Som internrevisor vet jeg at kommunikasjon er viktig. Det nytter ikke å ha oppdaget svakheter og forbedringspotensial hvis vi ikke klarer å kommunisere budskapet til ledelsen og styret.
Problemet er bare det at jo mer man går inn i en kompleks problemstilling, jo mer vanskelig er det å forenkle og fokusere på essensen i den.
Ta et enkelt eksempel fra operasjonell risikovurdering. Hvis du tar en «bottom up» angrepsvinkel vil du se mye som ikke er helt på stell og som kan forbedres. Som oftest får risikokartet samme fargepalett som en ørken; gult som sand ispedd en sjelden grønn oase. Men så er det dette med vesentlighet, da. Når risikoer aggregeres og videreforedles på nivåene over blir neste nivå grønnere enn det forrige. Når så den endelige rapporten går til styret, er alt grønt utfra det overordnede vesentlighetsmålet. Ikke rart at styret velger å tro at alt er i den skjønneste orden!
IIA har nylig utgitt en rapport med tittelen «OnRisk 2020: A Guide to Understanding, Aligning, and Optimizing Risk». Denne rapport baserer seg på 90 dybdeintervjuer av representanter for styret, toppledelsen og internrevisjon. For hver av disse tre funksjoner måler man egen kunnskap om 11 nøkkelrisikoer samt egen vurdering av hvorvidt organisasjonen er i stand til å takle disse samme risikoer. Hovedkonklusjon i undersøkelsen er at styrets oppfatning av risikostyringen og modenhet er mer positiv enn toppledelsens (som har bedre oversikt over disse risikoene).
Vår utfordring er etter min mening: hvordan skal vi som jobber med risk management og internrevisjon vise at selv om grønn er hovedpaletten i vår rapportering, er det fortsatt mye gult gjemt bak den grønne sjatteringen. Det er fortsatt ting som ikke er på stell og mange utfordringer som det fortsatt skal jobbes med. Dette må vi kunne klare samtidig som vi ikke skal skremme vettet av styret. Noen tips eller synspunkter?