Ser revisjonsutvalget Internrevisjonens røde flagg?
Ser revisjonsutvalget Internrevisjonens røde flagg?
Internasjonale internrevisjonsstandarder bygger på at revisjonsutvalget gjør periodiske vurderinger av internrevisjonen. Noen gjennomføre systematiske evalueringer ved hjelp av eksterne, mens andre tar lettere på dette. KPMG har satt opp noen punkter som etter vår erfaring gir sterke signaler på at noe kan være galt i internrevisjonen, forteller partner Thore Kleppen i KPMG.
1. Det samme teamet gjennomfører alle revisjoner, fra skatt til teknologi til verdikjede.
2. Internrevisjonens årsplan fokuserer på rullerende revisjoner og tar ikke tak i risikoer som dukker opp.
3. Internrevisjonen rapporterer frittstående funn uten at rapporter og funn sees i sammenheng - det settes ikke streker mellom prikkene.
4. De samme tema kommer revisjon etter revisjon, år etter år, fordi virksomheten ikke evner å ta tak i og løse de utfordringer internrevisjoner avdekker.
5. Det er mange ad-hoc-endringer i revisjonsplanen, men ingen systematisk prosess for jevnlig gjennomgang og oppdatering av planen for å sikre at man dekker de relevante risikoer.
6. Internrevisjonen bruker samme tilnærming og metode på alle revisjonene, heller enn å tilpasse tilnærmingen til det enkelte revisjonsprosjekt.
7. Revisjonsutvalget og andre vesentlige brukere av internrevisjonens arbeid, mottar ikke oversikter som sammenstiller risikobildet og revisjonsprosjekter på en åpne og innsiktsfull måte, hvor også hull og dupliseringer framkommer.
8. Internrevisjonen er ikke åpen på hva man ikke gjennomførte av opprinnelig revisjonsplan og ikke hvorfor.
9. Internrevisjonen fokuserer for mye på revisjonsprosessen. De fokuserer for lite på revisjonenes funn og vurderinger og utdypninger omkring disse.10. Internrevisjonen presenterer ikke jevnlig et finansielt og operasjonelt barometer til revisjonsutvalget.
Vurderinger for revisjonsutvalget framover:
- Har revisjonsutvalget uttrykt klare forventninger til
internrevisjonsfunksjonen og evaluert hvorvidt de besitter nødvendige kapasiteter? - Bør internrevisjonen fokusere mer på kritiske forretningsrisikoer?
- Er risikobildet for din organisasjon definert og vurdert, og er revisjonsutvalget fornøyd med den trygghet som dagens
internrevisjonsplaner gir i så måte? - Hvilke kapasiteter savner revisjonsutvalget i dagens internrevisjon? Hvordan tenker revisjonsutvalget å påse at man tetter disse gapene?
- Setter internrevisjonen streker mellom prikkene, slik at helheten framkommer? Internrevisjonen kan både dovne, få skylapper og se i feil retning. Hvem skal vekke dem og hjelpe dem i rett retning? KPMG mener internrevisjonen kunne blitt et enda bedre verktøy hvis revisjonsutvalget var enda klarere i sine forventninger.
Kontaktperson
Thore Kleppen, Partner
+47 4063 9515
thore.kleppen@kpmg.no
© 2023 KPMG AS and KPMG Law Advokatfirma AS, Norwegian limited liability companies and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.
For more detail about the structure of the KPMG global organization please visit https://kpmg.com/governance.