For internrevisjonen er oppfølging av anbefalingene den har gitt virksomheten en obligatorisk oppgave. De nye standardene skjerper nå kravene her. Men hvordan løser vi oppfølgingen best i praksis?
Dette var tema 13. mars, da Nettverk internrevisjon for offentlig virksomhet hadde samlet et knippe erfarne internrevisorer for å dele erfaringer. Generalsekretær Ellen Brataas i IIA Norge innledet møtet med å kort presentere hvilke krav de nye standardene for internrevisjon stiller til denne oppfølgingen, og delte erfaringer fra hva IIA Norge har sett i eksterne evalueringer av internrevisjoner i ulike virksomheter.
Så fulgte fire raske innlegg fra Jørgen Bock (UiO), Kari Høiby (Vegdirektoratet), Espen Anderssen (Helse Sør-Øst) og Cecilie Thorberg (IIA Norges Nettverk for virksomhetsstyring), om deres praksis og betraktninger. Etter pausen stilte disse fire i en paneldiskusjon med bred deltakelse fra salen.
Variasjon i praksis mellom ulike virksomheter
Presentasjonene og den påfølgende diskusjonen viste at det er forskjeller i hvordan ulike virksomheter følger opp kravet i standardene. Virksomhetene har ulik praksis når det gjelder om anbefalinger og tiltak inngår i revisjonsrapportene eller om dette behandles separat. Hos noen følges tiltak opp i styringsdialogen, mens hos andre er det internrevisjonen som følger opp avtalte tiltak. Det varierer også om internrevisjonen følger opp konkrete tiltak som er avtalt, eller linjens arbeid med oppfølging av anbefalingene på et mer overordnet nivå.
En fordel ved at oppfølging av anbefalinger og tiltak skjer i styringsdialogen kan være økt fokus og gjennomføringskraft. En utfordring kan være at aktørene i styringsdialogen kanskje ikke sitter på all relevant informasjon som internrevisjonen besitter.
Kritiske suksessfaktorer for å lykkes
Noe som gikk igjen hos flere var at eierskap i linjen er viktig for å sikre at anbefalinger blir fulgt opp på en hensiktsmessig og effektiv måte. God forankring av oppdraget hos de reviderte, god kommunikasjon underveis i revisjonsarbeidet og tydelige anbefalinger som diskuteres med linjen ble trukket fram som suksessfaktorer.
Det hjelper også godt at linjen har en egenmotivasjon for forbedring, og det ble pekt på at internrevisjonen kan tilby rådgivning i det videre arbeidet med tiltak og utfordringer som følge av revisjonen. Fra de virksomhetene som har et styre ble det pekt på at dette i seg selv er drahjelp for internrevisjonen, fordi ingen ønsker å rapportere til styret at de ikke har gjort det de skal.
Hva gjør vi hvis anbefalinger ikke blir fulgt opp?
Oppfølging av tiltak som har forfalt vil avhenge både av tiltakenes karakter og omstendighetene rundt. Det ble pekt på at det er forskjell på tiltak som gjelder lukking av avvik og tiltak som er av mer rådgivende karakter. Tiltak kan også ha mistet sin relevans og linjens øvrige forbedringsarbeid på området må tas i betraktning.
Ved usikkerhet om hvorvidt anbefalinger er fulgt opp og tiltak gjennomført etter intensjonen kan det være aktuelt å gjennomføre oppfølgingsrevisjoner eller tester på avgrensede områder. Oppfølgingsrevisjoner kan også gjøres på ulike nivåer, for å holde trykket oppe på tema og tiltaksarbeid.
Global Internal Audit Standard 15.2 – Confirming the Implementation of Recommendations or Action Plans
– Inquiring about progress on the implementation.
– Performing follow-up assessments using a risk-based approach.
– Updating the status of management’s actions in a tracking system.
The extent of these procedures must consider the significance of the finding. If management has not progressed in implementing the actions according to the established completion dates, internal auditors must obtain and document an explanation from management and discuss the issue with the chief audit executive. The chief audit executive is responsible for determining whether senior management, by delay or inaction, has accepted a risk that exceeds the risk tolerance.
