Det var mer enn 160 fysiske deltakere i årets konferanse. Denne artikkelen beskriver et utvalg av foredragene.
Årets IIA konferanse ble gjennomført i Trondheim de to siste dagene i mai 2023. I år kunne en også delta digitalt. Det var mer enn 160 fysiske deltakere i årets konferanse. Denne artikkelen beskriver et utvalg av foredragene.
Konferansen i år ble innledet av konferansier Kine Kjærnet som nevnte at temaet for årets konferanse var «Back to basics» og at det er fornuftig å gå tilbake til grunnleggende lærdom. Flertallet av foredragsholderne tok også opp betydningen av ChatGPT i forhold til arbeidsplassen i forskjellige sammenhenger og blant annet Kine nevnte at ChatGPT med det første neppe klarer å erstatte menneskelig innsikt og at bransjen vi revisorene arbeider i trenger menneskelig erfaring.
Jan Ludvig Andreassen, sjefsøkonom i Eika gruppen, snakket om utviklingen i samfunnsøkonomien som i de siste årene har vært volatil. I og med at alt kan skje så gjelder det faktisk å følge med hva som ligger «i halen» på nederste 1% i en normalfordelt statistikk. Skillet mellom flaks og dyktighet ligger i forberedelsene til å håndtere hendelser som skjer sjeldent, men som har stor påvirkning. Uansett hvordan det skulle gå med det ene eller det andre, ble vi til slutt påminnet om at det er ikke resultatet som teller, men hvordan vi nådde det.
Jan-Frode Janson, Konserndirektør i Sparebank-1 SMN, snakket om strategisk styring og hvordan banken har klart seg gjennom pandemien. Til grunn for dette ligget en tilnærming som vektlegger enkle prosesser for styring og kontroll med en retningsgivende strategi, tydelig og godt strukturert styring, aktiv ledelse og kulturbygging. Internrevisorenes rolle i dette ble fremhevet som svært viktig, men vi må også være med på endringsreisen som ligger foran oss og at vi er forberedt for det uventede. I og med at EUs regelverk for finansiell sektor tilsvarer cirka 15000 sider, ble det også sett som naturlig at internrevisorer hjelper bankene å etterleve disse reglene. Videre fremhevet Jan-Frode betydningen av tillit som et av bankenes viktigste fortrinn i Norge. Det var også grunnen til at vi skulle være litt skeptiske til ChatGPT når de ikke er åpne på hvor dataene løsningen bruker kommer fra og hvordan slike data skal brukes fremover.
Fleming Ruud, professor BI, trakk linjene fra internrevisjon tilbake til 8000 f.kr. i Egypt. Selv om IIA ble etablert allerede i 1941, så ble vi også påminnet om at Bankrevisorforeningen i Norge fikk sin start allerede i 1921.Utgangspunktet for slike revisjonsaktiviteter var behovet for kontroll av informasjon som skulle rapporteres. I dag bør revisjon i tillegg bidra med innsikt til noe som gir virkning for virksomhetene. Det er derfor viktig å forstå hvorfor revisjon har oppstått og Flemming synliggjorde prinsipal – agent teorien som en forklaring for å redusere den informasjonsasymmetrien som finnes i virksomhetene. Når det gjelder fremtiden, lanserte Flemming en tanke om at 3. linje (internrevisor) kan flytte mer av sine aktiviteter til 1. og 2. linje begrunnet med at linje-organisasjonene i større grad bør styre sin etterlevelse selv.
Konsernrevisjonen i Equinor har utviklet en strategi for fremtiden som ble presentert av VP Peggy Krantz-Underland. Denne strategien skal materialiseres innen 2025 i seks prioriterte områder: 1) arbeidstakere, 2) data & teknologi, 3) produkter, 4) metodikk & prosesser, 5) risiko styring, og 6) engasjement av interessenter. Det ble poengtert at driveren for denne endringsstrategien er behovet for å fortsette å være relevant, være en forretningspartner med tillit, og være i stand til å respondere på endringer i eksterne omgivelser. Resultat vil være en revisjonsenhet som bidrar til større verdiskapning, som er et enda mer attraktivt sted å jobbe for de ansatte og som bidrar til at forretningen beskyttes.
Stig Slørdal, administrerende direktør for Helse Midt-Norge RHF hadde verdien av internrevisjon i spesialisthelsetjenesten som sitt tema. Presentasjonen ble innledet med at regionen sannsynligvis går tom for ansatte før de går tom for penger. De siste årene har vist at risiko som virker helt usannsynlige kan slå til med stor kraft og at dette fort kan skje igjen og at vi må derfor være forberedt på å håndtere usannsynlige fremtidsscenarioer. Internrevisjonen kan bidra til at dette ikke skjer, spesielt som følge av at de har mye kompetanse på prosesser og standardisering. I tillegg må lederne i organisasjonen forstå hensikten med internrevisjon og hvordan det kan brukes effektivt.
De neste to foredragsholdere, Hernan Huwyler og Marinus De Pooter, utfordret måten vi arbeider med risikostyring i dag. Det ble påpekt at mange kommersielle aktører har enorm inntjening rundt risikokonseptet og at det har kanskje påvirket hvordan risikofaget har utviklet seg. Det kan se ut til at det er mange svakheter i de risikomodellene som benyttes av selskaper og revisjonsenheter. ISO standarden har f.eks. 40 varianter av risikodefinisjoner. Det ble videre hevdet at det ikke er tilstrekkelig presisjon i risikomatriser som er i bruk. Det ble blant annet henvist til forskning innen dette området med tittelen «What’s Wrong with Risk Matrices?» av Tony Cox (se avsnittet om «Problems»).
Dag 2 av konferansen bestod av to spor: Deling av revisjonserfaring og Strategi og utvikling.
Sally-Anne Pitt, Vice chair of IIA Global, presenterte status for internrevisjon på video fra Melbourne. Det ble poengtert at internrevisjonsfunksjonen har gode fremtidsutsikter dersom den endrer seg i takt med utviklingen. Det er også viktig å ligge i forkant og forstå den raske utviklingen og hvordan den påvirker organisasjonene. Det var også interessant å høre at utvalgte risikoer, som f.eks. kyberrisiko, kan påvirke andre risikoer og forsterke effekten av dem.
Jørgen Midtlyng, konsernrevisor i Helse Midt-Norge RHF, pratet om hvordan internrevisjonen utnytter virksomhetens strategier og prosesser for risikostyring. En slik prosess ble innledet med å etablere en risikobasert plan med input om trusler og muligheter. Dette ble deretter koblet til de fire dimensjonene som brukes ved balansert målstyring. Grunnen til at en slik prosess har blitt prioritert begrunnes med at helsesektoren har behov for å tilby helsetjenester på en effektiv måte for å møte politikernes fremtidige mål.
Fritz Engel presenterte et konsept med agile revisjoner og scrum metodikk. Han hadde vært ansvarlig for gjennomføring av tre pilotrevisjoner i et nederlandsk forsikringsselskap. Erfaringene fra dette var at det fungerer bra for 2. linjefunksjoner, men krever noen tilpasninger i kontorlokalene (whiteboards), og grundig opplæring av deltakerne. Fordelene med slike agile revisjoner er at de kan stoppes raskere hvis de ikke gir verdi.
Et av de kanskje meste engasjerende foredragene var den siste presentasjonen på konferansen. Det hadde betegnelsen «Innbruddet hos KLP» og beskrev en penetrasjonstest i KLP, som hadde blitt gjennomført i samarbeid mellom internrevisjonen (Johanna Fauske-Palmér) og Transcendent Group (Joakim Harbitz). Det var en fascinerende historie hvor et team på to personer dro til Bergen, kom seg inn i kontorbygget uten adgangskort og blandet seg med de ansatte. Etter arbeidsdagens slutt installerte teamet en mini PC med en nettilkobling i et møterom og kom seg ut av bygget. Dette ble heldigvis oppdaget av KLPs operasjonelle sikkerhetsteam i løpet av natten. Det ble også vist eksempler på hvordan de hadde fått ansatte til å gi fra seg bruker-id og passord ved bruk av en forholdsvis enkel e-postfelle.
Årets konferanse var mangfoldig og inneholdt mange interessante presentasjoner som gir grunnlag for nye refleksjoner og viser hvor forskjellig vi faktisk kan gjennomføre våre arbeidsoppgaver. En viktig del av slike konferanser er at de gir en mulighet til å bygge nettverk og å prate fag både med kjente og nye kollegaer. Dette var det gode muligheter til, ikke minst under middagen på Rockheim. Takk til konferansekomitéen og sekretariatet i IIA Norge for en vel gjennomført og interessant konferanse.
Denne artikkelen er skrevet av Esa Leporanta, nestleder i Konsernrevisjonen i Helse Sør-Øst RHF, og Gunnar Meidell, VP Konsernrevisjonen i Equinor.