Kapittel

Avklare internrevisjonens formål, roller, rammer og ressurser

På disse sidene gir DFØ råd og anbefalinger til innretning av internrevisjon knyttet til hvert av underpunktene i punkt 5 i R-117.

Organisering

R-117 pkt. 5.1 Organisering

Internrevisjonen skal organisatorisk være knyttet til og rapportere til virksomhetslederen, eller eventuelt til styret i virksomheter med dette. Plasseringen skal sikre internrevisjonens uavhengighet fra nivåene under virksomhetslederen og fra de områdene og prosessene som skal revideres.

I virksomheter med et styre, skal overordnet departement klargjøre de innbyrdes forholdene mellom departementet, styret og virksomhetslederen, jf. bestemmelsene pkt. 1.2. I departementets instruks til virksomheten skal fordeling av myndighet og ansvar beskrives. Der det i rundskrivet er brukt «virksomhetslederen», vil det kunne gjelde både virksomhetslederen og et eventuelt styre, avhengig av departementets instruks til virksomheten.

Internrevisjonens mandat skal være fastsatt i instruks fra virksomhetslederen, med mindre overordnet departement fastsetter internrevisjonsinstruksen. Internrevisjonsinstruksen skal legge til rette for funksjonens uavhengighet og avklare ansvar og myndighet.

Internrevisjonen skal ledes av en internrevisjonssjef.

Virksomhetslederen har innenfor rammene i dette rundskrivet og eventuelle instrukser fra overordnet departement, myndighet til å bestemme hvordan internrevisjonen skal organiseres.

For at internrevisjonen skal ha legitimitet i organisasjonen og overfor omgivelsene, må den tilfredsstille grunnleggende krav til uavhengighet. Nedenfor lister vi noen viktige avklaringer knyttet til organisering og uavhengighet.

Internrevisjonens plassering i virksomheten

Internrevisjonen skal være plassert direkte under den øverste myndigheten i virksomheten, og rapportere til denne. Det er øverste myndighet i virksomheten som er internrevisjonens oppdragsgiver. Departementets instruks klargjør hvem som er øverste myndighet. Dette er spesielt relevant i de virksomhetene som har styrer.

I denne veiledningen og i R-117 bruker vi «virksomhetsleder» som internrevisjonens oppdragsgiver. I noen tilfeller, og for noen virksomheter, vil dette si at vi omtaler virksomhetens styre som «virksomhetsleder».

I privat sektor vil internrevisjonen rapportere til et styre og derfor være uavhengig av virksomhetsleder. Styrer i statlige forvaltningsorgan har imidlertid ikke det samme økonomiske og juridiske ansvaret som styrer i privat virksomhet, da det er overordnet departement som er konstitusjonelt, politisk og administrativt ansvarlig for underliggende virksomhet. Flere statlige virksomheter har et styre, men i de fleste statlige virksomheter er likevel virksomhetsleder øverste myndighet. Internrevisjoner i staten som rapporterer til virksomhetslederen eller et ev. styre vil ikke oppnå full uavhengighet i virksomheten, siden oppdragsgiver er en del av virksomheten. Internrevisjonen i statlige virksomheter er imidlertid uavhengig av nivåene under virksomhetslederen og de områdene den reviderer.

Dersom virksomheten har et styre kan en vurdere å opprette et revisjonsutvalg med utvalgte representanter fra styret. Forskningsrådet har for eksempel etablert et revisjonsutvalg med representanter fra styret.

Revisjonsutvalget kan for eksempel opptre for styret i spørsmål om internrevisjonens ansvar, organisering og arbeidsoppgaver. Eksempelvis kan revisjonsutvalget uttale seg om utkast til revisjonsplaner for internrevisjonen, avvik i forhold til godkjente planer og løpende internrevisjonsrapporter. Uttalelsene kan følge som orienteringssaker til styret.

Skriftlig internrevisjonsinstruks

Internrevisjonen skal ha en skriftlig internrevisjonsinstruks, blant annet for å styrke uavhengigheten. Det er virksomhetsleder som er ansvarlig for å fastsette en slik instruks.

Internrevisjonsinstruksen skal legge til rette for funksjonens uavhengighet. Den skal blant annet angi internrevisjonens organisering, formål, ansvar og myndighet. Internrevisjonsinstruksen bør også referere til hvilke faglige standarder som gjelder for internrevisjonen i virksomheten mv. IIA Norge (tidligere Norges Interne Revisorers Forening) har utarbeidet en mal for instruks

Håndtering av uenighet

Virksomheten bør i forbindelse med etablering av internrevisjonen tenke igjennom og eventuelt fastsette retningslinjer eller prosedyrer for hvordan virksomhetslederen og internrevisjonssjefen bør løse slik uengighet, og om departementet skal bli involvert om eventuell uenighet.

Det kan oppstå situasjoner der det er uenighet mellom virksomhetslederen og internrevisjonen, for eksempel knyttet til risikobildet, hvilke revisjonsprosjekter som skal prioriteres og uenighet knyttet til behov for tiltak for å redusere risiko på et område (internrevisjonen mener at virksomheten tar uforsvarlig høy risiko). Hvordan slik uenighet mellom internrevisjonen og virksomhetslederen skal håndteres bør man omtale i internrevisjonsinstruksen.

Ulike måter å anskaffe en internrevisjon på

Internrevisjonen skal ledes av en internrevisjonssjef, men denne trenger nødvendigvis ikke være ansatt i virksomheten. Det finnes ulike måter å anskaffe og organisere en internrevisjonsfunksjon på. Før virksomheten starter selve etableringen av internrevisjonen og fastsetter internrevisjonsinstruksen, bør den ha valgt modell for internrevisjon. Hovedmodellene som er i bruk i staten er:

  1. Egen organisatorisk enhet med fast ansatte revisorer
  2. Ansatt internrevisjonssjef med team fra egen virksomhet
  3. Ansatt internrevisjonssjef som kjøper eksterne tjenester
  4. Felles internrevisjonsfunksjon på tvers av likeartede virksomheter
  5. Full outsourcing

Du finner oversikten over hvilke statlige virksomheter som bruker de ulike modellene på DFØ sine nettsider. For en oversikt over ulike hovedmodeller for anskaffelse av internrevisjonsfunksjonen og fordeler og ulemper knyttet til disse viser vi til et vedlegg i veiledningen Trenger vi en internrevisjon.

Virksomhetslederen må vurdere hvilken modell som er mest hensiktsmessig ut fra virksomhetens behov og egenart. Hvis virksomheten outsourcer internrevisjonen, må den utpeke en person som er ansvarlig for innkjøp av funksjonen. Dersom virksomheten velger en intern internrevisjonsfunksjon bør den ha en viss kritisk masse for å kunne ha en tilfredsstillende robusthet og faglig bredde for å oppfylle internrevisjonens formål og ansvar. Tre til fire personer er som minimum anbefalt fra allerede etablerte internrevisjonsenheter i staten.

Hvis virksomheten har valgt en internrevisjonsmodell som innebærer at den skal ansette personell, er det en stor fordel å rekruttere leder av revisjonsenheten først, slik at denne kan være involvert i rekruttering av øvrig revisjonspersonell.

Kompetanse og revisjonsplaner

R-117 pkt. 5.2 Kompetanse og revisjonsplaner

Den samlede internrevisjonsfunksjonen må inneha nødvendig kompetanse og ressurser for å kunne oppfylle sitt formål og ivareta sin rolle. Virksomheten skal sørge for at funksjonen og dens tjenester periodisk blir evaluert.

Virksomhetslederen skal gi internrevisjonssjefen faglig frihet, som understøtter den faglige uavhengigheten.

Internrevisjonen skal ha hele virksomheten som sitt virkeområde. Internrevisjonssjefen har ansvaret for å utarbeide en årlig risikobasert revisjonsplan med prioriteringene til internrevisjonens arbeid i samsvar med virksomhetens mål. Revisjonsplanen skal godkjennes av virksomhetslederen. Internrevisjonssjefen har også ansvaret for å utarbeide en årlig rapport om internrevisjonens virksomhet.

For at internrevisjonen skal kunne oppfylle sitt formål og ivareta sin rolle og sitt ansvar må den samlede internrevisjonen ha eller skaffe seg nødvendige kunnskaper, ferdigheter og ressurser.

Internrevisjonens virkeområde

Internrevisjonen har hele virksomheten som sitt virkeområde. Med «hele virksomheten som virkeområde» menes at internrevisjonens risikovurdering skal omfatte hele virksomheten (alle støtte- styrings- og kjerneprosesser) og inngå i grunnlaget for prioritering av internrevisjonens prosjekter. Internrevisjonen kan for eksempel ikke utelate enkelte områder av virksomhetens drift fra sitt revisjonsunivers. Både bredden og kompleksiteten i arbeidet stiller dermed store krav til internrevisjonen. Det er virksomhetslederen som, i samråd med internrevisjonssjefen, har ansvar for å ta stilling til og påse at internrevisjonsfunksjonen totalt sett har nødvendig kompetanse og ressurser til enhver tid.

Internrevisjonens kompetanse- og ressursbehov

Virksomhetens strategi og risikovurdering og internrevisjonens egen risikovurdering, kan benyttes til å avklare internrevisjonens behov for kompetanse og ressurser. Dersom internrevisjonen mangler kunnskaper, ferdigheter eller annen kompetanse som kreves, må internrevisjonssjefen innhente kvalifisert bistand eller velge å ikke påta seg det aktuelle revisjonsprosjektet og kommunisere risikoeksponeringen til oppdragsgiver som følge av lavere revisjonsdekning.

Basert på hvilken kompetanse og kapasitet det vil være behov for, må internrevisjonssjefen, eller ansvarlig for innkjøp av internrevisjonstjenester, fremme budsjettforslag til øverste myndighet i virksomheten som fastsetter budsjettet.

Virksomheten må ta stilling til i hvilken grad kompetanse og kapasitet skal sikres gjennom egne ressurser eller ved kjøp av tjenester.

Nedenfor omtaler vi noen viktige avklaringer når det gjelder kompetanse, egenskaper og ressurser, samt fastsettelse av revisjonsplan og årsrapportering.

Kompetanse og egenskaper

Den samlede internrevisjonen må ha tilstrekkelig kompetanse. Dette innebærer blant annet:

  • Internrevisjonsfaglig kompetanse i form av kjennskap til anerkjente standarder og internrevisjonsmetodikk og faglige rammeverk for virksomhetsstyring/styringssystem, herunder risikostyring og internkontroll
  • Virksomhetsspesifikk kompetanse som omfatter kompetanse knyttet til virksomhetens kjerne-, støtte- og styringsprosesser, for eksempel fagområder som tilskudd og tilsyn, sikkerhet og beredskap, IKT, informasjonssikkerhet, misligheter og økonomi.
  • Kompetanse om statsforvaltningen herunder styringsform, statlige regelverk og statlig forvaltning.
  • Personlige egenskaper hos internrevisorene og hos internrevisjonssjefen. Dette kan for eksempel være egenskaper som å være analytisk, ha evne til å tenke kritisk og helhetlig, grundighet, faglig integritet, kommunikasjons- og samarbeidsevner.

Ressurser

Internrevisjonen må ha tilstrekkelige ressurser. Dette innebærer blant annet at:

  • Internrevisjonen må ha ressurser til å gjennomføre et forsvarlig omfang av revisjonsprosjekter som er dekkende for internrevisjonens selvstendige risikovurdering. Eventuelt må internrevisjonen ha budsjett til kjøp av ressurser og kompetanse som den selv ikke har.
  • Internrevisjonen må ha tilstrekkelige ressurser til kompetanseutvikling. Gitt de høye kravene til kompetanse som stilles til internrevisjonen, blir det viktig å både kontinuerlig vedlikeholde, og å utvikle internrevisjonens kunnskaper, ferdigheter og annen kompetanse.
  • Internrevisjonen (uavhengig av modell) må ha tilstrekkelig ressurser til et program for kvalitetssikring og forbedring, herunder gjennomføre interne og eksterne evalueringer av funksjonen og tjenestene den yter. Internrevisjonsinstruksen bør gi føringer for hvilke typer evalueringer som skal gjennomføres (interne og eksterne, periodiske og løpende) og hvordan den skal rapportere resultatene. Internrevisjonsinstruksen bør videre si hvor ofte det skal gjennomføres eksterne evalueringer av internrevisjonsfunksjonen og dens arbeide.

Faglig frihet

Internrevisjonen evaluerer virksomhetens drift og prosesser for styring og kontroll på oppdrag fra virksomhetslederen og må derfor ha faglig frihet og tilgang til all informasjon som er nødvendig for å ivareta sin rolle og sitt formål. Dette innebærer blant annet at:

  • Virksomhetslederen skal gi faglig frihet til internrevisjonssjefen, som understøtter den faglige uavhengigheten. Dette kan for eksempel gå ut på at internrevisjonssjefen har:
    • Selvstendig ansvar for risikoprofilen i revisjonsplanen. Revisjonsplanen anbefales av internrevisjonssjefen og godkjennes av oppdragsgiver.
    • Faglig frihet i vurdering av revisjonsresultater.
    • Faglig frihet til å velge type, tidspunkt og omfang av revisjonshandlinger.
    • Tilgang til all nødvendig informasjon. Internrevisjonen må ha autorisert tilgang til dokumenter, personell og eiendeler med relevans for utøvelsen av internrevisjonsoppdrag.
  • Internrevisjonen skal ikke ha myndighet til å gi pålegg til enheter eller personer som revideres. Internrevisjonen gir kun anbefalinger. Virksomhetsleder, eller de som virksomhetsleder har delegert myndighet til, beslutter hvilke tiltak det er behov for å gjennomføre, basert på internrevisjonens anbefalinger. Internrevisjonen kan så ha en rolle i oppfølging av at de besluttede tiltakene blir gjennomført.

Årlig revisjonsplan og årsrapport

Internrevisjonssjefen har ansvaret for å utarbeide en årlig risikobasert revisjonsplan med internrevisjonens prioriteringer.

Internrevisjonssjefen har også ansvar for å utarbeide en årsrapport som oppsummerer internrevisjonens arbeid i henhold til revisjonsplanen. Dette innebærer blant annet at internrevisjonens revisjonsplan skal dekke de vesentligste risikoene knyttet til virksomhetens mål, og være basert på internrevisjonens egne risikovurderinger.

Revisjonsplanen bør baseres på innspill fra linjen, og drøftinger av risikobildet mellom virksomhetsleder og internrevisjonssjefen.

Den endelige revisjonsplanen skal godkjennes av virksomhetslederen. Internrevisjonssjefen må, i den grad det er nødvendig, gå gjennom og justere planen for å ta hensyn til endringer i virksomhetens risikoer, drift, programmer, systemer og kontroller. Internrevisjonssjefen må kommunisere vesentlige endringer i den årlige revisjonsplanen og få disse godkjent av virksomhetslederen.

Revisjonsplanen kan inneholde både bekreftelsesoppdrag og rådgivnings-oppdrag. Internrevisjonens bekreftelsesoppdrag kan omfatte alle typer områder relatert til virksomhetsstyring, risikostyring og kontroll. Hvilke områder bekreftelsesoppdragene kan omfatte bør fremgå av instruksen. Dersom internrevisjonen har rådgivningsoppdrag på årsplanen, bør det stå i internrevisjonsinstruksen at internrevisjonen kan utføre slike oppdrag. Da rådgivningsoppdrag som regel er mer spesifikke av natur, og vil variere fra år til år, trenger ikke instruksen spesifisere hvilke områder internrevisjonen utfører rådgivningsoppdrag på.

Årsrapporten bør liste opp hvilke revisjoner som er gjennomført i løpet av året, hvilke anbefalinger internrevisjonen har kommet med, hvilke handlingsplaner eller tiltak ledelsen har besluttet og status på om tiltak fra tidligere revisjoner er lukket. Internrevisjonen bør også gi en beskrivelse av status på risikostyring og kontroll i virksomheten.

Virksomhetsleder har ansvar for at departementet får tilgang til den årlige revisjonsplanen og årsrapporten fra internrevisjonen i tillegg til eventuelle enkeltrapporter hvis departementet ønsker det.

Internrevisjonen bør ha dialog med Riksrevisjonen med sikte på å etablere oversikt over pågående og planlagte revisjoner. Virksomhetsleder skal gjøre årsplanen, enkeltrapporter og årsrapporten tilgjengelig for Riksrevisjonen

Bruk av anerkjente standarder

R-117 pkt. 5.3 Bruk av anerkjente standarder

Internrevisjon i statlige virksomheter skal basere seg på anerkjente standarder. Hvilke standarder som virksomheten velger å følge, skal omtales i internrevisjonsinstruksen.

IIA-standardene (fastsatt av The Institute of Internal Auditors) regnes i denne sammenheng som anerkjente standarder. Også andre anerkjente standarder kan brukes dersom de vurderes som mer hensiktsmessige. Begrunnelse for eventuelt valg av andre standarder skal fremgå av internrevisjonsinstruksen.

Praksis for internrevisjonen skal, uavhengig av valgt standard, være i samsvar med retningslinjene i dette rundskrivet.

Internrevisjonen skal utøve sin rolle og ivareta sitt ansvar i henhold til faglige standarder og anerkjent praksis for internrevisjon. Standardene gjelder for den enkelte internrevisor, den samlede internrevisjonsfunksjonen og internrevisjonsaktiviteter. Bruk av anerkjente standarder vil bidra til systematiske og strukturerte metoder i utførelse av revisjonsarbeidet. Videre bidrar bruk av anerkjente standarder til trygghet, transparens og forutsigbarhet, samt klare forventninger til kvalitet og profesjonalitet. Dette er en forutsetning for at Riksrevisjonen og eventuelt andre kontrollorgan skal kunne ha tillit til og eventuelt nyttiggjøre seg av internrevisjonens arbeid.

Bruk av standarder for internrevisjon

Bruk av IIA-standardene vil for de fleste statlige virksomheter være et hensiktsmessig førstevalg. Last ned PDF med IIA-standardene her.

Internrevisjonen kan bruke andre anerkjente internrevisjonsstandarder enn IIA-standardene hvis den mener de er mer passende ut fra virksomhetens egenart og behov. En standard som er i bruk i Norge, er NS-EN ISO 19011 Retningslinjer for revisjon av styringssystemer. Denne standarden brukes typisk av internrevisjoner i virksomheter som har en teknisk rettet (ingeniør-)virksomhet, eksempelvis i Sjøfartsdirektoratet. DFØ er ikke kjent med andre alternative standarder å bygge internrevisjonsvirksomheten på.

Begrunnelsen for eventuelt valg av andre standarder for internrevisjonen skal fremgå av internrevisjonsinstruksen. Internrevisjonen må uansett tilpasse bruken av andre standarder slik at retningslinjene i rundskriv R-117 pkt. 5 blir fulgt.

Internrevisjonsinstruksen må omtale valget av standarder for internrevisjon. Virksomheter som outsourcer internrevisjonen (modell 5), må forsikre seg om at leverandøren av internrevisjonsfunksjonen følger kravene i pkt. 5 i rundskriv R-117, herunder «pkt. 5.3 Bruk av anerkjente standarder». Dette er det virksomhetslederen sitt ansvar å påse.

Informasjon fra virksomheten

R-117 pkt. 5.4 Informasjon fra virksomheten

Hvilke planer og rapporter fra internrevisjonen som departementet ønsker tilgang til, avklares i styringsdialogen mellom departementet og virksomheten. Virksomhetslederen har ansvaret for at departementet får tilgang til de ønskede planene og rapportene.

Virksomhetslederen har videre ansvaret for at årlig revisjonsplan, årlig rapport om internrevisjonens virksomhet og enkeltrapporter fra internrevisjonen gjøres tilgjengelig for Riksrevisjonen.

Styringsmodellen i staten har betydning for rapportering og dialog mellom departement og underliggende virksomhet, samt rapportering og dialog mellom internrevisjonen og Riksrevisjonen.

Departementets dialog med virksomheten

Internrevisjonen er virksomhetsleders redskap for å få bekreftelser og råd knyttet til styring og kontroll. Departementet bør derfor ikke legge beslag på internrevisjonsressursene i virksomhetene, for eksempel i form av å be om revisjoner på et bestemt område. Dersom initiativ til revisjoner kommer fra departementet bør dette skje i forståelse med virksomhetslederen.

Departementet kan innhente årlig revisjonsplan og årsrapport, samt internrevisjonsrapporter fra internrevisjonen. Departementets praksis med å innhente rapporter i underliggende enheter varierer. Både departement og virksomhet må være bevisste hva som departementet etterspør og hva virksomheten sender departementet og hvorfor.

Departementets praksis med å innhente rapporter fra internrevisjonen i en underliggende virksomhet kan eventuelt omtales i departementets instruks til virksomheten. Internrevisjonens praksis med å sende departementet internrevisjonsrapporter må avklares med virksomhetsleder og omtales i internrevisjonsinstruksen.

Offentlig innsyn

Hovedregelen i offentlighetsloven er at dokumenter i det offentlige er åpne for innsyn, hvis ikke annet er lovbestemt.

Hovedprinsippet i offentlighetsloven er at det er innholdet i dokumentet som er bestemmende for om et dokument kan unntas fra innsyn. Følgelig kan ikke en type dokumenter, som internrevisjonsdokumenter, unntas fra innsyn på generelt grunnlag eller merkes «unntatt offentlighet» før et krav om innsyn er vurdert. Det skal i hvert tilfelle gjøres en konkret helhetsvurdering av innholdet i det aktuelle internrevisjonsdokumentet.

Riksrevisjonen har uansett tilgang til interne dokumenter iht. lov om Riksrevisjonen, § 12, første ledd.

Kommunikasjon med Riksrevisjonen

Internrevisjonen bør tilstrebe god dialog med Riksrevisjonen med sikte på å etablere oversikt over pågående og planlagte revisjoner. Det bør etableres og vedlikeholdes kontakt mellom internrevisjonen og Riksrevisjonen for å koordinere arbeidet, og for å diskutere risikobildet, metode- og andre revisjonsfaglige spørsmål. Eksempelvis bør tidspunkter for gjennomføring av revisjoner fra respektive revisjonsplaner koordineres for å unngå overlapp og belastning av linjen. God dialog mellom internrevisjonen og Riksrevisjonen gir blant annet bedre og mer helhetlig revisjonsdekning i virksomheten som optimaliserer verdien av de samlede revisjonstjenestene for internrevisjonens interessenter.

Retningslinjer og prosedyrer

Internrevisjonssjefen må utarbeide retningslinjer og prosedyrer for internrevisjonens arbeid. Disse må beskrive fremgangsmåte ved planlegging, gjennomføring, rapportering og oppfølging av revisjonsprosjekter. Omfanget av retningslinjer og prosedyrer skal stå i forhold til internrevisjonens størrelse og struktur, og kompleksiteten i arbeidet.

Dersom internrevisjonen legger IIA-standardene til grunn, må retningslinjer og prosedyrer, være i henhold til IIA-standardene. Dette innebærer en beskrivelse av hvordan internrevisjonen skal planlegge og gjennomføre arbeidet, følge opp og rapportere resultatene den kommer til.

På samme måte bør virksomheten, dersom den bygger sin revisjonsvirksomhet på ISO 19011, utarbeide retningslinjer og prosedyrer i tråd med den aktuelle standarden.

Dersom det er forhold ved valgt standard som ikke er i tråd med rundskriv R-117, må internrevisjonsinstruksen omtale hvordan internrevisjonen er innrettet for å være i tråd med rundskrivet

Oppdatert: 13. september 2022

Veileder: Innretning av internrevisjon i statlige virksomheter

Skriv ut / lag PDF

Om veilederen

Avklare internrevisjonens formål, roller, rammer og ressurser

Organisering

Internrevisjonens plassering i virksomheten

Skriftlig internrevisjonsinstruks

Håndtering av uenighet

Ulike måter å anskaffe en internrevisjon på

Kompetanse og revisjonsplaner

Internrevisjonens virkeområde

Internrevisjonens kompetanse- og ressursbehov

Kompetanse og egenskaper

Ressurser

Faglig frihet

Årlig revisjonsplan og årsrapport

Bruk av anerkjente standarder

Bruk av standarder for internrevisjon

Informasjon fra virksomheten

Departementets dialog med virksomheten

Offentlig innsyn

Kommunikasjon med Riksrevisjonen

Retningslinjer og prosedyrer

Intern forankring og kommunikasjon

Fant du det du lette etter?

Nei

Det beklager vi!

Tilbakemeldingen din er anonym og vil ikke bli besvart. Vi bruker den til å forbedre nettsidene. Hvis du vil ha svar fra oss, ta kontakt på telefon, e-post eller kundesenter på nett.