Site Search

Loading Results

Hvordan kan en intern revisionsfunktion styrke robustheden?
#

Denne artikel stiller skarpt på, hvordan en intern revisionsfunktion kan styrke virksomhedens robusthed i en mere uforudsigelig og globaliseret omverden. Intern revision spiller en afgørende rolle i bestyrelsens arbejde med at vurdere og håndtere det aktuelle risikobillede i en tid, hvor der er øget behov for objektive undersøgelser, risikostyring samt vurdering af finansiel og operationel effektivitet. Du kan blandt andet også læse mere om, hvordan virksomhedens revisionsudvalg bør udarbejde en funktionsbeskrivelse, der fastsætter rammerne for den interne revision.

Sikkerhed for risiko- og kontrolmiljø i en omskiftelig verden

Virksomheder, som er i stand til at håndtere omskiftelige omgivelser og et ændret risikobillede (risk agile), har større sandsynlighed for at opnå profitabel vækst og skabe værdi sammenlignet med de virksomheder, som er unødigt risikoaverse. Samtidig er det afgørende, at virksomheder har robuste systemer til at modstå uønskede risici. Det er i den forbindelse vigtigt, at bestyrelsen løbende monitorerer, at risikoniveauet er inden for virksomhedens risikoappetit. I det arbejde kan en professionel intern revisionsfunktion være bestyrelsens forlængede arm.

Danske virksomheders omgivelser ændrer sig hurtigere og mere uforudsigeligt end nogensinde før. Det stiller større krav til bestyrelsens forståelse af ikke bare virksomheden og dens omgivelser (risikounivers), og hvilke risici virksomheden kan overleve (risikotolerance), men også hvilke risici bestyrelsen bevidst ønsker at tage (risikoappetit).

Her spiller intern revision en afgørende rolle i at udfordre risikobilledet og give en uafhængig tilbagemelding til bestyrelsen om, hvorvidt den samlede risiko ligger inden for virksomhedens definerede risikoappetit.

Risikounivers, risikotolerance og risikoappetit

Hvad er intern revision, og hvornår skal den benyttes?

For finansielle virksomheder, der i de seneste to regnskabsår på balancetidspunktet i gennemsnit har haft 125 eller flere fuldtidsansatte, er der krav om etablering af en intern revision, jf. Revisionsbekendtgørelsen.

For ikke-finansielle virksomheder anbefales det, at bestyrelsen årligt vurderer behovet for etablering af en intern revisionsfunktion.

I Anbefalinger for god Selskabsledelse er der også anført anbefalinger om intern revision, og i afsnit 3.4.3 anbefales det, at revisionsudvalget bistår bestyrelsen med at vurdere behovet for en intern revision. Hvis bestyrelsen på grundlag af en indstilling fra revisionsudvalget beslutter at etablere en intern revisionsfunktion, har revisionsudvalget til opgave:

  • at udarbejde en funktionsbeskrivelse (audit charter) og anbefalinger om udvælgelse, ansættelse og afskedigelse af lederen af den interne revisionsfunktion samt udarbejde budgettet for funktionen

  • at påse, at den interne revisionsfunktion har tilstrækkelige ressourcer og kompetencer til at kunne udføre sin rolle

  • at overvåge direktionens opfølgning på den interne revisions konklusioner og anbefalinger.

Anbefalinger til udarbejdelse af funktionsbeskrivelsen (audit charter)

Som en hjælp til danske virksomheder publicerede Komitéen for god Selskabsledelse i december 2021 en vejledning vedrørende funktionsbeskrivelse til interne revisionsfunktioner i danske virksomheder, som ikke er underlagt Finanstilsynet. I vejledningen indgår et eksempel på en funktionsbeskrivelse, som forklarer arbejdets formål på følgende måde: ”Formålet med intern revision er at styrke og beskytte NN’s værdier ved at levere risikobaseret og objektiv sikkerhed, rådgivning og indsigt. Intern revision bidrager til, at NN kan opnå sine mål ved at anvende en systematisk og disciplineret tilgang til at evaluere og forbedre effektiviteten af ledelsesprocesser, risikostyring og kontrolprocedurer.”

Funktionsbeskrivelsen har til hensigt at fastsætte rammerne for intern revision og bør omhandle den interne revisionsfunktions formål og omfang, beføjelser, rapporteringsstruktur og ansvar. Den bør ligeledes angive, hvilke områder og opgaver der kan begrænse den interne revisions uafhængighed og objektivitet, samt at funktionen skal efterleve de internationale standarder for intern revision (Global Internal Audit Standards) publiceret af The Institute of Internal Auditors (IIA) og de tilhørende etiske regler publiceret af IIA.

Det er vigtigt, at virksomheden løbende vurderer og evaluerer funktionsbeskrivelsen, som skal godkendes formelt af bestyrelsen/revisionsudvalget.

Anbefalinger til etablering af en stærk governancestruktur

Intern revision kan spille en stor rolle i virksomhedens facilitering af en stærk governancestruktur, herunder risikostyring og et internt kontrolsystem. Modellen The IIA’s Three Lines Model viser grundlaget for, hvordan man opbygger en god og hensigtsmæssig governancestruktur i virksomheden. Modellen skelner mellem ansvar og roller inden for tre linjer, hvor bestyrelsens overordnede rolle er at sikre en effektiv governancestruktur, der understøtter virksomhedens målsætninger.

Første linje består af linjechefer, der er ansvarlige for, at forretningsgange og interne kontroller overholdes inden for deres respektive områder, således at man reducerer risici på tværs af virksomheden. Det er typisk første linje, som er risikoejere.

Anden linje har til opgave at rådgive og overvåge første linje. Derudover skal anden linje sikre, at virksomheden implementerer nødvendige og tilstrækkelige kontroller samt forretningsgange, så man får nedbragt væsentlige risici til et acceptabelt niveau. Første og anden linje rapporterer begge til direktionen.

Tredje linje består af denne artikels fokus, nemlig intern revision. Det er den interne revisions ansvar at overvåge første og anden linje samt ud fra dette give uafhængig assurance og rådgivning på det reviderede område og på tværs af virksomheden. Den interne revision rapporterer som den tredje linje til bestyrelsen, hvilket bidrager til, at intern revision kan opleves som en uafhængig og troværdig assurance samt rådgivningsfunktion.

Derudover kan eksterne assurance-udbydere udgøre en fjerde linje, som har til formål at sikre yderligere assurance i forhold til lovgivningsmæssige og regulatoriske krav til virksomheden. Det kan fx være en generalforsamlingsvalgt finansiel revisor eller forskellige tilsynsmyndigheder, der varetager opgaven.

Modellen ”Tre linjer” fra IIA

Forankring af uafhængighed i intern revision

Uafhængighed er et væsentligt parameter for interne revisionsfunktioner. Interne revisionsfunktioner er ofte funktionelt forankrede hos bestyrelsen/revisionsudvalget. Denne forankring bidrager til at styrke funktionens uafhængighed af de enkelte forretningsområder og øger muligheden for uhindret at kunne udtale sig om risiko- og kontrolmiljøet på tværs af virksomheden.

Ifølge vejledningen om funktionsbeskrivelse for intern revision bør den interne revisionschef rapportere administrativt til direktionen. Dog skriver Komitéen for god Selskabsledelse: ”I nogle virksomheder refererer revisionschefen dog både funktionelt og administrativt til direktionen, men har stadig ubegrænset adgang til revisionsudvalget/bestyrelsen for at sikre uafhængighed”.

Principper for den værdiskabende interne revision

Der findes ingen unik formel for, hvordan en intern revision bør etableres. Der findes heller ikke en entydig optimal størrelse for funktionen. Det væsentlige er, at funktionen har en tilstrækkelig størrelse og kompetencer til at kunne påtage sig de opgaver, den bliver stillet overfor.

Generelt bør funktionens design tage udgangspunkt i det miljø samt de behov og risici, som virksomheden står overfor. Når beslutningen om at etablere en intern revisionsfunktion er taget, er det vigtigt først at klarlægge forventningerne til funktionen. Ofte kan den interne revisions interessenter have forskellige agendaer og målsætninger for revisionens arbejde. 

Det er derfor vigtigt, at intern revision opnår tilstrækkelig uafhængighed, objektivitet og kompetencer til at kunne levere en indsats inden for de ønskede områder. Er det ikke tilfældet, risikerer den daglige ledelse og bestyrelsen at mangle kvalificeret input eller at modtage input af utilstrækkelig kvalitet. Virksomheder kan styrke kompetencerne i den interne revision ved at ansætte de rette profiler, sikre relevant ekstern bistand eller en kombination heraf. 

PwC har udarbejdet fem grundlæggende principper, som bestyrelsen og virksomheden kan bruge som inspiration til en mere værdiskabende intern revision. Principperne bygger på drøftelser med interessenter og interne revisionschefer samt PwC’s erfaring med at levere interne revisionsydelser:

  • Skab værdi gennem forretningsforståelse og en risikobaseret tilgang

  • Find de rette talenter og giv plads til refleksion samt udvikling

  • Skab en kultur centreret om kundeservice og interessenthåndtering

  • Udnyt de teknologiske muligheder, særligt dataanalyser og -visualiseringer

  • Levér innovative ydelser af høj kvalitet med øje for investeringen.

Intern revisions modenhedskurve

PwC’s akkumulerede “insight research” fra bl.a. PwC’s årlige “State of the Internal Audit Profession”-undersøgelse har identificeret, at interne revisionsfunktioner kan kategoriseres ud fra en modenhedskurve. Kurven er subjektiv, men de interne revisionsfunktioner, der sigter mod at være en betroet rådgiver, vil ifølge kurven skabe mere oplevet værdi for virksomhederne end dem, der alene yder revision (assurance).

Intern revisions modenhedskurve

Udviklingen frem mod at blive en betroet rådgiver kan ske i kraft af følgende skridt (med fordel i den rækkefølge):

  • Yder revision: Forsikrer bestyrelsen om, at effektiviteten af de interne kontroller er tilstrækkelig.

  • Problemløser og assurance-udbyder: Anvender ekspertise og relevante redskaber til at identificere årsager til forretningsmæssige udfordringer.

  • Giver indsigt: Leverer proaktiv indsigt på tværs af virksomheden, der kan medvirke til at løse forretningsmæssige udfordringer.

  • Betroet rådgiver: Intern revision bidrager med kontinuerlig, proaktiv indsigt og assistance, hvilket skaber et tæt partnerskab med den daglige ledelse og bestyrelse. Den interne revisionsfunktion fungerer på den måde som en betroet rådgiver i forbindelse med væsentlige beslutninger. Som betroet rådgiver vil den interne revision også kunne give den daglige ledelse og bestyrelse løbende rettidig feedback på, om virksomheden efterlever strategier og når de besluttede mål.

Uagtet typen og størrelsen af den interne revisionsfunktion er det en forudsætning, at den bidrager med at give den nødvendige sikkerhed i forhold til de finansielle og operationelle kontroller, der fungerer som springbræt for, at den interne revision kan nå nye højder som betroet rådgiver. Her spiller brugen af data og digitale værktøjer en afgørende rolle, da det muliggør bedre og smartere løsninger på de udfordringer og risici, som virksomheden står overfor.

Bemanding af en intern revisionsfunktion

Intern revision bør være bemandet, således at den er i stand til at løfte de udfordringer, ledelsen ønsker bistand til. Dette kan opnås ved at etablere en ”in-house”-funktion med alle de rette kompetencer eller ved helt eller delvist at outsource den interne revision til en ekstern partner. Fordelen ved en ”in-house”-funktion er, at indsigt og viden forankres fuldt i virksomheden.

Vælger virksomheden outsourcing eller co-sourcing af den interne funktion, er fordelene blandt andre:

  • Hurtig etablering med minimale risici og omkostninger

  • Uafhængig intern revision

  • Transformation af faste omkostninger til variable omkostninger, hvilket giver fuld fleksibilitet

  • Den rette løbende kombination af kompetencer og viden tilpasset situationen

  • Adgang til globale ressourcer, specialistkompetencer og avanceret teknologi

  • Frigørelse af ledelsesressourcer til anden, mere strategisk brug.

Få hjælp til jeres interne revision

Vi hjælper jer med at forstå de potentielle implikationer af de risici jeres organisation står overfor

Læs mere

Alternativer til en intern revisionsfunktion

Virksomheder uden en uafhængig og objektiv intern revisionsfunktion kan ved at implementere alternative funktioner opnå nogle af de samme fordele. Det kan fx være gennem funktionerne i den anden linje, som har organisatorisk og operationel afstand til risikoejerne i den daglige drift, dvs. funktionerne i første linje.

Alternativer til uafhængige interne revisionsfunktioner kan give en rimelig grad af sikkerhed for virksomheden. Alternativerne kan dog ikke fuldt ud erstatte en intern revisionsfunktion, da de ikke er uafhængige. Derfor kan niveauet af forventet sikkerhed variere afhængig af organisationsopsætning, ressourcer, mandat og metodologi.

Omfanget af en intern revision eller alternative assurance afdelinger kan variere fra interne kontroller relateret til finansiel rapportering til andre relevante risici og kontrolområder som forretningsrisici, compliance-risici, forretningsetik, ESG-risici mv. Nedenfor er angivet nogle best practice-alternativer til at opnå nogle af de samme fordele, som uafhængige interne revisionsfunktioner ellers ville give:

Alternativer til en uafhængig intern revisionsfunktion:

  • Intern kontrolfunktion, der proaktivt styrer og understøtter det interne kontrol-setup i virksomheden. Dette kunne udformes som en anden linjefunktion med mandat til og ansvar for at vurdere samt teste de interne kontroller og rapportering tilbage til den governance-ansvarlige. Gennemgangen bør udføres på stedet, dvs. hvor kontrollerne udføres.

  • Økonomistyringsfunktion, der evaluerer kontrolmiljøet på periodisk basis, fx som en del af regnskabsafslutningen og rapporteringsprocedurerne. For at få tilstrækkelig dækning og ejerskab i virksomheden kan funktionen understøttes med en selvevaluering udført af proces-/risikoejere og valideres på stikprøvebasis. Gennemgangen bør udføres på stedet, dvs. hvor kontrollerne udføres.

  • Business assurance, risk management, compliance eller andre lignende funktioner kan validere det interne kontrolmiljø. Med passende sikkerhedsforanstaltninger mod selvrevision vil niveauet af opfattet sikkerhed øges. Gennemgangen bør udføres på stedet, hvor kontrollerne udføres.

  • Peer review mellem forskellige afdelinger, hvor relevant uddannede personer foretager vurderinger af forretningsenheder/afdelinger, som personerne ikke er organisatorisk tilknyttet. Ud over at opnå sikkerhed for den vurderede forretningsenhed, vil det hjælpe med at øge bevidstheden og dele god praksis på tværs af en gruppe af virksomheder.

  • Co-sourcing med en ekstern part for at få uafhængig sikkerhed på udvalgte risikoområder.

Bestyrelsens rolle og opgaver

Bestyrelsen spiller en afgørende rolle i forbindelse med optimeringen af udbyttet fra den interne revisionsfunktion. En klar forventningsafstemning mellem bestyrelsen og den interne revision, samt et veldefineret fundament sikrer en effektiv og værdiskabende intern revisionsfunktion.

Som bestyrelsesmedlem bør man stille sig selv spørgsmålene:

  • Hvordan får jeg rettidig og nøjagtig rapportering og overbevisning om, at virksomheden ikke påtager sig risici uden for vores risikoappetit?

  • Hvem er i stand til at give mig et uafhængigt billede af risiko- og kontrolmiljøet i virksomheden?

  • Hvem kan give mig sikkerhed for, at vi påtager os tilstrækkelige risici til at nå vores målsætninger, samtidig med at vi bibeholder vores modstandskraft mod uønskede hændelser?

  • Hvem er mine “øjne og ører” ude i virksomheden?

En professionel intern revisionsfunktion kan være svaret på alle spørgsmålene. Behovet for en værdiskabende intern revisionsfunktion har aldrig været større, og de bedste interne revisionsfunktioner formår at agere som bestyrelsens forlængede arm.

Dette gøres ved:

  • at skabe gennemsigtighed for bestyrelsen

  • at koordinere effektivt med virksomhedens øvrige compliance- og risikofunktioner

  • at identificere og vurdere eksisterende såvel som nye risici

  • at danne partnerskaber med relevante interessenter.

Tilstedeværelsen af en intern revision skaber yderligere tillid til, at bestyrelsen er tilstrækkelig klædt på til at kunne vurdere og forholde sig til de risici, som virksomheden står overfor.

I de virksomheder, hvor bestyrelsen, efter indstilling fra revisionsudvalget, vælger ikke at have en uafhængig intern revisionsfunktion, bør bestyrelse og revisionsudvalg sikre, at de forventede opgaver udføres et andet sted i virksomheden eller af eksterne leverandører.

PwC som sparringspartner

PwC har mange års erfaring som rådgiver og sparringspartner for direktioner og bestyrelser.

Sådan kan vi hjælpe

Kontakt os

Jeanne Koch Rasmussen

Partner, Risk Assurance, København, PwC Denmark

5386 3678

E-mail

{{filterContent.facetedTitle}}

Om os Kontorer Presse Kontakt os

© 2021 - 2025 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.