Standarder for profesjonell utøvelse av internrevisjon pålegger internrevisorer å ha tilstrekkelig kunnskap til å vurdere risikoen for misligheter, samt hvordan risikoen håndteres i virksomhetene. Internasjonal forskning tilsier at det er internrevisjoner som bidrar høyt i å avdekke tilfeller av misligheter.
I en studie som ble gjennomført i forbindelse med internrevisjonsprogrammet ved Handelshøyskolen BI i 2018, så vi nærmere på sammenhengen mellom internrevisjonsfunksjonen og helhetlig styring av mislighetsrisiko i norske virksomheter.
COSO-rammeverket som teoretisk fundament
Alle virksomheter er utsatt for mislighetsrisiko, men å eliminere alle misligheter i en virksomhet er praktisk talt umulig.
Formålet med implementering av prinsippene i et rammeverk for helhetlig styring av mislighetsrisiko, er å maksimere sannsynligheten for at misligheter forhindres og avdekkes i tide, samt å skape en avskrekkende holdning til å begå misligheter. Avskrekkelsesverdi oppnås ved implementering av en konsekvent og synlig styringsprosess for mislighetsrisiko, og skape en transparent og helhetlig anti- korrupsjonskultur. Dette i sin tur forutsetter at virksomheten gjennomfører jevnlige og grundige vurderinger av mislighetsrisiko som utgangspunkt for utforming og implementering av forebyggende og avdekkende kontrollaktiviteter. I tillegg er det viktig å vise evne til rask handling ved mistanke om misligheter og iverksette hensiktsmessige tiltak mot de involverte parter. Det teoretiske rammeverket for undersøkelsesmodellen i studien er basert på håndboken for mislighetsrisikostyring, Fraud Risk Management Guide (FRMG), som er et anerkjent rammeverk lansert av COSO i samarbeid med ACFE i 2016.
FRMG er et selvstendig rammeverk for helhetlig styring av mislighetsrisiko. Det fungerer i synergi og er konsistent med de fem komponentene i internkontrollrammeverket som ble revidert av COSO i 2013. I COSO 2013 er det definert 17 prinsipper for utforming og implementering av intern- kontrollsystemet hvor alle må fungere sammen for at internkontrollsystemet skal være effektivt. Prinsipp 8 i COSO 2013 er rettet spesielt mot misligheter og krever at virksomheten må vurdere potensialet for misligheter når den vurderer risiko relatert til måloppnåelse.
FRMG har fastsatt fem ytterligere prinsipper for helhetlig styring av mislighetsrisiko. Disse fem prinsippene representerer indikatorvariablene i undersøkelsesmodellen (se figur 1). Helhetlig styring av mislighetsrisiko er følgelig et sammensatt begrep og måles ved å ha et effektivt instrument for innsamling av data.Videre skal det utformes slik at innsamlede data har god nok og overbevisende forklaringskraft.
Metodisk tilnærming og statistisk grunnlag
En kvantitativ spørreundersøkelse ble gjennomført for å få en presis beskrivelse av omfanget og utstrekningen av arbeidet med misligheter. Utvalget bestod av til sammen 200 private, statlige og ikke-statlige virksomheter, hvor av 145 respondenter svarte på undersøkelsen. Statistisk faktoranalyse i SPSS viste at de fem komponentene i undersøkelsesmodellen virker sammen på en integrert måte. Reliabilitetskontrollen indikerte videre en høy grad av intern konsistens som ga grunnlag for å etablere den nye variabelen «helhetlig styring av mislighetsrisiko». På en skala fra 1 til 7 ble gjennomsnittsverdien av spørsmålene under de fem indikatorvariablene internt kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, og monitorering beregnet til 5,92 med et standardavvik på 0,89. Dette indikerer at helhetlig styring av mislighetsrisiko er svært viktig i norske virksomheter.
Sammenhengen mellom internrevisjonen og avdekkede tilfeller av misligheter
| Har det vært avdekket tilfeller av misligheter i virksomheten de siste 10 årene? | |||
| Har virskomheten etablert egen internrevisjon? (nedenfor) | Ja | Nei | Total |
| Ja | 65,8% | 34,2% | 100% |
| Nei | 47,5% | 52,5% | 100% |
| Total | 57,8% | 42,2% | 100% |
Det er totalt avdekket tilfeller av misligheter i 57,8 % av virksomheten i løpet av de siste 10 år. Prosentandelen av totalt avdekkede misligheter fordeler seg med 65,8 % på virksomheter med internrevisjon mot 47,5 % i virksomheter som ikke har etablert egen internrevisjon.
Konklusjonen er at det er statistisk signifikante forskjeller mellom virksomheter som har etablert egen internrevisjon sammenlignet med de som ikke har det. Det er altså statistisk grunnlag for å hevde at virksomheter som har etablert egen internrevisjon avdekker signifikant flere tilfeller av misligheter sammenlignet med virksomheter som ikke har etablert egen internrevisjon.
Sammenhengen mellom internrevisjonen og helhetlig styring av mislighetsrisiko
| Frekvens | Gjennomsnitt | Standardavvik | |
| Ja | 81 | 6,09 | 0,89 |
| Nei | 64 | 5,70 | 0,85 |
| Total | 145 | 5,92 | 0,89 |
Tabellen viser at gjennomsnittlig score for virksomheter som har etablert egen internrevisjon ligger på 6,09, mens gjennomsnittet for virksomheter som ikke har etablert egen internrevisjon ligger på 5,70.
Dette viser at det er statistisk grunnlag for å hevde at helhetlig styring av mislighetsrisiko er viktigere i virksomheter som har etablert egen internrevisjon sammenlignet med virksomheter som ikke har etablert egen internrevisjon.
Konklusjon
Resultatene fra undersøkelsen viser at styring av mislighetsrisiko er signifikant viktigere i virksomheter som har etablert egen internrevisjon sammenlignet med virksomheter som ikke har etablert tilsvarende funksjon. Årsaken til dette kan være at virksomheter med egen internrevisjon har større fokus på mislighetsrisiko som følge av at internrevisjonen er pålagt å etterleve standarder som er relatert til mislighetsrisiko.
Analysen viser også at det avdekkes signifikant flere tilfeller av misligheter i virksomheter som har etablert egen internrevisjon sammenlignet med virksomheter som ikke har etablert en tilsvarende funksjon. Dette kan tyde på at virksomheter med egen internrevisjon i større grad legger vekt på prinsippet om effektive kontrollaktiviteter gjennom forebyggende og avdekkende kontroller enn virksomheter uten egen internrevisjon. Det er ikke et statistisk forsvarlig grunnlag for å påstå dette i fra denne undersøkelsen, men et slikt funn samsvarer i stor grad med internasjonale undersøkelser som også konkluderer med at internrevisjonen er et av de elementene som bidrar til å avdekke flest tilfeller av misligheter.
