logo

Eksternt engasjert internrevisor:

Uavhengighet og rådgivningstjenester

Mange selskaper har utkontraktert internrevisjonen, enten helt eller delvis. Samtidig ønsker de å få levert rådgivningstjenester fra samme leverandør, både gjennom utkontrakteringsavtalen, og uavhengig av denne. Artikkelen drøfter hvor grensene går for art og omfang av rådgivning som tillates i slike situasjoner.

Avklaringene har relevans også for ansatt internrevisors håndtering av rådgivningsoppdrag.

Det er blitt vanlig at internrevisjon helt eller delvis utkontrakteres, normalt til et av de store revisjonsselskapene. Slike internrevisjonsavtaler består gjerne av bekreftelsesoppdrag og rådgivningsoppdrag som må utføres i henhold til internrevisjonsstandardene. For denne typen rådgivningsoppdrag er uavhengighets- og objektivitetsreglene relativt tydelige.

I praksis etterspørres ofte også andre typer rådgivning fra leverandøren - rådgivning som ikke er relatert til internrevisjon og som dermed ikke omfattes av utkontrakteringsavtalen for internrevisjon. Internrevisorrollens krav om uavhengighet og objektivitet kan imidlertid medføre begrensninger i muligheten til å yte slik rådgivning, selv om adgangen på ingen måte er stengt. Det synes å være et behov for avklaring og grensedragning om slik rådgivning, både fra kjøpersiden og leverandørsiden.

Problemstillingen drøftes todelt: (1) I hvilken grad kan internrevisjonsleverandøren utføre rådgivning innenfor utkontrakteringsavtalen for internrevisjon, og (2) i hvilken grad kan internrevisjonsleverandøren utføre rådgivning utenom utkontrakteringsavtalen for internrevisjon?

Problemstillingene er ikke regulert av lov eller forskrift. Veiledning må derfor søkes i den internasjonale internrevisorforeningens (Institute of Internal Auditors) standarder for profesjonell utøvelse av internrevisjon (IIA-standardene), samt i uttalelser fra autorative kilder som Finanstilsynet og IIA.# Medlemmer i Den Norske Revisorforening vil i tillegg være bundet av IFAC’s code of ethics. Kravene til uavhengighet og objektivitet er imidlertid i praksis sammenfallende med IIA’s Code of Conduct og tilfører ikke ytterligere begrensninger. Videre vil rådgivning til revisjonspliktige foretak omfattes av revisorlovens krav til blant annet dokumentasjon, oppbevaring og taushetsplikt, men dette er ikke relevant for artikkelens problemstilling (se revl. §4-1 som viser til utvalgte deler av revisorloven).

Problemstilling 1: Rådgivning innenfor utkontrakteringsavtalen

Egenskapstandard 1100 krever at internrevisjonen må være uavhengig, og at internrevisor må være objektiv i utførelsen av sitt arbeide. Kravet gjelder også ved utkontraktert internrevisjon. Spørsmål knyttet til internrevisors rådgivning bør derfor først drøftes generelt, og deretter spesifikt inn mot rådgivning utført innenfor en utkontrakteringsavtale for internrevisjon. Følgende spørsmål er relevante:

  1. Er arten rådgivning tillatt og/eller en trussel mot internrevisjonsfunksjonens uavhengighet?

  2. Er rådgivningen en trussel mot den enkelte internrevisors objektivitet?

  3. Foreligger det ytterligere begrensninger for rådgivning levert av utkontraktert internrevisjonsleverandør?

Finanstilsynet om uavhengighet og objektivitet

Uavhengighetskravet omhandler selve internrevisjonsfunksjonen og kravet om at internrevisjonssjefen skal rapportere til et organisasjonsnivå som gjør det mulig for enheten å ivareta sitt ansvar.

Objektivitetskravet omhandler den enkelte internrevisor og kravet om at hun/han skal unngå interessekonflikter og ha en upartisk og uhildet innstilling i sitt arbeide.

Uavhengighetskravet / tillatte arter rådgivning

Internrevisjonsstandardenes uavhengighetskrav gjelder selve internrevisjonsfunksjonen og kravet om at internrevisjonssjefen skal rapportere til et organisasjonsnivå som gjør det mulig for enheten å ivareta sitt ansvar (Finanstilsynet 2005, s. 7)# www.kredittilsynet.no/archive/f-avd_word/01/04/Temat033.doc. Spørsmålet om tillatte arter rådgivningsoppdrag kan derfor ikke besvares med utgangspunkt i internrevisjonsstandardenes regler om uavhengighet.

Internrevisjonsstandardenes definisjon av internrevisjon bidrar imidlertid med relevante avklaringer: Internrevisjon er en uavhengig og objektiv bekreftelses- og rådgivningsfunksjon som tilfører merverdi ved å evaluere og forbedre prosessene for risikostyring, kontroll og governance. Rådgivning relatert til governance, risikostyring og kontroll er dermed pr. definisjon tillatt. Standardenes brede definisjon av de tre begrepene legger videre opp til et bredt mulighetsspekter for potensielle arter rådgivningsoppdrag.# Governance er eksempelvis definert som «Kombinasjonen av prosesser og strukturer som er implementert av styret for å informere, lede, styre og overvåke organisasjonens aktiviteter rettet mot måloppnåelse», og kontroll er definert som » Et hvert tiltak iverksatt av ledelsen, styret og andre parter for å styre risiko og øke sannsynligheten for at organisasjonens målsetninger nås. Ledelsen planlegger, organiserer og styrer gjennomføringen av tilstrekkelige tiltak for å oppnå rimelig sikkerhet for måloppnåelse.»

Det fremkommer av Finanstilsynets tematilsyn om internrevisjon (Finanstilsynet 2005, s. 7)# www.kredittilsynet.no/archive/f-avd_word/01/04/Temat033.doc at «kravet om objektivitet og upartiskhet ikke er til hinder for at internrevisjonen er engasjert i rådgivning eller konsulentvirksomhet, da dette kan være en kostnadseffektiv måte å sikre at styre og ledelse tar velinformerte beslutninger ved innføring av styring og kontrolltiltak i organisasjonen.» Videre sier Finanstilsynet at også andre typer rådgivning kan være aktuell, men at den ikke bør komme i veien for internrevisjonens primæroppgave: «Finanstilsynet presiserer at annen form for rådgivnings- og konsulentvirksomhet må være underordnet den grunnleggende funksjonen til internrevisjonen, - som en uavhengig enhet etablert for å etterse og evaluere den interne styring og kontroll».

I IIAs «position paper» om internrevisjonens rolle i enterprise risk management (ERM) trekkes det grenser for hva som er tillatt rådgivning og hva som ikke er tillatt rådgivning i forbindelse med ERM.# www.iia.org.au/PublicDocument?q=/IPPF_PP_Role_of_IA_in_ERM_01.09.pdf Hovedprinsippet er at rådgivningen må ha til hensikt å forbedre governance, risikostyring og kontroll, men uten at internrevisjonen påtar seg ledelsens ansvar («management responsibility»). Eksempler på tillatte rådgivningsformer inkluderer «counsel, advice, facilitation, and training». De prinsipielle grensedragningene i IIAs «position paper» bør også ha relevans for rådgivning levert på andre områder enn ERM.

Uavhengighetskravet er ikke relevant for å besvare spørsmål om tillatte arter rådgivning, da uavhengighet gjelder organisasjonsmessige forhold og ikke internrevisjonens faktiske arbeid. Av standardens definisjon av internrevisjon følger det at rådgivning om temaene governance, risikostyring og kontroll er forventet. Øvrige tema er også tillatt, men bør være underordnet og ikke komme i veien for internrevisjonens primæroppgave (ref. Finanstilsynets presiseringer). Av standardene og øvrige kilder fremkommer det at rådgivning er uproblematisk så lenge internrevisor ikke påtar seg lederansvar. Dette sikres ved å benytte rådgivningsformene «counsel, advice, facilitation, and training», og ved å unngå at internrevisor tar beslutninger om utforming, implementering eller drift av virksomhetens aktiviteter.

Objektivitetskravet

Neste spørsmål gjelder den individuelle internrevisors objektivitet. Egenskapsstandard 1120 krever at internrevisor må ha en upartisk innstilling og unngå enhver interessekonflikt. Standardenes practice advisory (PA 1120-1 pkt. 4.) presiserer at det å gi anbefalinger om internkontroll, og å gjennomgå prosedyrer i forkant av implementering, ikke truer objektiviteten. Objektiviteten trues derimot når internrevisor selv står for utforming, implementering eller drift. Grensen er dermed tydelig; gi råd og la ledelsen beslutte, men stå ikke selv for den endelige utformingen.

I tillegg til det skjønnsmessige kravet om å unngå profesjonelle eller personlige interessekonflikter har standarden et mekanisk krav om at internrevisor ved bekreftelsesoppdrag må avstå fra å evaluere konkrete aktiviteter som de har hatt ansvaret for i løpet av det siste året (implementeringsstandard 1130. A1). Figur 1 illustrerer et beslutningstre for hvordan internrevisor kan avgjøre om han/hun er objektiv i forhold til det enkelte bekreftelsesoppdrag.

Standarden presiserer for øvrig at rådgivningsoppdrag er tillatt, selv om man tidligere har hatt ansvaret for aktiviteten (implementeringsstandard 1130. C1).

Finanstilsynet (2005) utdyper at «for å ivareta sin objektivitet, kan ikke internrevisjonen involvere seg i de daglige interne kontrollprosedyrer. Dette ansvaret tilligger linjeorganisasjonen som på hvert nivå har ansvaret for internkontrollen innenfor sitt område. Videre bør internrevisjonen ikke lede prosjekter initiert av ledelsen, og for øvrig begrense sin deltakelse i slike prosjekter. I den grad internrevisjonen skal delta, bør dette heller være som observatør for på det viset å unngå konflikt med kravet om objektivitet ved etterfølgende revisjonshandlinger.» Det presiseres av artikkelforfatter at Finanstilsynets synspunkt er betinget av at internrevisor ønsker å «ivareta sin objektivitet». Dersom internrevisor imidlertid er villig til å ofre objektiviteten, kan han selvsagt velge å utføre disse oppgavene, men objektivitetstruslene må da håndteres i tråd med standardenes krav.

Konsekvenser av manglende objektivitet hos en internrevisor er:

  • En internrevisor kan ikke utføre bekreftelsesoppdrag hvor vedkommendes objektivitet er truet. Vedkommende må tas av oppdraget og erstattes med en internrevisor med objektiviteten i behold. Alternativt kan internrevisjonen la være å utføre oppdraget.

  • Ved rådgivningsoppdrag skal oppdragsgiver informeres om objektivitetstrusselen før aksept av oppdraget (implementeringsstandard 1130. C2). Alternativt kan vedkommende tas av oppdraget og erstattes med en internrevisor med objektiviteten i behold, eller internrevisjonen kan la være å utføre oppdraget.

Regler for utkontrakteringspartner

I utgangspunktet gjelder de samme reglene for uavhengighet og objektivitet når internrevisjon er utkontraktert. Dersom internrevisor vil være sikker på å opprettholde objektiviteten til de enkelte internrevisorene, bør rådgivningsoppdrag kun være av akseptert art. Alternativt kan øvrige typer rådgivningsoppdrag utføres, men da må objektivitetstruslene håndteres i tråd med standardenes krav (se over). Ved senere bekreftelsesoppdrag må utkontrakteringspartner påse at de enkelte internrevisorene er objektive i forhold til det enkelte oppdrag (se PA 1210. A1-1).

Problemstilling 2: Rådgivning utenfor utkontrakteringsavtalen

Selv om utkontrakteringspartner leverer rådgivning som en del av internrevisjonsavtalen, kan det være at kjøper ønsker annen type rådgivning levert - rådgivning som ikke faller innenfor utkontrakteringsavtalen for internrevisjon. Eksempelvis kan ledelsen ha behov for skatterådgivning, regnskapsfaglige råd eller andre typer råd som ligger tettere opp mot det internrevisjonen også befatter seg med. Når utkontrakteringspartner samtidig leverer internrevisjonstjenester, er det viktig at rådgivningen som leveres utenfor utkontrakteringsavtalen ikke truer objektiviteten til internrevisorene (se PA 1210. A1-1 pkt.7). Nedenfor drøftes konsekvenser av problemstillingen opp mot uavhengighetskravet og objektivitetskravet.

Uavhengighetskravet/tillatte arter rådgivning

Uavhengighetskravet vedrører ikke arten av rådgivning, men selve internrevisjonsfunksjonen og kravet om at internrevisjonssjefen skal rapportere til et organisasjonsnivå som gjør det mulig for enheten å ivareta sitt ansvar (se avklaring i drøftingen under problemstilling 1). Internrevisjonsfunksjonens uavhengighet kan derfor ikke trues av arten rådgivning utkontrakteringspartner leverer utenfor utkontrakteringsavtalen.

Da rådgivning levert utenfor internrevisjonsavtalen ikke er internrevisjon, omfattes den heller ikke av begrensningene om primært å rette seg mot governance, risikostyring og kontroll.

I praksis kan det likevel være fornuftig å stille et kontrollspørsmål: «Kunne internrevisor utført denne rådgivningen?» Hvis svaret er ja, er det uproblematisk at rådgivningen utføres også utenfor internrevisjonsavtalen. Hvis svaret er nei, er det heller ingen regler mot å gi rådgivning, men konsekvenser for eventuelle senere internrevisjonsoppdrag bør vurderes - for eksempel om man da må benytte ulike team (mer om dette nedenfor).

Objektivitetskravet

Objektivitetskravet har direkte relevans, da objektiviteten til de enkelte internrevisorene kan trues av utført rådgivning. Objektivitetstrusler kan oppstå gjennom at enkeltpersoner yter rådgivning både innenfor og utenfor utkontrakteringsavtalen for internrevisjon, gjennom profesjonelle og/eller personlige forhold, eller gjennom at den totale relasjonen utkontrakteringspartner har til kjøper blir så tett at den truer de ansattes objektivitet.

Hvis enkeltpersoner yter rådgivning både innenfor og utenfor utkontrakteringsavtalen for internrevisjon, kan de senere havne i en situasjon der de skal utføre bekreftelsesoppdrag for aktiviteter hvor de tidligere har vært rådgivere. Dette vil være en form for egenkontrolltrussel mot objektiviteten. I prinsippet er ikke dette annerledes enn ved rådgivning levert som en del av utkontrakteringsavtalen. Internrevisjonsstandardene krever i begge tilfellene at det må ha gått minst 12 måneder siden man var rådgiver for at objektivitetstrusselen skal opphøre i forbindelse med bekreftelsesoppdrag (implementeringsstandard 1130. A1). Alternativt kreves at vedkommende trekker seg fra bekreftelsesoppdraget og erstattes med en annen objektiv internrevisor. Ut fra en mekanisk tolkning av standardene vil dette være en tillatt løsning. I praksis vil det kanskje være enklere om man klart skiller mellom de som leverer innenfor utkontrakteringsavtalen for internrevisjon, og de som leverer rådgivning utenfor - i hvert fall for de store revisjonsselskapene som har mange personer å trekke på.

Videre kan profesjonelle eller personlige forhold true objektiviteten. I praksis kan det oppstå ved at internrevisor blir bedt om å utføre oppdrag relatert til aktiviteter hvor kolleger som er personlige venner eller uvenner, tidligere har levert rådgivning, eller hvor kolleger som er faglige motstandere eller støttespillere, tidligere har gitt råd. Begge typer forhold oppstår fordi det er utført rådgivning som senere gir konsekvenser for internrevisors objektivitet. Når det er slik, bør internrevisor tas av det aktuelle oppdraget og erstattes med en annen objektiv internrevisor. Dette kan imidlertid oppstå uavhengig av om rådgivning leveres innenfor eller utenfor utkontrakteringsavtalen, og i internrevisjonsfunksjoner der alle er ansatt. Det bør derfor tas hensyn til potensielle personlige og profesjonelle objektivitetstrusler i forbindelse med sammensetning av rådgivnings- og internrevisjonsteam i den grad det er mulig. Det er imidlertid ikke et generelt argument mot rådgivning innenfor eller utenfor utkontrakteringsavtale for internrevisjon.

Internrevisorenes objektivitet kan også trues hvis det utenfor utkontrakteringsavtalen leveres et stort omfang av rådgivning, eller at relasjonen til kunden på andre måter blir for tett (se PA 1210.A1. -1 pkt. 7). Her er det ikke mulig å trekke opp konkrete retningslinjer, men kun peke på det generelle; hvis rådgivning utenfor utkontrakteringsavtalen når et slik omfang at det blir vanskelig å finne objektive internrevisorer, eller det blir vanskelig for internrevisorene å kritisere egen arbeidsgivers arbeid, må omfanget av rådgivning reduseres eller utkontrakteringsavtalen for internrevisjon avsluttes. Imidlertid kan det innvendes at dette ikke er annerledes enn for ansatte internrevisorer som jo har som oppgave å vurdere egne kollegaer i virksomheten der de er ansatt. Videre har de store revisjonsselskapene uavhengighet, objektivitet og integritet som sitt daglige virke, og er profesjonelle i håndteringen av temaet. Omfangstrusselen er likevel et vurderingselement som det bør tas hensyn til ved et stort omfang av rådgivningsoppdrag utenfor utkontrakteringsavtalen

Konklusjon

Innenfor en utkontrakteringsavtale for internrevisjon er internrevisjonsleverandør omfattet av de samme uavhengighets- og objektivitetsreglene som ansatt internrevisor. I praksis kan et bredt spekter av rådgivningstjenester leveres av internrevisor, men det må passes på at de enkelte internrevisorene er objektive på de bekreftelsesoppdragene de er involverte i. Rådgivningsoppdrag levert utenfor utkontrakteringsavtalen omfattes imidlertid ikke av internrevisjonsreglene, og det foreligger ikke begrensninger på tillatte typer rådgivningsoppdrag. Leverandør bør likevel vurdere om rådgivningen kan medføre trusler mot uavhengigheten eller objektiviteten til de som leverer internrevisjonstjenester innenfor utkontrakteringsavtalen, selv om slike trusler i utgangspunktet ikke er annerledes enn de truslene som oppstår når internrevisor utfører rådgivningsoppdrag. I sum er reglene romslige, så lenge det benyttes sunn fornuft og gjøres reelle uavhengighets- og objektivitetsvurderinger. I praksis anbefaler PwC at det benyttes separate team innenfor og utenfor utkontrakteringsavtalen for internrevisjon.