Stikkordet er transparens
Møteleder Fjørtoft oppsummerte den spennende debatten med
følgende avsluttende punkter:
Det er ikke Datatilsynet som bestemmer alt når det gjelder
personopplysningsloven. Det er mange grensesnitt, og personopplysningsloven vil og må til tider være en ”gummistrikk”.
Ved utøvelse av kontroll av ansatte påhviler det arbeidsgiver et
stort ansvar. Stikkordet er transparens. Det skal være kjent at
denne type kontroll gjennomføres. Samtidig er det viktig at
arbeidsgiver viser måtehold med kontrollaktiviteter. Ansatte
som opplever at arbeidsgiver vil ha full kontroll, kan føle dette
krenkende, og arbeidsplassen som lite attraktiv.
Publikum deltok aktivt under paneldebatten, og mange viktige
problemstillinger ble debattert. Arbeidsutvalget noterte at det
var stor interesse for denne type arrangementer, og planlegger
en ny paneldebatt allerede neste vår.
Fag & Aktuelt
Informasjonsinnhenting og -analyse, et
nytt kurs utviklet av nettverk misligheter
av Ellen Brataas, generalsekretær
Den 8. november møtte 35 spente kursdeltakere- og forelesere
opp på Hotel Bristol for en premiere på nettverk misligheter
sitt nyutviklede kurs: «Informasjonsinnhenting og –analyse».
Dagen var lagt opp som en kombinasjon av forelesninger
understøttet av et case som fulgte oss gjennom hele dagen.
En artig avslutning på dette kurset var at journalistene Aslak
Eriksrud og Christian Steffensen fra TV 2 fortalte hvordan de
hadde jobbet med å nøste opp «Hermansen-saken». På en
underholdende måte fortalte de hvordan de hadde innhentet og
analysert informasjon som til slutt førte til at Økokrim rettet
straffeansvar mot tidligere administrerende direktør i Store
Norske Spitsbergen Kullompani (SNSK), Robert Hermansen
(Røde-Robert).
Kursleder Mariann Hagen Grundtjernlien og foredragsholder
Kjerstin Angelfoss Jørpeland, begge fra Statoil.
Kjerstin H. Angelfoss Jørpeland fra Statoil gav deltakerne en
innføring i Integrity Due Diligence (IDD) og kom med mange
tips knyttet til eksterne kilder og verktøy for informasjonsinnhenting. Maria Puhr fra Riksrevisjonen delte sine erfaringer
rundt informasjonsinnhenting rundt mislighetsundersøkelser og
vi fikk et innblikk i hvilke søkbare registre det er mulig å innhente informasjon fra. Deltakerne kunne omsette kursinnholdet
til praksis samme dag som de var tilbake på jobb.
Foredragsholdere Aslak Eriksrud og Christian Steffensen fra
TV 2.
Foredragsholdere Mariann Hagen Grundtjernlien (Statoil),
Dag Nenningsland (Riksrevisjonen) og Maria Puhr
(Riksrevisjonen) samt deltaker Esa Leporanta fra Forsvarsdepartementet.
Journalistikk og revisjon har mange likhetstrekk: Det handler
om å innhente relevant informasjon fra pålitelige kilder og
analysere informasjonen for å konkludere på saken.
Avslutningsvis gjelder det å kommunisere budskapet på en
måte som appellerer til mottakeren. Når det er sagt, er det nok
likevel sett utenifra, hakket mer spennende å være journalist
enn revisor. De skulle bare visst – de som ikke vet bedre!
Deltakere og gruppeøvelse.
SIRK nr 2. 2011
39
Fag & Aktuelt
Faglig integrasjon og samarbeid mellom
profesjoner
Alf Martin Hansen
Forfatteren leder for tiden Promoterings- og informasjonskomiteen i NIRF og var tidligere leder for ITnettverket. Han er sterk tilhenger av faglig samarbeid og
integrasjon.
Den gamle Kommunikasjons- og informasjonskomiteen i
NIRF er omdannet til Promoterings- og informasjonskomiteen
med oppdrag å promotere profesjonen. Vi møter tilstøtende
fagområder i vårt daglige virke, og flere elementer av disse
fagområdene tas etter hvert opp som en naturlig del av vår
profesjon. At profesjonen vår er i utvikling må vi derfor
forholde oss til. Bl.a. har medlemsbladet skiftet navn fra
Internrevisoren til SIRK for å inkludere flere fagområder og
funksjoner i leserkretsen.
Kjernen vil alltid være faglige standarder i NIRF/IIA, tett
linket opp til intern kontroll og risiko-vurderinger beskrevet i
COSO – som det etter hvert foreligger i flere utgaver av. Men
også et antall andre metodikker, firmaer og foreninger befatter
seg med risikovurderinger i sin alminnelighet eller har et
risikovurderingselement i seg.
Å høre en ekspert i IT-revisjon og -sikkerhet snakke kan for
det utrenede øre høres fremmed og vanskelig ut. NIRF’s
grunnkurs i IT-revisjon legger derfor vekt på at alt vi “allmenrevisorer” vet om intern kontroll og revisjon også gjelder
innenfor IT, selv om det naturligvis kommer stoff i tillegg, alt
etter hvor dypt man går.
Kvalitetsstyring er et begrep som har mange likhetstrekk med
intern kontroll. Over tid beveger hovedfokus seg også her fra
prosessbeskrivelser og etterlevelse til vurderinger av risiko og
hensiktsmessighet. Enkelte har en forestilling om at ISO 9001
(generell) og 14001 (miljø) er komplisert. Tvert i mot formuleres viktige temaer befriende enkelt og forståelig, f.eks. når det
gjelder krav om ledelse og til dokumentbehandling. ISO kan
derfor fungere utmerket som tilleggsmetodikk for interne
revisorer. Siste skudd på stammen er for øvrig ISO 31000 med
system for risikovurderinger som ligner ganske mye på en
operasjonalisering av COSO.
IT er allerede nevnt. IT-sikkerhet slik det er formulert i ISO
27001 osv. gjelder system for og krav til intern kontroll,
naturligvis med risikovurderinger. Det som foregår på maskinrommet er én ting. Like viktig er den informasjon som skal
behandles og som “eies” av direktører, avdelinger og brukere
der ute. – Er jeg sikker på at ingen uvedkommende får se det
jeg legger inn? – Er de dataene jeg får ut riktige? – Får jeg ut
dataene når jeg trenger dem? Konfidensialitet, integritet og
40
SIRK nr 2. 2011
tilgjengelighet (KIT blant venner) er derfor viktig for MEG, og
jeg som informasjonseier har selv behov for å ha et ord med i
laget når de andre skal avgjøre hvor beskyttelsesverdig MIN
informasjon er og hvilken beskyttelse nettopp MIN informasjon bør få. Da er vi plutselig på vei ut av maskinrommet igjen
og befinner oss på et område som vi “allmenrevisorer” har
større forutsetninger for å skjønne enn de fleste.
Andre eksperter snakker om governance (eller virksomhetsstyring) istedenfor intern kontroll. – Når er det intern kontroll
og når er det governance? Det kommer dels an på emnet og
hvem som snakker. I enkelte miljøer blir omtrent alt kalt
governance. I andre sammenhenger er governance mer overordnet styring. For meg handler intern kontroll hovedsakelig
om å styre og kontrollere nedover, mens governance handler
om å sikre styring oppover. Da har vi i alle fall nevnt tendensene.
Sikkerhet er et annet begrep med litt forskjellig betydning, som
dels dekker safety og security på engelsk. Uten å gå i detaljer
har man versjoner som fysisk sikkerhet, IT-sikkerhet (gjerne
knyttet til ISO 27001) og rikets sikkerhet med egen lov med
forskrifter. Felles er at dette er ting som uten tvil er særlig
viktig og innenfor de forskjellige områdene.
Disse forskjellige områdene har ofte egne metodikker og foreninger. Alle mener i utgangspunktet at nettopp de selv er best
og står mest sentral. Alle “eier” de en flik av sannheten. Men
hvem representerer helheten? Hvem er “paraplyen” som de
forskjellige naturlig hører inn under, og hvem er fortolkeren
som kan forklare hvordan delene henger sammen? Hvem er
integratoren?
Jeg ser for meg at de “tyngste” områdene henger sammen
omtrent slik:
IT med COBIT, ITIL
og ISO 27001
IIA/NIRF
med COSO
Kvalitet med bl.a. ISO
9001, 14001 og 31000
Det felles kjerneområdet
(som er større enn
antydet på figuren) har
sammenfallende mål:
• Nå målene våre
• Gjøre kundene fornøyd
• Sikre gode prosesser
og produkter
• Håndtere risikoer
• Styring og kontroll
– også innenfor IT
• Kommunikasjon og
gjensidig læring
Fag & Aktuelt
Dette er grupper med mål som alle kan si seg enig i. Noen
metodikker er sterkere i å understøtte noen av målene enn
andre. Dersom vi kan nå flere av disse målene samtidig, gjør vi
en bedre jobb for våre eiere og våre kunder. Integrasjon
mellom områdene vil derfor sannsynligvis øke vår totale
måloppnåelse.
Områdene representeres i Norge i dag hovedsakelig av NIRF,
ISACA og NFKR. Det første spørsmålet er hvilken av disse
foreningene som kan representere og tolke helheten. “Riktig
svar” er at disse foreningene til sammen representerer mye av
helheten. NIRF har allerede samarbeidsavtale med dem begge.
Det andre spørsmålet om hvem som best kan fortolke helheten
er vanskeligere å besvare. I den utstrekning ingen av foreningene makter dette vil dette måtte overlates fullt ut til konsulentbransjen. Kvalitetsverden har sendt inn en “god søknad” ved
lanseringen av ISO 31000. Å inkludere metodikk som lanseres
og “eies” av andre i forklaringsmodellen er likevel en vesentlig
større oppgave.
For meg er det naturlig at NIRF tar mål av seg til å være den
generelle, den videst favnende og den som forklarer hvordan
delene går opp i helheten. Arbeidet er for så vidt begynt
gjennom omdøping av Internrevisoren til SIRK, gjennom
arbeidet i nettverksgrupper for finans, IT, misligheter og statlig
sektor. Tematisk ser man at vi mangler nettverksgruppe for
kvalitet. Ut fra oppslutningen om det felles temamøtet sammen
med NFKR i vår kan potensialet her være betydelig.
I tillegg er det nødvendig å våge å være den mest sentrale, den
som integrerer. Mot er mangelvare her i verden. Jeg ser fram
til NIRF som en modig forening i tiden som kommer.
SIRK nr 2. 2011
41
Fag & Aktuelt
Reisebrev fra den Internasjonale
Konferansen i Kuala Lumpur
ved Martin Stevens, president NIRF
Det er først når man går langs broen
fra flyet til terminalbygningen og
kjenner lukten av varm, fuktig luft
man tar inn over seg at man har reist
hele 56 breddegrader sydover til litt
over 3 grader nord. Kuala Lumpur er
en stor og moderne flyplass som til og
med har egen jungelhage. Menneskene
er vennlige og ja, de snakker engelsk.
virke. Etter dette innlegget var det ikke
vanskelig å stå med hodet hevet som
intern revisor i tråd med konferansens
motto som var ”Standing tall”.
Konferansestedet lå i skyggen av tvillingtårnene til Petronas, det nasjonale oljeselskapet. Omkranset av et parkanlegg
komplett med kunstig innsjø og kortklippet gress. Greit det var litt varmt å gå
der på dagtid, men ved solnedgang sittende ute med en kald drikk var temperaturen perfekt. Og så var det konferansen!
Konferansen samlet interne revisorer fra
alle verdens hjørner. Naturlig nok var den
største kontingenten fra Asia og vertslandet Malaysia, men her var det bl.a.
afrikanere, søramerikanere og noen få
skandinaver i tillegg. Det var så mange
der at hver gang jeg traff igjen noen jeg
kjente fikk jeg en følelse som om det var
en lenge savnet venn.
Konferansen startet med et høydepunkt
som satte et mål for de som skulle
komme etter. Lord Smith of Kelvin
snakket om internrevisjonens nytteverdi
fra et revisjonsutvalgssynspunkt. Lord
Smith, nei han er ikke engelskmann men
skotte, er en tungvekter innenfor
Corporate Governance (bl.a. var han
forfatter av Smithrapporten om Corporate
Governance fra 2003). Han har i dag
styreverv og er leder av revisjonsutvalg i
flere børsnoterte selskap i UK. Her var
det en mann som forsto nytteverdien av
intern revisjon – ”dere er mine øyne og
ører i organisasjonen”, som han uttrykte
det. Han verdsatte høyt ikke minst den
uformelle kontakten med revisjonsdirektør som kunne hjelpe ham å peile inn på
områder som hadde behov for ledelsens
oppmerksomhet. Her var en mann som
også skjønte at internrevisoren ikke er en
endimensjonal karakter men ideelt sett
måtte kombinere egenskapene av
Sherlock Holmes, Sigmund Freud,
Mahatma Gandhi og Machiavelli! Aldri
har jeg hørt at en som ikke er intern
revisor har en slik innsikt i vårt arbeid og
42
SIRK nr 2. 2011
En slik høyde som innledningen innebar,
viste seg umulig å overgå, men resten av
konferansen ga meg nyttige innblikk i
status og utviklingen av profesjonen. Da
vi delte oss i mindre fora var mange av
foredragsholderne fra eksterne revisjonsselskaper eller deres konsulentavdelinger.
Jeg undres noen ganger over hvorfor de
praktiserende revisorene ikke skulle ha
innsikt nok til å lære fra seg til sine likemenn, men jeg må vel respektere at innimellom har de som er delvis på utsiden,
den beste innsikten. Gjennomgangstemaer
var samordning av risiko og krontrollfunksjoner, å følge opp de strategiske
risikoer og å være lydhør for styrets
behov for informasjon.
Og så skjedde det noe uventet. Jeg så på
programmet at det skulle være et foredrag
fra en malaysisk politiker og jeg tenkte
her kommer pliktløpet. Passer greit til en
ettermiddags blund. På scenen kom Idris
Jala og inspirerte oss alle. Det viste seg at
han ikke var noen innavlet politiker, men
en forretningsmann som hadde snudd det
nasjonale flyselskapet Air Malaysia fra
dundrende underskudd til plussresultater,
og som nå ga seg i kast med gjennomføring av et utviklingsprogram for landet
med direktemandat fra statsministeren.
Målet er ikke ringere enn å løfte Malaysia
opp til første verdens nivå innen 2020.
Prosjektet er delt inn i en økonomisk og
en styringsmessig omformingsplan. Er
ikke det noe vi har hørt fra politikere så
mange ganger før, løfter…….? Men, og
her kommer erfaringen fra privat virksomhet, her hadde man greid å fastsette
konkrete og målbare mål, og man forpliktet seg til halvårlig og årlig detaljert
tilbakemelding i forhold til disse målene.
Som han sa: Her blir folket våre revisorer
– de kan selv vurdere om forbedringene
virkelig har funnet sted, ikke minst fordi
planene på en eller annen måte treffer så
godt som hele befolkningen. OK, det
høres idealistisk og høytflyvende ut, men
det de hadde gjort i tillegg var å sette ned
et ekspertpanel bestående av toppbyråkrater (ikke politikere) fra utlandet som
skulle vurdere om de offentlige programmene virkelig holdt mål. For meg var det
helt uhørt at et politisk program skulle
vurderes av utlendinger utenfor innenlandsk politisk kontroll! Men hvis du
mener virkelig alvor med innsatsen så er
det kanskje ikke så dumt….. Så et foredrag jeg hadde trodd skulle være søvndyssende var som et pust av frisk luft.
Her var det en mann som virkelig ville få
på plass ambisiøse planer på statsnivå!
Malaysia viste seg fra sitt beste når det
gjelder god mat og drikke til en rimelig
penge. Dette var et majoritetsmuslimsk
land som undergravet fordommene.
Menneskene var hyggelige og hjelpsomme overalt, og det var høy deltagelse
også av kvinner i arbeidslivet. Det eneste
jeg ergret meg over i Kuala Lumpur var
at det lignet slik på en amerikansk midtvestby. Her var det bilen som var konge.
Her var sentrene spredt med lengre enn
gangavstand. Det var få busser, og med
bilkøer mye av dagen. Lyspunktet for
meg var metroen som var et raskt fremkomstmiddel som bandt sammen noen av
de viktigste stedene for oss turister.
Vurderer du å dra på Internasjonal
Konferanse til neste år? Det blir 8. - 12.
juli i Boston, Massachusetts – ikke fullt
så eksotisk som Malaysia men sikkert
like mye vitamininnsprøyting og like
opplevelsesrikt. Det anbefales å være
med!
Fag & Aktuelt
ECIIAs Internal Auditing European
Conference 2011: Moving forward
ved Tor Solbjørg, Redaksjonskomiteen
Den årlige europeiske internrevisjonskonferansen ble arrangert i
Madrid fra 19. til 21. oktober, med
over 460 deltakere. Det var slett
ikke bare europeere som hadde
funnet veien til den spanske hovedstaden. En rask opptelling viste 45
nasjoner, og bortsett fra Oseania var
alle verdensdeler representert – ikke
minst stilte asiatene sterkt.
Geografisk var det altså større
spredning enn konferansens navn
skulle tilsi, det samme gjaldt profesjonene som deltok. Vi støtte på
både controllere, risk managere og
representanter for mange andre
yrkesgrupper.
Instituto de Auditores Internos de España
hadde utvilsomt en heldig hånd med
arrangementet, selv om enkelte av oss
fra kontinentets nordlige utkanter nok
opplevde deler av opplegget som litt mer
”laidback” enn vi er vant til. Tiden
kunne innimellom vært noe mer effektivt
utnyttet.
Ekstraordinært uforutsigbare utsikter
Den økonomiske krisen i Europa satte
naturlig nok sitt preg på konferansen,
både i forelesningene og i praten over
kaffekoppene. De siste års begivenheter
og de store utfordringene som EUs toppledere jobbet med på samme tid som
konferansen fant sted, gir grunnlag for
selvransakelse og representerer en betydelig utfordring for oss internrevisorer,
som for mange andre. Temaet var også
berørt i ECIIAs styreleder Phil Tarlings
velkomsthilsen i programmet: ”The turbulent times the world economy is living
presents great challenges to our profession which means also great opportunities.
Moving forward we must face those
challenges to add value to our organizations and help them to navigate these
years through our strategic vision while
also maintaining our independency and
objectivity.”
Et knippe norske deltakere nyter en kaffepause. Fra venstre: Cecilie Thorberg, UiO,
Jørgen Bock, NAV, Kjerstin Album Arntzen, UiO og Solbjørg Lie, NAV.
Interessante foredrag, bl.a. om oppdatering av COSO-rammeverkene
Foreleserne dekket et bredt spekter av
relevante og beslektede tema, inklusive
internrevisjon (noe annet ville overrasket), intern kontroll, risikostyring,
governance, it-governance, compliance,
misligheter og rapportering/anbefalinger.
Det ville føre alt for langt å gå inn på de
ulike foredrag, men jeg nevner gjerne det
innledende innlegget til David
Landsittel, styreleder i COSO. Han
orienterte om arbeidet i COSO, som har
følgende fokusområder: intern kontroll,
risikostyring og fraud. Det jobbes nå
med oppdatering av internkontrollrammeverket fra 1992, et arbeid som
etter planen skal ferdigstilles i løpet av
oktober 2012. Det er definert 12 nøkkeltemaer for oppdateringen, hvorav ett er å
gjøre rammeverket mindre USA-preget.
COSO har også kartlagt og identifisert
en del utfordringer knyttet til risikostyringsrammeverket COSO ERM, som
det jobbes kontinuerlig med. Siden 2009
har COSO utarbeidet seks såkalte
”Thought Papers” om risikostyring, som
kan lastes ned fra hjemmesiden deres
(Coso.org).
På slike samlinger snapper man alltid
opp et og annet gullkorn. Jeg falt for
dette fra Andrew Tucker, Brunel
University, som foreleste over temaet
”Auditing Corporate Governance
Culture”: ”Kultur er som et såpestykke –
alle vet hva det er, men det er svært
vanskelig å få grep på!”
Blant foreleserne var det én nordmann,
Roar Frøystad (leading auditor, corporate
audit, Statoil). Han orienterte om
”Investigation of ethical misconduct”.
For øvrig sto rundt 20 nordmenn på deltakerlisten, og SIRK har stilt fem av dem
noen spørsmål om konferansen:
☞
SIRK nr 2. 2011
43
Fag & Aktuelt
Intervju med konferansedeltagere
Jorunn O. Haukdal,
Posten
Mo A. Alam,
Nordea
44
Har du deltatt på ECIIAkonferanser tidligere?
No, this was my first ECIIA conference.
Nei, dette var første gang.
Hvordan vil du oppsummere
din opplevelse av konferansens
faglige innhold?
The conference provided a lot of
practical internal audit information.
There were several good tips on how
you can improve on your performance
of certain activities by doing something
slightly differently. There were some
excellent perspectives on the role of
internal audit especially during times of
economic crisis such as the one we are
currently experiencing.
Det var en blanding av bekreftelse på at man
gjør noe riktig og å få noen nye perspektiver.
Det var en god miks av innlegg vedr best
practice og innlegg vedr internasjonal utvikling, spesielt innenfor EU. Innholdet på
konferansen var kort oppsummert en fin
oppdatering og flere nyttige innspill.
Kan du trekke fram ett innlegg
du fant særlig interessant og
givende?
One of the most interesting presentations was from the CAE of Banesto, part
of the Santander Group. I found his
view regarding how internal audit’s
strategy should shift with the economic
cycle, to be both insightful and
practical. It can improve how we can
identify and manage risks and therefore
continuously add value to our audits.
I should also mention that the “Auditing
the Disney way” presentation was a
favourite amongst attendees for obvious
reasons!
Auditing the Disney way av Gary Dean
Hansen, Chief Audit Executive The Walt
Disney Company. Walt Disney Company
bruker, som Posten, en Co-sourcingsmodell,
og det var svært interessant å høre hvordan
de optimaliserte internkontrollen/revisjonen
ved blant annet bruk av denne modellen.
Hva syns du ellers om gjennomføringen av konferansen?
The conference venue was excellent and
the day to day activities were run
impeccably.
I det store og hele bra gjennomført. Det
kunne vært rom for enda flere innlegg dag 1,
forøvrig en fin miks av forelesninger og
sosialt, og mange arenaer for utveksling av
erfaringer med andre deltakere. I tillegg fikk
vi et godt inntrykk av konferansebyen Madrid
gjennom CityTour, museum og flamencodans
på kveldsprogrammet og det som må være
Madrids mest spesielle hotell, designhotellet
Silken Puerta America, som konferansehotell.
Vil du vurdere å delta på senere
ECIIA-konferanser?
Absolutely! So long as the topics are as
engaging and as relevant as they have
been during this conference.
Ja.
SIRK nr 2. 2011
Fag & Aktuelt
Intervju med konferansedeltagere
Jørgen Bock,
NAV
Cecilie Thorberg,
UiO
Einar Døssland,
Faktum Nor AS
Nei, jeg har ikke deltatt på den europeiske konferansen tidligere.
Nei. Internrevisjon er et nytt fagområde
for meg og jeg har verken deltatt på
nasjonale eller internasjonale konferanser
tidligere.
Jeg har deltatt på konferansene tidligere,
spesielt i årene etter min presidentperiode
i NIRF på 80-tallet og noe sporadisk de
siste årene.
Det faglige innholdet var relativt overordnet, men likevel interessant. En del
foredragsholdere var fra Spania og de
orienterte seg mot markeder som vi i
nordeuropa ikke er så godt kjent med.
Eurokrisen og behovene for vekst i
markedene ble det fokusert en del på.
Det var også gode innlegg på virksomhetsstyring og betydningen av god
kultur, i tillegg til spesialspor på for
eksempel IKT trender.
Jeg synes programmet var variert og bra.
Det var mange foredrag med forskjellige
temaer og vinklinger som man kunne
velge mellom.
Selv om 98 % av det faglige fundamentet
for profesjonen ligger fast, og mye er
presentert før, var dette en faglig bra
konferanse som trekker frem de mest
dagsaktuelle temaene og utfordringer for
profesjonen i dag. Visjonen for IIA har i
alle år vært “Progress Through Sharing”.
For å styrke profesjonens stilling i Norge,
er det viktig at fagmiljøet i Europa møtes
for å dele sin faglige utvikling og
erfaringer innenfor profesjonen. Det at
profesjonen lykkes og styrkes i de europeiske land, har også stor betyding for
internrevisjonens videre rolle og utvikling
i Norge.
Det var særlig interessant å høre
COSO`s styreformann fortelle om utviklingen på COSO og COSO ERM.
I forbindelse med finansiell rapportering
står COSO sterkt, men man kan på sikt
tenke seg at COSO og COSO ERM blir
slått sammen.
Egentlig 3 foredrag jeg likte godt. "The
art of presentation, following the Zen
path" ved de la Fuente og de Vega fra
Telefonica I+D ( noen av foredragsholderene på konferansen kunne hatt
nytte av å høre på dette ☺), "Auditing
Corporate Governance Culture" (A.
Tucker, Brunel University) – jeg satt
kanskje igjen med flere spørsmål enn
svar, men likevel svært interessant tema,
og tilslutt Richard Chambers (president
IIA Global) som snakket mer konkret om
rollen til internrevisjonen.
“Focusing on what really counts”
(P. Kaczmar, Electrocomponents) var en
god start på konferansen. Foredraget var
inspirerende og ga mange ideer for
problemstillinger som jeg selv arbeider
med for tiden.
Jeg synes de spanske arrangørene hadde
gjort en god jobb og tilrettelagt for en
flott konferanse. Det var en god
blanding av faglige og kulturelle innslag
på kvelden, særlig fra Spania.
Den praktiske delen fungerte veldig bra.
Simultanoversettingen fungerte overraskende bra. Jeg synes lunsjen var litt sen
og lunsjpausen litt lang, men vi hadde
det veldig hyggelig :-) Kvelden med
sightseeing og coctail-party var også
svært vellykket, arrangøren hadde kun
glemt å gi beskjed om at arrangementet
var utendørs.
Konferansen var bra på den måten at det
var lagt opp til gode arenaer for å møte
nye og gamle kollegaer fra alle land. En
lunch med vin, eller rettere sagt en siesta
på mer enn 2 timer, var noe uvant og
tungt for det videre programmet som
strakk seg til kl. 18.00 på kvelden. Våre
Spanske venner gjorde en kjempejobb
med å skape en hyggelig og sosial aften i
Madrid. Det er bare å gratulere Spania
med en vellykket konferanse!
Ja, det vil vi vurdere.
Helt klart ☺
Selvfølgelig, Nederland var på plass i
Madrid og gjorde god reklame for neste
års konferanse i Amsterdam.
SIRK nr 2. 2011
45
F o re n i n g s - o g p ro f e s j o n s n y t t
Ledernettverket i NIRF
Fridthjof Røer, Chief Internal Auditor,
Orkla ASA
Hva er ledernettverket i NIRF?
Hvem kan bli medlem? Hvor har
de møter? Hvor ofte har de møter?
Dette og flere spørsmål kan du
finne svar på i denne artikkelen:
Ledernettverket i NIRF ble etablert i 2008. Det daværende
styret i NIRF hadde sett behov for et forum der revisjonssjefene i norske offentlige og private foretak kunne møtes og
diskutere faglige spørsmål på en uformell måte.
Det er imidlertid naturlig å starte med å se litt på en forløper til
dagens ledernettverk.
NIRF etablerte i 2001 Professional Practice Committee (PPC)
som skulle gi innspill til styrets og komiteenes arbeid i NIRF.
Sikkord for komiteens rolle var: etablere kontakter,
kreativ/konstruktiv, pådriver, koordinere, ikke utførende.
Komiteens sammensetning ble i utgangspunktet foreslått som:
4 erfarne (seniorer) fra ulike bransjer + Presidenten i NIRF.
Den første komiteen besto av Espen Uvholt (Hydro), Martin
Stevens (Mobile Media), Trygve Sørlie (Gjensidige), Bjørn
Bråthen (Norges Kommunerevisorforbund), Fridthjof Røer
(Orkla), Anne Merete Bellamy (Kredittilsynet) og Harald
Jægtnes (DnB). Espen Uvholt ble valgt til leder. Komiteens
mandat spesifiserte bl.a. målsetting og sammensetting,
oppgaver og arbeidsform:
Mål
Det overordnede målet med å etablere en Professional
Practice Committee (PPC) er å gi NIRF innspill om
temaer som profesjonen i Norge er opptatt av.
Sammensetning
PPC skal ha en sammensetning som sørger for at synspunktene til ledende internrevisjonsmiljøer i Norge blir
fanget opp, diskutert og formidlet til styret.
Nærmere om komiteens oppgaver og arbeidsform
• Innspill fra PPC kan legges til grunn for planer og
aktiviteter i andre av NIRF’s komiteer.
• Det er ikke lagt opp til at PPC skal forestå større
utredninger, arrangementer e.l.
• PPC kan nedsette underutvalg om ønskelig.
• PPC vil så langt det er mulig benytte NIRF’s web
sider til arkivering mv.
Komiteen hadde i starten seks møter i året. Antall årlige møter
ble etter hvert redusert noe, mens antall medlemmer ble utvidet
slik at det i 2008 var kommet opp i 18 medlemmer.
46
SIRK nr 2. 2011
Diskusjonene og arbeidet i PPC var meget givende for deltakerne, men det var likevel en liten interessekonflikt mellom
ansatte i internrevisjon og eksterne leverandører av internrevisjonstjenester.
På denne tiden var det også dukket opp et kommersielt
amerikansk nettverk for ledere i intern revisjon, Executive
Board/Audit Director Roundtable, som også ønsket å rekruttere
norske medlemmer. Medlemskap i dette nettverket var basert
på en høy årlig kontingent, noe som gjorde det lite aktuelt for
flertallet av norske revisjonsledere å være medlem.
Bankrevisorene hadde i mange år hatt sitt eget ledernettverk,
den såkalte revisjonssjefkretsen. Styret i NIRF så således at det
kunne være behov for et eget nettverk for alle internrevisjonsledere, og særlig de som ikke var med i revisjonssjefkretsen. På denne bakgrunn sendte NIRF i 2008 ut
invitasjon til å starte et eget ”Audit Director Roundtable” til
alle norske revisjonsledere som var medlemmer i NIRF.
Det første møtet samlet 16 deltakere fra
offentlige og private
virksomheter og
bekreftet således styrets oppfatning om
behovet for et nytt
nettverk som fikk
navnet ”Nettverk
for ansatte internrevisjonsledere”,
til daglig omtalt
som ”Ledernettverket i NIRF”.
Dette har erstattet
PPC.
Det ble oppnevnt
et interims arbeidsutvalg på fire personer: Fridthjof Røer (leder), Petter Kaareng, Even Rudberg og
Maria Thalman, som i samarbeid med generalsekretæren i
NIRF skulle organisere møtene. Arbeidsutvalget er senere blitt
valgt på ordinær måte i den årlige generalforsamling i NIRF.
For tiden består arbeidsutvalget av Fridthjof Røer (leder),
Petter Kaareng og Teis Stokka.
Alle medlemmer av nettverket betaler en kontingent på 5.000
kr som benyttes til leie av lokaler, bevertning og evt betaling
av foredragsholdere.
Formålet ble fastsatt som følger:
Nettverket for ansatte internrevisjonsledere er et nettverk som
er åpent for ledere av internrevisjonsenheter ansatt i virksomheten.
F o re n i n g s - o g p ro f e s j o n s n y t t
Et forum med formål om å være en velegnet møteplass for
utveksling av erfaringer og synspunkter omkring strategiske,
faglige og administrative temaer.
Aktivitetene i nettverket planlegges og arrangeres av
Arbeidsutvalget (AU). Nettverket er KUN åpent for ansatte
internrevisjonsledere som er medlem av NIRF.
Det er i dag ca 30 medlemmer i nettverket. Siden oppstart har
det vært avholdt fire møter i året hvor det har møtt i gjennomsnitt 20 medlemmer hver gang. Det har ikke vært nødvendig å
leie lokaler idet medlemmene på rundgang har stilt møterom til
disposisjon på egen arbeidsplass. Ved innledningen til møtet er
det ofte gitt en orientering knyttet til denne arbeidsplassen.
Tema for møtene har kommet på basis av innspill fra medlemmene. I tillegg til inviterte innledere har medlemmene også
selv tatt ansvar for å innlede til diskusjon over valgte temaer.
Her følger en oversikt over møtene så langt:
November 2011 hos KLP
Orientering ved konsernsjef Sverre Thornes
Tema ”Veileder for statlige virksomheter som vurderer å
etablere en internrevisjonsfunksjon”
Innledere: Ola Otterdal og Martin Aasness, DFØ.
September 2011 hos Oslo Børs
Orientering om Oslo Børs ved børsdirektør Bente Landsnes
Tema "Master of management-studiet (Governance,
Risikostyring, Intern kontroll) på BI"
Innleder: Flemming Ruud fra BI
Mai 2011 hos Statkraft
Orientering om Statkraft ved adm. dir. Christian Rynning
Tønnesen
Tema "Recognition as a profession: Is it enough?"
Innleder: Ian Peters fra IIA UK and Ireland
Februar 2011 hos Forsvarsdepartementet
Orientering om Forsvarssektoren ved departementsråd
Erik Lund-Isaksen
Tema "Varsling i arbeidslivet - rettslig regulering og
problemstillinger"
Innleder: Mari Hersoug Nedberg fra Datatilsynet
November 2010 hos Norges Bank
Orientering om Norges Bank ved visesentralbanksjef
Jan Qvigstad
Tema "Korrupsjon"
Innleder: Guro Slettemark fra Transparency International
September 2010 hos Telenor
Orientering om Compliance i Telenor ved Compliance Officer
Ellen-Katrine Thrap-Meyer
Tema "Internrevisjonens rapportering til styrer, kontrollkomiteer og ledelse ved Oslo Børs VPS og Helse Nord"
Innledere: Reidar Døli fra Oslo Børs VPS og Tor Solbjørg fra
Helse-Nord
April 2010 hos Statoil, Vækerø
Orientering om Statoils internasjonale virksomhet ved direktør
Ola Morten Aanestad
Tema "Corporate Governance - Hva gjør internrevisjonen i
Statoil og Telenor"
Innledere: Stein Egil Næss fra Statoil og Erlan Netten fra
Telenor
Februar 2010 hos NAV
Orientering om NAV - hvorfor, hva og hvordan ved Arbeidsog velferdsdirektør Tor Saglie
Tema "Erfaringer mht bruk av, samarbeid med og relasjoner
til eksterne leverandører av internrevisjonstjenester"
Innledere: Trine Tengbom fra Forskningsrådet og Solbjørg Lie
fra NAV
November 2009 hos Forsvarsbygg
Tema "Assurance Mapping"
Innleder: Maria Thalman fra Yara og Trygve Sørlie fra
Gjensidige
September 2009 hos Orkla
Tema ”KPI for Internrevisjon”
Innleder: Fridthjof Røer fra Orkla og Petter Kaareng fra
Vinmonopolet
April 2009 hos Nordea
Tema ”Trender i internrevisjon”
Innledere: Terje Klepp fra Ernst & Young og Petra Liset fra
PWC
Januar 2009 hos NAV
Tema "Revisjonsutvalg i Norge - beste praksis"
Innledere: Ingebret G. Hisdal fra Deloitte og John Giverholdt
fra Ferd
September 2008 hos Vinmonopolet
Orientering om Vinmonopolet ved adm. dir. Grøholt
Tema "Risk Management"
innledere Ragnar E. Jensen fra Vinmonopolet og Jan Thomsen
fra Orkla
Mai 2008 hos Statkraft
Tema ”Varsling”
Innleder: Per Yngve Monsen (tidl ansatt i Siemens)
Mars 2008 hos DnB
Oppstart- og konstituering av nettverket
Tema "Trender i internrevisjon 2007 - 2012"
Innleder: Solbjørg Lie, NAV
Medlemmene har også gjennomført to undersøkelser, en om
varsling og en om ressurser i intern revisjon.
Avslutningsvis kan nevnes at det har vært diskutert å slå ledernettverket sammen med revisjonssjefkretsen. Dette har ikke
blitt noe av fordi et slikt sammenslått nettverk ville ha blitt
ganske stort å administrere og fordi revisjonssjefkretsen ser
behov for å diskutere sine spesielle finansfaglige spørsmål i et
eget forum.
SIRK nr 2. 2011
47
F o re n i n g s - o g p ro f e s j o n s n y t t
Tillitsvalgsamlingen 2011
Av Ellen Brataas, generalsekretær
Hver høst inviter NIRF sine tillitsvalgte
og andre bidragsytere gjennom året inn
til en ettermiddag hvor vi utveksler informasjon om hva som skjer og planlagte
aktiviteter på tvers av alle komiteer og
nettverk i foreningen. Torsdag 10.
november samlet vi 48 NIRF-medlemmer hos DNB på Aker brygge (tusen takk
for lånet av lokalene!). Foruten å være et
godt tiltak for å få bedre oversikt over
hva som skjer på tvers av foreningen, er
samlingen også et egnet sted for å bli
kjent med andre medlemmer.
Ettermiddagen ble avsluttet på Latter
hvor Thomas Giertsen og Espen Eckbo
med fler presenterte sin humor-kavalkade
“Lattergalla”.
Vår president, Martin Stevens, ønsket
velkommen og gav en kort orientering
om utkast til internasjonal strategi og
hvordan denne vil påvirke vår nasjonale
strategi. Martin informerte også om
hvilke områder han vil ha fokus på i sin
periode som president de to kommende
årene. Profesjonen har mye å hente på en
mer effektiv og hensiktsmessig promotering, og Martin føler at dette arbeidet er
så viktig at han selv har insistert på å
sitte som styrets representant i
Informasjons- og promoteringskomiteen.
Gjennom promoteringsarbeidet vil foreningen søke samarbeid med organisasjoner og miljøer som har tilknyttede fagområder som våre medlemmer også har
interesse av, herunder kan nevnes NFKR,
ISACA, NUES, NORIMA, SVERMA,
IIA Sverige og Baltikum og opprettelse
av Nettverk Risiko. Martin sitter i ECIIA
Management Board og også her satses
det tungt på Advocacy (promotering) og
vi fikk en kort oppsummering av hvilke
miljøer ECIIA satser mot i kommende
periode.
Komiteer
Den tidligere Informasjon- og kommunikasjonskomiteen ble på årets generalforsamling omdøpt til Informasjons- og
promoteringskomiteen. Den forrige komiteen har lagt ned mye arbeid for å få opp
nye nettsider for foreningen. I tillegg til å
videreutvikle nettsidene, vil den nye
komiteen ha høyt fokus på informasjon
om profesjonens innhold, muligheter og
betydning. Komiteen tar også inn over
seg vridninger i foreningens fokusområder (SIRK og Nettverk Risiko) og
mener at områdene styring, internrevisjon, risiko og kontroll går inn under
komiteens promoteringsmandat.
Informasjons- og promoteringskomiteen
bygger videre på forslag til promoteringstiltak som ble utarbeidet av en intern
promoteringsgruppe i NIRF i fjor.
kursmarkedet for å kartlegge konkurrerende tilbud, alternative samarbeidspartnere, prisstruktur og markedsføringskanaler. Kursporteføljen for neste år vil
foreligge noe senere enn vi er vant til fra
de senere årene, men til gjengjeld satser
komiteen på å kunne legge frem en
kursportefølje som tiltrekker seg både
nye og gamle deltakere fra flere miljøer
enn bare internrevisjon. Som alltid er
komiteen og foreningen avhengige av
innspill til kurs og medlemsmøter, og det
er aldri for sent å spille inn gode forslag
til komiteen eller via sekretariatet.
Vårt 60-årsjubileum på Holmenkollen ble
en stor suksess og Konferansekomiteen
har en stor utfordring ved å videreføre en
like suksessfull konferanse til Ålesund i
2012. Men den utfordringen tar de og det
skal de klare! Komiteen har gjennomført
5 møter og er fortsatt i brainstormingsfasen. Overordnede stikkord/tema så
langt for konferansen er konjunktur –
kommunikasjon – kultur. Komiteen har
tatt utgangspunkt i tilbakemeldinger og
tips etter forrige konferanse og vil gi
deltakerne litt ”beste praksis”-kunnskap,
vil bruke innslag fra lokalmiljøet på
Sunnmøre og jobber med å få både norske og utenlandske trekkplastre. De som
har tips om foredragsholdere med hensyn
til de overordnede teamene bes kontakt
[email protected] eller Ellen i NIRF. En
siste oppfordring fra komiteen: «Vær
ambassadører for konferansen i egen
virksomhet og nettverk, slik at vi også
neste år får bra oppslutning om konferansen.»
Leder av Informasjons- og promoteringskomiteen Alf Martin Hanssen, Statsbygg.
President Martin Stevens, Gjensidige.
48
SIRK nr 2. 2011
I Programkomiteen gjennomføres en
grundig analyse av tidligere års kursportefølje for å få en forståelse av hvem
det er som går på kurs og hvilke behov
medlemsmassen har fremover. Foruten å
ta utgangspunkt i statistiske data fra
tidligere gjennomførte kurs, har komiteen
henvendt seg til ledernettverket og utført
dybdeintervjuer med personer fra andre
miljøer som compliance, intern kontroll,
risk management m.f. Komiteen sonderer
Leder av konferansekomiteen Siv Austad
Hove, IF.
F o re n i n g s - o g p ro f e s j o n s n y t t
Redaksjonskomitéen fikk på tampen av
fjoråret gjennomslag for å endre navnet
på “Internrevisoren” til “SIRK” (Styring,
Internrevisjon, Risiko og Kontroll).
Navneendringen skulle gjenspeile at fagbladet omhandler aktuelle artikler og gir
faglige innspill rundt samfunnsaktuelle
spørsmål som vil være interessante og
fenge også utenfor internrevisjonens
miljø. Det ble informert om temaet for
neste nummer (altså dette!) og litt om
hvordan komiteen arbeider med å sette
sammen et fagblad, ytterligere profesjonalisering og arbeidet for å øke tilgjengeligheten av både papir- og elektronisk
utgave.
skrevet artikler til SIRK samt utarbeidet
og gjennomført et helt nytt kurs,
«Informasjonsinnhenting og –analyse»,
som ble en stor suksess.
Nettverk finans har i høst gjennomført et
spennende nettverksmøte om hvordan
makrobildet og nye regulatoriske krav
påvirker norske finansinstitusjoner. AU
har sendt ut en spørreundersøkelse til
medlemmer i finansnettverket for å kartlegge deres ønsker og bedre forstå behovene bedre. Medlemmer av nettverket er
interessert i gode, faglig tunge foredragsholdere og økt samarbeid internt med ITog mislighetsnettverkene samt tilbud om
mer networking/mingling etter medlemsmøter.
hvor tidsaktuelle utfordringer innenfor
styring og kontroll i statlig sektor vil
være tema. På nettverksmøte 21. november vil DFØ (tidligere SSØ) presentere
sin veileder for statlige virksomheter som
vurderer å etablere en internrevisjon.
Nettverket har erfart at det kan være
utfordrende at nettverk konkurrerer med
hverandre i forhold til overlappende tema
samt at medlemmer er med i flere nettverk.
Nettverk IT-revisjon skal gjennomføre et
to-dagers kurs «Internrevisjon og IT-revisjon, en innføring» i november og planlegger et nettverksmøte i desember hvor
tema vil være «Implementering og revisjon av ITIL Continuity-prosesser».
Nettverket ønske å rendyrke medlemsmøtene til temaer som ligger NIRF og
IIA nært og mener at spesialkurs og medlemsmøter med IT-faglig dybde bør holdes av egnede foreninger, eksempelvis
ISACA og ISF, men hvor NIRFs medlemmer kan delta. Det undersøkes hvorvidt det vil være mulig å integrere ITrevisjon som egen workshop i forkant av
årskonferansene, og også IT-nettverket
ønsker å sette fokus på økt integrasjon
med de andre nettverksgruppene i foreningen.
Leder av Redaksjonskomiteen Janne Britt
Saltkjel, Deloitte.
Foreningens nettverk
Også våre nettverk har konstituert seg og
har avklart ambisjonsnivået for perioden.
Alle nettverkene tar utgangspunkt i ett
nettverksmøte i halvåret. Nettverk misligheter har hatt en travel høst hvor de har
avholdt en vellykket paneldebatt rundt
spørsmålsstillingen «Overvåking og kontroll av de ansatte - hvor går grensen?»,
Leder av nettverk finans Jurgita
Petkevičiūtė, SEB.
Nettverk statlig sektor retter sine aktiviteter mot sin primære målgruppe som er
internrevisorer og andre som arbeider
med virksomhetsstyring i statlig sektor,
ikke offentlig sektor. AU har som mål å
arrangere minst to nettverksmøter årlig
Styrets representant i nettverk IT-revisjon
Jørgen Bock, NAV
Leder av nettverk misligheter Vivian
Ellingsen Gotaas, NAV.
Medlem av arbeidsutvalget statlig sektor
Kari Årdal Bjercke, Ullevål universitetssykehus.
Nettverk for ansatte internrevisjonsledere
er det eneste nettverket i NIRF som er
lukket i den forstand at det kun er åpent
for ansatte internrevisjonsledere.
Nettverket møtes fire ganger i året hos en
av medlemmenes virksomheter. Et av
høydepunktene ved møtene er at konsernsjefen i virksomheten stikker innom
og innleder litt om virksomheten ved
SIRK nr 2. 2011
49
F o re n i n g s - o g p ro f e s j o n s n y t t
oppstart av møtene. Møtene består oftest
av en innledning rundt et tema, etterfulgt
av gode diskusjoner.
Rune Johannessen er medlem av The
Professional Issues Committee (PIC), en
komite som har følgende formål: “To
provide thought leadership and timely
professional guidance to the members
and stakeholders of the internal audit
profession on methodologies, techniques,
and authoritative positions included in
the International Professional Practices
Framework (IPPF) and to comment on,
or support other matters that impact the
internal audit profession.” PIC har
ansvaret for den delen av IPPF som ikke
er obligatorisk, men å anse som veiledninger og beste praksis. Komiteen har et
stort arbeidsfelt å dekke. Stig Sunde er
også med i denne komiteen fra Norge.
Leder av nettverk for ansatte internrevisjonsledere Fridthjof Røer, Orkla.
Teis Stokka sitter i den internasjonale
Ethics Committee hvis hovedoppgave er
å vedlikeholde IIAs etiske retningslinjer
samt fremme en forståelse for og en
etterlevelse av de etiske retningslinjer.
Komiteen er ansvarlig for å vurdere,
etterforske og sanksjonere klager vedrørende manglende etterlevelse og
vurderer klager relatert til brudd på IIAs
etiske retningslinjer. Tidligere har Teis
sittet mange år i PIC.
Fordi internasjonale komiteer består av
medlemmer fra mange land, skjer
møtene for det meste over telefon, webex møter og på mail. Telefonmøter kan i
seg selv være en utfordring gitt de forskjellige tidssoner medlemmene befinner
seg i. Personlige møter skjer normalt to
ganger i året i forbindelse med den
internasjonale konferansen og Midyear
meeting ved hovedkontoret i Orlando.
Oppsummering
Kort oppsummert er det høyt aktivitetsnivå jevnt over i hele foreningen. Det er
artig å registrere at flere nettverk og
komiteer har gjort seg opp tanker om
hvordan fange interessen til andre som
står utenfor vårt eget miljø. Spennende
tanker - mulighetene er mange.
Informasjon fra tillitsvalgte i
internasjonale komiteer
Vår globale organisasjon, The Institute of
Internal Auditors, består av 170 000
medlemmer fra 165 land. Som med
NIRF er også den globale virksomheten
stort sett bygget opp rundt ideelle krefter
fra hele verden. Fire av NIRFs medlemmer sitter i internasjonale komiteer og vi
fikk en innføring i hva disse jobber med
og hvordan.
the profession which might relate to
Standards. The IIASB monitors the
needs from the stakeholders and identifies the emerging issues related to the
internal audit through a number of
sources”. Trygve har tidligere vært
medlem av PIC i flere år.
NIRF er heldig som har så mange
engasjerte tillitsvalgte i foreningen –
Tusen takk til alle sammen!
Rune Johannessen, Nordea.
Trygve Sørlie er med i International
Internal Audit Standards Board (IIASB).
Denne komiteen har ansvaret for å
oppdatere, vedlikeholde og fremme de
obligatoriske delene av rammeverket og
sørge for at standardene er relevante og
aktuelle.
“The IIASB drives action on its mission
through identifying potential issues in
Frank Alvern og Fridthjof Røer.
Teis Stokka, Skattedirektoratet.
50
SIRK nr 2. 2011
Trygve Sørlie.
Einar Døssland og Dag Nenningsland.
1¾TUÑFOESJOHTLVST
%FUFOFTUFLPOTUBOUFFSGPSBOESJOH
(KFOOPNFGGFLUJWSJTJLPTUZSJOHPHJOUFSOLPOUSPMMWJM
FOESJOHTQSPTFTTFSLVOOFHJEFÑOTLFEFSFTVMUBUFS
&OFGGFLUJWJOUFSOSFWJTKPOLBOW¿SFFOTFOUSBMQBSUOFS
7JIKFMQFSJOUFSOSFWJTKPOFONFE¾CMJFOHPECJESBHTZUFS
)BSEVTQÑSTN¾MUBLPOUBLUNFE5FSKF,MFQQ
Q¾FMMFSCFTÑLW¾SFOFUUTJEFS
XXXFZOPBEWJTPSZ
SIRK nr 2. 2011
51
F o re n i n g s - o g p ro f e s j o n s n y t t
Nyheter fra sekretariatet, IIA
og andre samarbeidspartnere
Av Ellen Brataas, generalsekretær
Vi gratulerer vårt æresmedlem og jubilant
Knut Løken med 80-årsdagen
Den 13. november fylte «nestoren» i revisjonsfaget, Knut
Løken, 80 år. Han har gjennom en betydelig innsats i over 60
år vært en drivkraft og inspirasjon for utviklingen av revisjonsfaget. Vi setter stor pris på Knut som fortsatt ofte er å finne på
foreningens årskonferanser hvor han med sitt humør og vittige
humor sprer glede til forsamlingen.
Gratulerer med dagen som var, Knut!
Veileder for statlige virksomheter som vurderer
å etablere en internrevisjonsfunksjon
I 2008 fikk SSØ i oppdrag fra Finansdepartementet å gjennomføre en kartlegging av internrevisjoner og lignende funksjoner.
Oppdraget resulterte i SSØ-rapport 4/2009 «Internrevisjon og
intern kontroll i statlige virksomheter – en kartlegging». På
bakgrunn av kartleggingen har SSØ utarbeidet en «Veileder for
statlige virksomheter som vurderer å etablere en internrevisjonsfunksjon». SSØ som skiftet navn til Direktorat for økonomistyring (DFØ) i november forklarer: «Formålet med denne
rettleiaren er å støtte leiarar i statlege verksemder som skal ta
stilling til om ein internrevisjonsfunksjon er eit eigna verkemiddel i leiinga sitt arbeid for å styrkje verksemdas samla
styring og kontroll. For verksemder som bestemmer seg for å
etablere ein internrevisjon, gir rettleiaren òg eit grunnlag for å
velje ein passande modell for å organisere internrevisjonsfunksjonen og til å utvikle rutinar.» Les mer om dette arbeidet
på side 22.
«Midlertidig arbeidsutvalg»: Rune Johannessen (Nordea),
Erik Wisløff (Telenor), Inger Wraamann (Oslo forsikring),
Jarl Pedersen (Statoil Fuel Retail) og Unni Kristine Rognlien
(Helsedirektoratet).
Vi styrker det Nordiske samarbeidet
IIA Sverige og IIA Norge har alltid hatt et godt samarbeid.
En lørdags formiddag møttes presidentene og generalsekretærene i foreningene for å diskutere hvordan vi kan gjøre nytte
av hverandres foreninger i enda større grad, og kanskje også
overføre kunnskap og erfaringer til de Baltiske landene.
Det var et konstruktivt møte som resulterte i mange konkrete
forslag. Emner og tiltak som ble diskutert var bl.a.:
- Hvordan kan vi sammen skape et bedre tilbud til internrevisorer i ledende stillinger (Senior Auditors)?
- Hva kan vi bidra med i forhold til erfaringsutveksling av
bransjekunnskap på tvers av landene?
- Hvordan kan Skandinavia best legge til rette for og hjelpe
de baltiske internrevisjonsforeningene?
Nytt nettverk er etablert: Nettverk Risiko
En gang internrevisor, alltid internrevisor…eller kanskje ikke?
Vi erfarer at mange av våre medlemmer hopper litt rundt og
innehar flere roller i sin yrkesaktive karriere. Internrevisjon
som fag stiller store krav til høy kompetanse på flere områder.
Foreningen har registrert en økende interesse blant medlemmene for et eget forum hvor erfaringer og diskusjoner rundt
tema «risiko» står i sentrum. I den forbindelse ble medlemmer
invitert til lunsjmøte for å kartlegge behovet nærmere i september. Stemningen var god og interessen stor. Allerede på kartleggingsmøte ble et midlertidig arbeidsutvalg konstituert. AU
har avholdt tre møter hvor formål, målsetting og videre strategi
fremover er blitt diskutert. En Questback-undersøkelse er på
vei til interessenter av nettverket for å kartlegge medlemmenes
behov, og kanskje vil første møte i Nettverk risiko bli avholdt
allerede på nyåret? Nettverket må formelt vedtas på neste
generalforsamling.
52
SIRK nr 2. 2011
Fra IIA Norge/NIRF: generalsekretær Ellen Brataas og
president Martin Stevens. Fra IIA Sverige: president Charlotta
Hjelm og generalsekretær Klas Schöldström.
F o re n i n g s - o g p ro f e s j o n s n y t t
- Utveksling av fantastiske foredragsholdere på tvers av
landegrensene
- Felles styreseminar
- Koordinering av kursporteføljen slik at medlemmer får
bredere tilbud
- Og mere til… men nå gjenstår det bare å iverksette disse
ideene til handling
Ny global hjemmeside: www.globaliia.org
I prosessen med å skille ut de globale tjenester og produkter
fra IIA fra Nord-Amerika, er opprettelsen av en global
hjemmeside blitt et resultat. I oktober ble siden lansert og den
rommer alle de globale tjenestene som standarder, sertifisering,
forskning m.m. Her kan du finne publikasjoner på alle språk
og siden gir en god oversikt over globale konferanser og kurs.
Et tips kan være den nye Audit Channel – kan ikke annet enn
bli en suksess ☺
Nye veiledninger siden forrige nummer av
SIRK:
Practice Guide: Independence and Objectivity, October 2011
Practice Guide: Interaction with the Board, August 2011
Certification in Risk Management Assurance
(CRMA)
Fra 1. juli 2013 lanserer IIA en ny sertifisering: Certification in
Risk Management Assurance. Som med de andre globale
sertifiseringene må du bestå eksamen og krav til praksis for å
oppnå tittelen. Hva vil en slik sertifisering bety for deg?
“The CRMA is one more mark of professional distinction for
internal audit practitioners. Earning the CRMA will assist you
in demonstrating your ability to:
• Provide assurance on core business processes in risk
management and governance.
• Educate management and the audit committee on risk and
risk management concepts.
• Focus on strategic organizational risks.
• Add value for your organization.”
Den gode nyheten er at du allerede fra
januar kan søke om tittelen basert på
utdannelse, andre sertifiseringer og
praksis. På våre hjemmesider kan du
lese mer om hvilke krav som må
oppfylles for at du skal kunne forhåndssøke om CRMA-tittelen.
Konferanser verdt å merke seg i 2012
NIRFs årskonferanse, 3. – 5. juni, Ålesund
IIAs International Conference, 8. – 11. juli, Boston, USA
ECIIA Conference, 13. – 14. september, Amsterdam,
Nederland
Nasjonal fagkonferanse i offentlig revisjon, 30. – 31. oktober,
Gardermoen
Deloitte søker etter flere erfarne konsulenter og
ledere på informasjonssikkerhet
Globalt er vi anerkjent som det ledende miljøet innenfor informasjonssikkerhet. I Norge skal vi støtte opp under dette og levere informasjonssikkerhetstjenester med best verdi til våre kunder. Du vil få være med på å videreutvikle vårt sikkerhetsmiljø både faglig og merkantilt.
Vi har en økende oppdragsmengde og vi ønsker å rekruttere serviceinnstilte og utadvendte medarbeidere. Kompetanse innenfor alle
områdene er ikke påkrevet, men søker må være faglig engasjert og utadrettet med evne til å skape muligheter for seg selv og andre.
Arbeidsoppgaver
ōVÈUHSURVMHNWOHGHURJIDJVSHVLDOLVWLQQHQ
LQIRUPDVMRQVVLNNHUKHW
ō9ÈUHUÆGJLYHUIRUYÆUHNXQGHULQQHQEÆGH
SULYDWRJRIIHQWOLJVHNWRU
ō(WDEOHUHRJIRUDQNUHVLNNHUKHWVVWUDWHJLRJ
OýVQLQJHU
ō8WDUEHLGHRJLPSOHPHQWHUHVLNNHUKHWV
SROLF\EDVHUWSÆ,62UXWLQHURJ
WLOWDN
ō'HVLJQHRJLPSOHPHQWHUHOýVQLQJHUIRU
EHVN\WWHOVHPRWLQIRUPDVMRQVOHNNDVMHU
ō'HVLJQHRJLPSOHPHQWHUHOýVQLQJHU
NQ\WWHWWLOLGHQWLW\DFFHVVPDQDJHPHQW
ō*MHQQRPIýUHVÆUEDUKHWVWHVWLQJRJ
LPSOHPHQWHUHNRUULJHUHQGHWLOWDN
ō*MHQQRPIýUHVLNNHUKHWVUHYLVMRQHU
Ønskede kvalifikasjoner
ō+ý\HUHXWGDQQLQJSÆPDVWHUQLYÆ
ō.RQVXOHQWHUIDULQJLQQHQLQIRUPD
VMRQVVLNNHUKHW
ō6HUWLğVHULQJHUVRP&,60&,663&,6$
&,$,62OHDGLPSOHPHQWHUDXGLWRU
ō*RGHVNULIWOLJHRJPXQWOLJHNRPPXQLND
VMRQVHYQHUSÆQRUVNRJHQJHOVN
ō/ýVQLQJVRJUHVXOWDWRULHQWHUW
ō+ý\DUEHLGVNDSDVLWHWRJĠHNVLELOLWHW
ō.RQVXOHQWSURğO
Arbeidssted:2VOR%HUJHQHOOHU6WDYDQJHU
Kontaktperson:%MýUQ-RQDVVHQWOI
6ýNQDGRJ&9VHQGHVYLDYÆUHNDUULHUHVLGHUSÆ
www.deloitte.no
Egenskaper
ō)RUUHWQLQJVIRUVWÆHOVH
ō$QDO\WLVNRJJRGHVDPDUEHLGVHYQHU
ŕ'HORLWWH$6
SIRK nr 2. 2011
53
F o re n i n g s - o g p ro f e s j o n s n y t t
VIKTIGE ENDRINGER – CIA
– VIKTIGE ENDRINGER!
Av Ellen Brataas, generalsekretær
The Professional Certifications Board (PCB) har foreslått flere
endringer knyttet til sertifiseringsordningen Certified Internal
Auditor, som alle nylig ble vedtatt av The Global Board of
Directors. Endringene vil få innvirkning for fremtidige CIAkandidater, de som allerede er inne i programmet og innehavere av CIA tittelen.
Det er foreslått at deleksamen nr. 1 skal kunne tas som en
“stand-alone” eksamen, uten at det i skrivende stund er helt
klart om eller hvilken tittel kandidaten da kan benytte. Denne
eksamen vil bestå av 125 spørsmål som må besvares på 2,5
timer. Deleksamen nr. 2 og 3. består av 100 spørsmål som må
besvares innen 2 timer. Som tidligere vil spørsmålene være
multiple choice med fire svaralternativer.
Tidskrav for bestått eksamen og krav til praksis
Frem til i år har det ikke vært noe krav om at deleksamene må
bestås og praksis opparbeides innen normert tid. Men fra
1. januar 2011 ble det satt et 4-års krav som innebærer at alle
deleksamene må bestås og tilfredsstillende erfaring opparbeides innen fire år fra opptak i programmet. For de som allerede
var inne i programmet ved årsskiftet løper 4-årsfristen fra det
tidspunkt siste eksamen ble avlagt. De som var tatt opp i programmet, men ennå ikke hadde avlagt en eksamen før nyttår,
må bestå alle eksamene og kravet til praksis innen 31.12.2014.
Nå lurer sikkert de av dere som er midt i programmet hva
denne omstruktureringen vil si for dere – og da er mitt råd:
Bli ferdig med gjenstående eksamener i løpet av første halvår
2013. Om dette ikke er mulig kan jeg berolige med at IIA
jobber for å få til en glidende overgang til ny CIA struktur og
vil i en overgangsperiode ha et system for håndtering av begge
løsninger.
Det er pr. i dag ikke fremsatt forslag om lignende endringer i
spesialeksamene.
Endringer i eksamene fra 2012
Fra og med 1. januar 2012 vil alle deleksamener reduseres fra
100 til 90 spørsmål. Disponibel tid på eksamen går ned fra 2
timer og 45 minutter til 2 timer og 30 minutter. Til nå har IIA
hatt 20 såkalte “testspørsmål” inne i eksamen som ikke har
vært tellende i sluttresultatet og disse reduseres til 10.
Når det gjelder spesialeksamene (CCSA, CFSA og CGAP)
reduseres antall spørsmål fra 115 til 100 og tiden reduseres
med 15 minutter.
CPE-rapportering
Fra 2013 vil IIA innføre et gebyr for rapportering av vedlikeholdspoeng, på lik linje med mange andre internasjonale
sertifiseringer. Det er også foreslått at syklus for innrapportering skal endres fra to til tre år. Det er pt.ikke fattet vedtak i
NIRF-styret, hvorvidt foreningen vil dekke dette gebyret for
sine sertifiserte medlemmer. Mer informasjon følger i nyhetsbrev og på nettsiden.
Endringer i eksamenssturktur fra medio 2013
På bakgrunn av en “Job Analysis Study” gjennomført av PCB i
år vil det bli foretatt en omstrukturering av CIA eksamen. I dag
består sertifiseringen av fire deleksamener, deriblant en del 4
som mange kandidater slipper å avlegge. Det har ikke vært
logisk at eksempelvis innehavere av CISA skal slippe del 4 når
IT-delen testes i deleksamen nr. 3. Selve pensumet og emnene
kandidater testes i vil fortsatt være det samme. Deleksamene
vil endres som følger:
54
Part 1 – Internal Auditing
Basics
Duration: 2.5 hours
Question Count: 125
Part 2 Exam: Internal
Audit Practice
Duration: 2.0 hours
Question Count: 100
Part 3 Exam: Internal Audit
Knowledge Elements
Duration: 2.0 hours
Question Count: 100
Topical focus areas include:
• IIA Mandatory Guidance
• Internal Control and Risk
• Tools and Techniques for
Conducting the Audit
Engagement
Topical focus areas include:
• Managing the internal audit
function
• Managing individual engagements
• Fraud risks and controls
Topical focus areas include:
• Governance
• Risk Management
• Organizational Structure and Business
Processes
• Communication
• Leadership
• IT/Business Continuity
• Financial Management
• Global Business Environment
SIRK nr 2. 2011
På t a m p e n
På tampen
- Du jobber som revisor, sa du? Revisor vet jeg
selvfølgelig hva er, men indre revisor hva er det?
Jeg var ute med Arne til en førjulsmiddag med tilhørende tørstedrikk. Det var trangt om bordene så vi
måtte dele med noen ukjente. Det er vanlig og høflig
etter å ha utvekslet navn og slikt å bevege seg inn på
yrkeskarriere.
- Nei ikke indre revisor, intern revisor.
Så slo det meg at vi må være en av de få yrkesgruppene som definerer seg selv ut fra det den ikke er.
Vi er ikke eksterne revisorer. Alle vet hva en ekstern
revisor er - det er de som reviderer regnskapet med
mer. Vi er ikke dem – vi er ansatte, interne. Men hva
sier det om det vi gjør? Til og med ekstern revisor kan
definere sitt yrkesvalg nærmere – finansiell revisjon
som har et sluttprodukt, en revisjonsberetning.
- Hmmm! Skjønner hva du mener. En kvalitetsrevisor
skal sørge for at det er kvalitet på ting, en IT-revisor
reviderer IT-systemer, en intern revisor reviderer
internt? Går ikke.
- Hva med organisasjonsrevisor? Jeg mener vi reviderer inn i organisasjonen, gjør vi ikke.
- Ja, men det høres noe HR-aktig ut. Nei takk. Hva
med internkontrollrevisor eller bedre risikostyringsrevisor? Det er det vi gjør, det vi reviderer.
- Alt for lange ord. Hei jeg heter Arne, jeg er din
internkontrollrevisor. Går ikke. Men hva med risikorevisor?
- Revisoren som lever farlig – risikorevisoren…….
Hmmmm! Men du, hva om vi skulle bruke det
engelske ordet, det høres alltid litt mer moderne ut.
Hva med ”Riskrevisoren”.
- Det er vi som hjelper virksomheten å styrke sin
risikostyring og kontroll – å være mer effektiv og
målrettet.
- Hmmm. Det er ikke dere som lager alle disse
retningslinjer og prosedyrer…..?
- Nei, nei. Du skjønner, en stor virksomhet må ha en
viss struktur og systematikk i behandling, men det er
ikke vi som lager disse ting. Vi skal bl.a. kontrollere
om de er der og er tilstrekkelige og blir fulgt.
- Høres litt kjedelig ut.
Og så skjønte jeg at jeg hadde tapt den kampen om å
forklare hvor spennende vårt arbeid er.
Etterpå når de andre var gått og Arne og jeg satt og
var kommet inn i det filosofiske hjørnet, tok jeg dette
opp igjen.
- Du, Arne, finnes det ikke et bedre navn på intern
revisor. Et navn som har en bedre klang. Jeg mener, se
hva som er skjedd med intern kontroll – et kjedelig
sammensatt navn intern (ikke ekstern og dynamisk)
og kontroll (pirk). Nå snakker vi mer om risikostyring
og alle synes det er så bra. Risikostyring det betyr at
man skal temme beistet – St. Georg mot draken. Mye
mer positivt og dynamisk…..
- Wow I like it! Forresten, skal du på noen julebord i
år? Husker du i fjor…….
Og så forlot vi for denne gang videre diskusjon om
yrket vårt for å drøfte mer jordnære ting og nyte alt
det gode som julen bringer med seg også i år.
SIRK nr 2. 2011
55
Returadresse: NIRF, Postboks 1417 Vika, 0115 Oslo
Vi ønsker
våre lesere
en riktig
god jul!
ISSN 1892-9370