en
da
Selvom din virksomhed ikke er underlagt krav om en uafhængig intern revisionsfunktion, kan du styrke virksomhedens risikostyring ved at lade dig inspirere af de typiske arbejdsopgaver og den organisering, som en egentlig IR-afdeling er underlagt. Endda uden at blive bundet af de formelle krav, som kan opleves som ressourcekrævende med begrænset værdiskabelse.
Kravet om intern revision i danske virksomheder gælder alene for finansielle virksomheder af en vis størrelse, mens der for mindre finansielle virksomheder alene eksisterer en forpligtelse for bestyrelsen til årligt at vurdere behovet for frivilligt at etablere en intern revisionsfunktion.
Derudover anbefaler retningslinjerne givet af Komitéen for god Selskabsledelse – der fungerer som best practice for ledelse af børsnoterede virksomheder i Danmark – at revisionsudvalget vurderer behovet for etablering af intern revision, som baseres på virksomhedens kompleksitet.
Derfor vil vi i denne artikel belyse formålet med intern revision i forhold til virksomhedens øvrige risikostyring, og hvorfor du bør overveje etablering i mindre skala.
De tre forsvarslinjer
Formålet med og organiseringen af intern revision kan der fx overordnet findes svar på i COSO’s kontrolrammeværk. COSO er et anerkendt rammeværk for intern kontrol og risikostyring, og deri beskrives komponenterne i virksomhedens kontrolsystem, som er målrettet de operationelle, rapporterings- og compliancemæssige risici – på både de respektive legale og organiseringsmæssige snitflader.
Kontrolsystemet består af tre forsvarslinjer med hver deres rolle og ansvar:
Første forsvarslinje, der består af procesejerne, har ansvaret for både ejerskab af processer og risikostyring. Det indebærer at identificere væsentlige risici for de enkelte forretningsprocesser samt at designe og implementere kontroller, der adresserer disse risici.
Derudover omfatter ansvaret risikovurdering, kontroldesign og den løbende udførelse af kontrollerne for at sikre en effektiv risikostyring.
Anden forsvarslinje har en overvågende rolle og skal støtte første forsvarslinje med ekspertise inden for process excellence og fortolkning af lovgivning og bidrage til en effektiv risikostyring.
Mens første og anden forsvarslinje har forskellige formål, er begge underlagt den daglige ledelse. Anden forsvarslinje tilfører styring og overvågning af de identificerede risici og kontroller og består typisk af mellemledere med specifikke forretningsmæssige roller og ansvar. Den præcise organisering varierer afhængigt af virksomhedens kompleksitet, størrelse og behov.
Tredje forsvarslinje, den interne revisionsfunktion, adskiller sig ved sin uafhængighed fra den daglige ledelse, fordi den refererer til bestyrelsen. Denne funktion fungerer som en objektiv kontrolinstans, der evaluerer og sikrer kvaliteten af arbejdet udført af første og anden forsvarslinje. Samtidig bidrager intern revision til værdiskabelse ved, via sparring med første og anden forsvarslinje, at bidrage til forbedret risikostyring og kontrolprocedurer samt optimere ledelses- og forretningsprocesser – både operationelt og i forhold til compliance.
Selvom uafhængighed er en nøgleegenskab, kan virksomheder – selv med en ”afhængig” intern revisionsfunktion og uden at leve op til lovgivningens formelle krav hertil – stadig lade sig inspirere af dens metoder. Et ekstra reviewniveau kan styrke kvaliteten ved at bringe flere perspektiver i spil, evt. fra specialister afhængig af kompleksiteten, og mindske risikoen for bias, som uundgåeligt opstår, når man vurderer eget arbejde.
Ansvarsområder for den interne revision
Hvilke konkrete opgaver varetager intern revision, og hvordan skaber den værdi for virksomheden? Alt afhængigt af virksomhedens størrelse og kompleksitet består ansvarsområderne af følgende:
1. Review af processer og procedurer, herunder effektiviteten af implementerede kontroller
En af de mest almindelige opgaver er løbende review af forretningsgangene på de forskellige processer i virksomheden. Formålet er at sikre, at de fortsat er optimalt designet, følger virksomhedens kerneværdier og politikker (Corporate Governance) og fungerer effektivt.
Reviewet bruges også til at identificere eventuelle mangler eller uudnyttet potentiale, der kan øge effektiviteten, styrke forretningen og afhængig af området øge indtjeningen. Det skal ligeledes sikre, at implementerede kontroller fortsat fungerer effektivt og adresserer relevante risici, da processerne naturligt udvikler sig over tid, og kontrollerne skal tilpasses derefter.
2. Evaluering af risici
En anden vigtig opgave ligger i løbende at vurdere de mange interne og eksterne risici, der knytter sig til virksomheden, og rapportere dem til ledelsen sammen med anbefalinger til, hvordan de bedst håndteres - enten med nye løsninger eller med en mere effektiv tilgang.
Risikovurderingen omfatter alt lige fra eksponeringen ved nøglekunder og leverandører til retssager, besvigelser og lovgivningsmæssige krav. Men fokus ligger altovervejende på at vurdere risicienes væsentlighed og komme med forslag til passende ændrede sikkerhedsforanstaltninger.
3. Overvågning af udvikling i lovgivningsmæssige krav
En af de væsentligste rapporteringsrisici er den konstante udvikling i lovgivningsmæssige krav.
Et aktuelt eksempel er kravene til rapporteringen af samfundsansvar, der erstattes af nye krav reguleret af EU’s direktiv om bæredygtighedsrapportering (CSRD). Disse krav vil være betydeligt mere omfangsrige og komplekse end de nuværende. Den interne revisionsfunktions opgave er her hele tiden at være på forkant og løbende orientere ledelsen, herunder ift. konsekvenser ved ikke at være compliant på ét eller flere parametre.
4. Vurdering af pålideligheden af datagrundlag for den interne og eksterne rapportering
For at sikre pålideligheden af både den interne og eksterne rapportering er det den interne revisions opgave at teste nøjagtigheden af de datainput, der danner grundlag for rapporteringen. Dette inkluderer bl.a. tests i rapporterings- og bogføringssystemet samt stikprøvekontroller, hvor transaktioner spores til den underliggende dokumentation.
5. Vurdering af risikoen for besvigelser
En vigtig opgave for intern revision er at udføre revisionshandlinger af forskellig karakter og på forskellige niveauer af forretningen udelukkende med det formål at adressere risikoen for besvigelser. Det er en risiko, der vil være til stede i enhver virksomhed, og som kræver konstant opmærksomhed.
Ved at integrere aktiviteter fra intern revision i den almindelige financial controlling tvinges virksomheden til at udvælge specifikke områder, som kræver særlig opmærksomhed. Da den interne revisionsfunktion ikke er direkte involveret i driften, kan den sikre den nødvendige grad af uafhængighed i vurderingerne.
Sådan implementerer du den interne revision
Uanset om du implementerer interne revisionsaktiviteter eller frivilligt etablerer en dedikeret intern revisionsfunktion, så vil det tilføje kompetence, objektivitet og sikkerhed for den operationelle organisations arbejde.
Det er vigtigt at definere aktiviteterne eller funktionens rolle, så de organisatorisk udgør tredje forsvarsniveau. På den måde sikrer du, at opgaven først og fremmest bliver at vurdere allerede eksisterende processer, forretningsgange og risikostyring af både interne og eksterne forhold.
Resultaterne rapporteres til ledelsen med klare anbefalinger, samtidig med at den interne revision agerer sparringspartner for organisationen mod at forbedre risikostyringen.
Netop sparring fra specialister, der har dyb operationel indsigt i virksomheden, kan være en væsentlig begrundelse for at vurdere behovet for en intern revisionsfunktion. Denne specialistviden og indsigt i detaljerne kan – helt naturligt – ofte mangle, når risikovurdering og -håndtering skal vurderes af personer højere oppe i organisationen (som allerede indgår som en del af kontrolaktiviteterne), som i stedet har fokus på det ledelsesmæssige og strategiske ansvar. Den interne revision tilfører netop den detalje- og specialistorienterede indsigt, der er nødvendig for at sikre risikostyring med den nødvendige kvalitet på virksomhedens særlige risikoområder.
Når den interne revisionsfunktion etableres frivilligt, kan dens arbejdsopgaver, organisatoriske placering osv. frit bestemmes. Men for at skabe værdi og undgå ressourcespild i form af uklare roller og ansvarsområder i forhold til første og anden forsvarslinje er det oplagt at lade sig inspirere i lovgivningen og vejledningen givet af fx Komitéen for god Selskabsledelse.
For at skabe struktur kan du med fordel udarbejde en funktionsbeskrivelse for intern revision, hvor formålet er at styrke og beskytte virksomhedens værdier ved at levere risikobaseret og objektiv sikkerhed. Det kræver en systematisk og disciplineret tilgang til at evaluere og forbedre effektiviteten af ledelsesprocesser, risikostyring og kontrolprocedurer.
Financial Controlling & Compliance
Placeret i tredje forsvarslinje kan en intern revisionsfunktion have fokus på:
- Vurdering af, om processen for risikoidentifikation sikrer et pålideligt og opdateret risikobillede for virksomheden
- Vurdering af, om komponenterne i COSO-kontrolrammeværket er passende i forhold til virksomhedens risici
- Tests af kritiske kontrolaktiviteter for at sikre, at de kritiske risici, inkl. besvigelsesrisikoen, er effektivt afdækkede.
Fordi den interne revision ikke er en del af driftsorganisationen, kan ledelsen nemmere anvende disse ressourcer til målrettede indsatsområder som fx besøg i datterselskaber i risikolande generelt eller risikoaktiviteter specifikt eller ud fra specifik mistanke mod fx en indkøbsorganisation, lokal ledelse osv. Hvis din virksomhed har detailbutikker, kan intern revision fx anvendes til at foretage uanmeldte kasseeftersyn, enten for at sikre, at forretningsgange følges, eller af præventive årsager. Andre indsatser kan være på områder som fx rejse- og repræsentationsomkostninger, som ikke følger interne retningslinjer.
Den interne revisionsfunktion skaber også værdi som sparringspartner for den traditionelle finansfunktion. Det kan ske gennem alt fra forretningsgange, som kan optimeres, til sparring om regnskabstekniske forhold, fx hvor de indebærer væsentlige vurderings- eller estimatskøn.
For at sikre en målrettet indsats, og at ressourcerne i den interne revision ikke ender som enten en del af driftsfinansorganisationen eller uden at skabe værdi, kan du med fordel formulere aktiviteterne i en intern revisionsplan for at sikre forventningsafstemning med ledelsen. Med en sådan plan er det også nemmere at rapportere på observationer og anbefalinger. For at styrke uafhængigheden af CFO’en – eller nærmere mindske afhængigheden – kan en løsning være, at funktionen rapporterer direkte til CEO’en.
Overvejer du styrkelse af kontrolsystemet ved brug af principperne for intern revision?
