NTNU var en av 72 statlige virksomheter som ble pålagt å vurdere behovet for internrevisjon i henhold til rundskriv R-117 fra Finansdepartementet i 2016. NTNU konkluderte positivt og vurderte full outsourcing som mest hensiktsmessig. I dette intervjuet forteller seniorrådgiver Kirsten Ballo Prestøy om NTNUs erfaringer så langt.
Hvordan vurderte dere behovet for internrevisjon i 2016?
NTNU ble vurdert som en stor og kompleks organisasjon utfra samlede inntekter, antall årsverk, transaksjonsvolum, verdier, spenn i oppgaveportefølje, geografisk spredning/antall lokasjoner og styringsnivå eller styringslinjer, grad av kvalitetskrav knyttet til tjenester og produkter, grad av kompleksitet i IKT-systemer, grad av påvirkning fra og endringer i eksterne rammebetingelser og at vi er underlagt mange og til dels komplekse regelverk.
NTNU har en relativt høy risikoeksponering, da vi har store investeringer, gjør skjønnsmessige vurderinger, ivaretar mye sikringsverdig informasjon/ objekter. Vi har et stort transaksjonsvolum og utøver mange forskjellige aktiviteter.
Primæraktivitetene anses å ha moderat vesentlighet for samfunnet for øvrig, da NTNU ikke direkte leverer tjenester/produkter som er vesentlig for liv og helse. Det er likevel av betydning for samfunnets utvikling og fremgang at NTNU leverer utdanning og forskning av god kvalitet. NTNU vil derfor være opptatt av kvalitet og omdømme i utdanning og forskning.
Vurderingene av modenhet og kvalitet på styring og kontroll konkluderte med at NTNU hadde rimelig god styring og kontroll med virksomheten. Vi har god måloppnåelse og leverer godkjente resultater til departementet. Internkontroll og håndtering av risiko er rimelig god innen vesentlige områder, som f.eks. HMS, beredskap, IT-drift og større teknisk-administrative prosjekter. Det manglet likevel en felles definert måte å utføre internkontroll og risikovurderinger på ved NTNU.
Hvorfor valgte dere full outsourcing?
Vår vurdering var at internrevisjonen skal jobbe uavhengig og objektivt. Ved bruk av egne ansatte kan det lettere oppstå rollekonflikter og risiko for å komme i konflikt med kravene om uavhengighet. For å unngå slike risikoer syntes det fornuftig å kjøpe tjenester fra eksterne. Vi vurderte også at en egen enhet fort kunne bli for liten både med hensyn til faglig bredde og robusthet. Ansettelser ville innebære faste kostnader og mindre fleksibilitet overfor variasjoner i behovet. Vi tok også hensyn til erfaringene fra UiO og UiB om at det ville være mer kostnadskrevende å ha en egen enhet, sammenlignet med å kjøpe tjenesten eksternt.
NTNU ønsket også å benytte seg av Difis felles rammeavtale for internrevisjon. Det ble antatt at den ville gi både lavere pris og bedre kvalitet på tjenesten enn å utarbeide en rammeavtale alene.
Hvordan gikk dere fram for å etablere internrevisjon?
NTNU gjennomførte i februar-mars 2018 en mini-konkurranse basert på Difis rammeavtale. Her var oppdragsforståelse, kompetanse og pris definert som tildelingskriterier. Kriteriene ble spisset i forhold til NTNUs behov før konkurransen. Det kom inn tilbud fra tre leverandører. Etter evalueringen tilrådde administrasjonen at PwC ble utpekt som internrevisor, og dette ble godkjent av styret.
Hva slags strategi har NTNU for bruk av internrevisjon?
Det er ikke fastsatt en egen strategi her utover at det er formulert målsettinger i henhold til standarder på området. Det er et mål at internrevisor skal bidra med forbedret styring og kontroll, spesielt mer systematisk risikostyring. Etter hvert som vi får mer erfaring med ordningen, er det naturlig å drøfte mer konkrete målsettinger.
Hva slags forskjell kan internrevisjonen utgjøre ved NTNU?
Vi tror at etablering av internrevisjon vil føre til større bevissthet og kompetanse på styring og kontroll. Vi erfarer allerede en holdningsendring og økt forståelse av at internrevisjon og internkontroll er utviklings- og forbedringsarbeid.
Hvordan foregår prosessen for å utarbeide revisjonsplan?
For revisjonsåret 2018 ble internrevisor bedt om å foreslå revisjonsplan i tilbudet under mini-konkurransen. Planen ble drøftet mellom internrevisor og administrasjonen før framleggelse for styret. Den samme framgangsmåten ble valgt for revisjonsåret 2019.
Hvordan anskaffer og følger dere opp internrevisjons-tjenestene dere får levert?
Avdeling for virksomhetsstyring er rektors kontaktpunkt for internrevisjonen. Vi har utarbeidet en egen prosedyre for gjennomføring av internrevisjon ved NTNU, som gjøres kjent for alle som skal delta i arbeidet. Vi avklarer med ansvarlig leder/kontaktperson ved hver enhet som skal revideres, og internrevisor gjennomfører revisjonen. Vi mottar utkast til revisjonsrapport og har da mulighet til å sjekke at denne samsvarer med formålet beskrevet i revisjonsplanen.
Avdeling for virksomhetsstyring har ansvar for sakene om internrevisjon til styret. Både internrevisor og reviderte enheter leverer innhold til sakene; – revisor leverer rapport med resultater og planer og hver revidert enhet leverer tilsvar til rapporten fra revisor.
Vi har ikke etablert egne rutiner for oppfølging av revisjonene. I 2019 har vi rapportert på gjennomførte revisjoner i tertialrapporten. Vi tar sikte på å formalisere at rapport om oppfølging av revisjonene skal tas i den ordinære virksomhetsrapporteringen.
Hvordan vil dere beskrive nytten rapportene fra internrevisjonen har gitt så langt?
Vi har ikke gjennomført noen systematisk undersøkelse av hvordan det oppfattes av de reviderte, men det kommer mange positive signaler om at revisjonsarbeidet gir nyttige innspill til forbedringer.
Har dere samarbeidet med andre når det gjelder internrevisjon?
Nei, ikke ut over at vi før anskaffelsen av internrevisjon innhentet informasjon og erfaringer fra institusjoner som hadde etablert internrevisjon tidligere.