job Etikk og kultur

Hvordan reviderer risikokultur?

Ny praktisk veileder fra IIA Australia om revisjon av risikokultur.

Bakgrunn

Risikokultur er et begrep som fikk eksplosiv anvendelse i media etter finanskrisen i 2008. Begrepets popularitet er en erkjennelse av at det ikke var nok å ha etiske retningslinjer og formelle risikostyringsstrukturer i finansinstitusjoner dersom teorien ikke kunne omsettes til praksis.

For oss som har hatt lang befatning med temaet risikostyring og internkontroll, var ikke dette noe nytt. Vi har tatt hensyn til «kontrollmiljøet» lenge før det ble tatt med som et eget element i COSOs definisjon av internkontroll. Som revisorer omfattet våre revisjoner alltid en vurdering av virksomhetens kontrollmiljø; det vil si en vurdering av alt fra formelle strukturer, holdninger til kontroll og risikostyring.

Denne vurderingen er nok en anerkjennelse av at viktigheten av at god internkontroll omfatter mer enn det som kan oppfattes fra utsiden.

Forresten, begrepet som ble benyttet i rammeverkene COSO internkontroll og COSO helhetlig risikostyring, var «internt miljø», men i 2017-utgaven betegnes begrepet som «virksomhetsstyring og kultur». Etter hvert har det menneskelige aspektet av kultur fått større innpass i risikostyring og internkontroll og i ISO 31000 Risikostyring retningslinjer er et av prinsippene som må hensyntas for å skape og beskytte virksomhetens verdi, definert som «Menneskelige og kulturelle faktorer».

Australia har som land på egenhånd erfart at etiske retningslinjer også må etterleves i praksis. Dette kan best illustreres gjennom skandalen der holdninger og kultur var en faktor ved granskingen av Commonwealth Bank of Australia i 2018. Fokuset etterpå har vært å sørge for at, spesielt finansinstitusjoner, skal kjennetegnes med en sunn risikokultur. Da vokser også behovet for en uavhengig tilbakemelding til ledelsen, styret og finanstilsynet, på status for risikokulturen i selskapet. Internrevisjonen vil være en naturlig kilde til uavhengig tilbakemelding på dette området. Ut fra blant annet dette behovet, har IIA Australia nylig utgitt i juli 2021 en praktisk veileder til revisjon av risikokultur.

Noen betraktninger om veilederen

Veilederen erkjenner to viktige ting:

  1. Det er ekstremt vanskelig å revidere et lite håndfast begrep som kultur, samtidig som det er viktig for interessentene at dette blir gjort.
  2. Det finnes ikke en enkelt løsning på hvordan man skal gå frem for å revidere risikokultur. For å gi praktiske veiledning skisserer veilederen mulige metoder som kan anvendes for å få dette til og hvilke vurderinger bør ligge bak veivalget.

Veilederen skisserer blant annet en modell (den såkalte Macquarie modell) som identifiserer fire kritiske aspekter til risikokultur, at den skal være:

  1. Proaktiv
  2. Kjennetegnet gjennom ledelsen
  3. Verdsatt
  4. Etterlevd i praksis

Jeg har personlig erfaring med både å ha utført en omfattende revisjon av risikokultur og å legge opp til revisjon av risikokultur som et ledd i ordinære revisjoner gjennom året. Jeg finner at veilederen, hadde jeg hatt den da, ville ha hjulpet meg å komme raskere frem til gode veivalg i disse revisjoner. Kanskje er det den beste form for skryt man kan gi til en veileder? For eksempel nevnes hvordan man kan anvende intervjuer, fokusgrupper og spørreundersøkelser for å samle revisjonsbevis, samt en beskrivelse av styrker og fallgruver med å anvende de forskjellige metodene – noe som jeg med etterpåklokskap kjente meg igjen i.

Det er mange andre gode råd i denne veilederen; fra hvordan legge opp en revisjon av risikokultur, til hvordan rapportere revisjonsresultatet. Hvis man har interesse for dette temaet eller planlegge en revisjon på dette området, ville jeg anbefale å lese igjennom denne veilederen før oppstart.