Ifølge japansk tradisjon skal de tre vise apekattene representere noe positivt ved ikke å spre ondskap og usannheter. Jeg vil påstå at det motsatte gjelder for internrevisor.
Internrevisjonen er på en måte styrets øyne og ører, underforstått må vi formidle viktig informasjon som vi ser og hører til styret. Ikke dermed sagt at vi skal spre rykter og usannheter, men vi skal si det som det er og slikt vi finner det. Dette må være kjernen i revisorens integritet.
En sak som nylig ble avgjort av den amerikanske tilsynsmyndigheten OCC understreker forventningen om åpenhet i formidlingen fra internrevisor til styret. I desember 2022 skrev OCC ut en bot på hele USD 7 millioner til den tidligere konsernrevisoren i Wells Fargo Bank. OCC offentliggjorde samtidig begrunnelsen for denne boten.
Konsernrevisor hadde ikke:
- Identifisert rotårsaken til uhederlig salgspraksis tidlig nok.
- I tilstrekkelig grad utfordret de ansvarlige for risikostyringen.
- Raskt nok vurdert effektiviteten og hensiktsmessigheten av kontroller knyttet til risikostyringsprosessene.
- Tidsnok klart å identifisere, vurdere og eskalere rapportering av svikt i kontrollsystemet som truet tryggheten, soliditeten og renommeet til Wells Fargo banken.
I tillegg til konsernrevisor fikk leder for internrevisjonen i Personbanken en bot på USD 2.5 millioner for de samme forhold, men boten var noe lavere siden han var lenger ned på rangstigen. Interessant nok ble ikke internrevisors opptreden betegnet som lovstridig, men oppførselen ble vurdert som uforsvarlig og i strid med internrevisjonens forvaltningsansvar («fiduciary duty»).
For konsernrevisor er det sikkert en mager trøst at leder for risikostyring i andrelinjen i Personbanken fikk en enda høyere bot på USD 10 millioner.
I denne rapporten er det listet opp flere sider om internrevisjonens formål og virke som utgjør interessant lesing. Jeg vil nøye meg med å fokusere på et utvalg som jeg synes er spesielt interessant å notere seg:
- Rollen til internrevisjonen var å utføre revisjoner med den hensikt å forsikre ledelsen og styret at kontrollaktivitetene fungerte som planlagt. Internrevisjonen skulle være en endringsagent som sikret at svakheter i risikostyringen ble identifisert, eskalert og løst.
- Revisjoner ble utført etter en dynamisk revisjonsplan som blant annet skulle sikre at internrevisjonen kunne bekrefte at styret mottok hensiktsmessig, pålitelig og tidsmessig informasjon.
- Internrevisjonen skulle konkludere på om virksomhetsstyringsfunksjoner og prosesser fungerte tilfredsstillende, herunder at lønnsincentivene var forsvarlige og at risikokulturen var etablert, forstått og etterlevd på en konsistent måte.
- I følge mandatet til internrevisjonen skulle den følge med på forretningsutviklingen samt endringer i risikobildet.
Alt dette høres veldig greit ut og vi kan nikke gjenkjennende, så hva var egentlig problemet?
I en opplisting av områder hvor konsernrevisor ikke rettet seg etter god praksis eller i tråd med forvaltningsansvaret, vil jeg gjerne gjengi noen uttalelser fra konsernrevisor:
- I sitt forsvar for at svakhetene ikke ble varslet i internrevisjonens årsrapport, fortalte konsernrevisor at forutsetningen for å eskalere en sak var at han var kjent med den og at den var vesentlig.
- Hvis saken var under oppfølging av forretningsområdene mente konsernrevisor at internrevisjonen ikke behøvde å nevne det i sin rapportering.
- Endringer i revisjonsplanen skulle kunne gjøres, men da måtte konsernrevisor selv være klar over svakheten eller endringen i risikobildet.
- Konsernrevisor kunne velge å bygge sitt arbeid på det som ble utført av kontroller i 1. og 2. linjen uten at internrevisjon selv måtte teste disse.
- Internrevisjonen hadde ubegrenset tilgang til dokumenter og informasjon, men han ville aldri selv be om tilgangen fordi det var en oppgave som andre i revisjonsavdelingen ville tatt seg av.
Det er også en tilsvarende liste over områder der revisjonssjef for Personbanken ikke oppførte seg i tråd med god praksis og forvaltningsansvaret sitt. Under hans ansvar var det en revisjonsavdeling på ca. 40 personer. For hver revisjon som skulle utføres ble det laget et oppdragsskjema, men revisjonssjefen hadde ikke noe ansvar for fokuset i arbeidet, fordi dette var noe den enkelte revisor eller revisjonsteamet som skulle bestemme. Revisjonssjefen var ansvarlig for revisjonsarbeidet som ble utført av teamet, men han medga at han aldri laget eller gjennomgikk arbeidspapirer. Revisjonssjefen medga også at han hverken selv skrev rapporter eller at gjennomgikk disse. Til hans forsvar mente revisjonssjefe at han hadde faglige kompetente og sertifiserte revisorer.
Hva kan vi lære av denne saken?
Som internrevisor har vi i alle år sagt at man kan delegere oppgaver, men ikke ansvar, men hvor flinke er vi til å reflektere over at det også kan gjelde oss selv? En grunnpilar for en revisjonsavdeling er å ha faglig integritet; som blant annet vil si å koble et objektivt syn sammen med en god porsjon nysgjerrighet. Et viktig element er å sørge for åpenhet innad i revisjonsavdelingen. Hvis vi delegerer alt som har å gjøre med den interne dokumentasjonen og kommunikasjonen utad, vil vi ikke selv være i stand til å utfordre det arbeidet som utføres, de konklusjonene som trekkes og vi vil heller ikke kunne agere ut fra den innsikten vi tilegner oss – men dette vet vi vel!
| Wells Fargo saken Jeg har tidligere skrevet i flere artikler i SIRK i 2016 og 2017 publisert av IIA Norge[1] om tilfellet Wells Fargo Bank, en av de største og mest verdifulle banker i verden (i 2014) der man over flere år hadde prakket på kunder bankkontoer, kredittkort, livsforsikringsprodukter mm. utfra at man hadde en strategisk plan på personmarkedssiden om å øke antall produkter hver kunde hadde. For å gjennomføre denne planen fikk kundeansvarlige mål om å bidra med salg av nye produkter og de som ikke var med på denne reisen kunne vær så god finner seg en ny jobb – noe over 5000 ansatte måtte gjøre. Saken kom frem i dagens lys gjennom en granskning fra forbrukermyndigheter og resulterte i bla. ny ledelse og opprydning i kulturen. I hovedsak begynte praksisen med tøffe salgsmål og press på de ansatte i 2013, men det var først i september 2016 forbrukerrådet reagerte med en endelig bot på USD 500 mill. Granskingsrapporten fra OCC kom i april 2017. Et år senere ble banken bøtelagt for USD 500 mill. av OCC og den tidligere topplederen fikk en bot på USD 17,5 mill. Nå i desember 2022 ble det endelig klargjort at OCC bøtelegger revisjonsleder, leder for konsernets risikostyring og revisjonssjef for Personbank-området for henholdsvis USD 7 mill, USD 10 mill. og USD 1,5 mill. Det er kanskje en mager trøst for oss internrevisorer å se at leder for 3. linje får en bot som er hele 25 % lavere enn for leder av 2. linje! |
