Denne artikkelen beskriver Equinor konsernrevisjons arbeide med å utvikle overordnede uttalelser og erfaringer fra dette arbeidet over de siste ti årene. Vi håper at dette kan være nyttig for medlemmer som vurderer å innføre dette i egne enheter.
Presentasjon av virksomheten
Equinor ASA (tidligere Statoil ASA) er et selskap med aktivitet i 30 land og med mer enn 20 000 ansatte. Selskapets formål er å omdanne naturressurser til energi for mennesker og fremgang for samfunn. Vi skal produsere olje og gass med så lave utslipp som mulig, samtidig som vi bygger opp en lønnsom portefølje innen fornybar energi og lavkarbonløsninger.
Equinors konsernrevisjon har 50 ansatte som dekker internrevisjon, mislighetsgranskning, ulykkesgranskning og rådgivning. Equinor har etablert IIAs tre linjers modell i selskapets styringssystem og hvor 1. og 2. linje har ansvaret for å iverksette og å gjennomføre bekreftelses aktiviteter («assurance» i form av oppfølgning og verifikasjoner).
Arbeid med overordnede uttalelser
Denne artikkelen presenterer hvordan Equinors konsernrevisjon har arbeidet og utviklet overordnede uttalelser siden introduksjonen i 2012. Dette har vært en årlig publikasjon med kontinuerlige forbedringer. Til grunn for dette ligger utøvelsesstandard 2450 Overordnede uttalelser gjengitt nedenfor.
2450 Overordnede uttalelser
Når en overordnet uttalelse avgis må den ta hensyn til organisasjonens strategier, mål og risikoer samt ivareta de omforente forventninger fra toppledelsen, styret og andre interessenter. Den overordnede uttalelsen må understøttes av tilstrekkelig pålitelig, relevant og nyttig informasjon.
Tolkning
Rapporteringen vil inkludere:
- omfang, herunder den perioden uttalelsen gjelder for
- begrensninger i omfang
- vurdering av alle relaterte prosjekter, herunder hvorvidt man har bygget på arbeidet til andre bekreftelsesleverandører
- en oppsummering av informasjonen som støtter opp under uttalelsen
- risiko- eller kontrollrammeverk eller andre kriterier benyttet som grunnlag for den overordnede uttalelsen
- den overordnede uttalelsen, vurderingen eller konklusjonen man har kommet frem til
Årsaken til en ufordelaktig overordnet uttalelse må begrunnes.
Den overordnede uttalelsen har utviklet seg fra starten med en summarisk oversikt over aktivitetene som konsernrevisjonen har utført siste året til en totalvurdering av styring, risikoledelse og kontroll (GRC) i selskapet med konklusjon. De siste årenes tilnærming bygger på at resultatene fra bekreftelsesaktivitetene koordineres og settes inn i en vurdering av GRC på bredt grunnlag.
Oppbyggingen av en overordnet uttalelse
Oppbyggingen i konklusjonen reflekterer de områdene som er dekket gjennom revisjoner, granskningsaktiviteter og andre aktiviteter det siste året og som normalt har avdekket risiko av betydning. Ved manglende informasjon for å kunne vurdere delområder, hentes det inn ekstra informasjon for å bygge en totalforståelse. Dette kan også komme fra eksterne leverandører/kilder.
Equinors definisjon for overordnet uttalelse
Nedenfor er utdrag av definisjonen av den overordnede uttalelsen med skala som brukes for den samlede vurderingen.
An overall opinion is the professional judgement of the chief audit executive (CAE) based on the results of a number of individual engagements and other activities for a specific time interval. The rating, conclusion and description of results address, at a broad level, the governance, risk management and control (GRC) processes of the organisation. The scope is the Equinor organisation.
| Overall opinion scale | |
| Full | Excellent internal control (GRC), some improvement areas identified |
| Substantial | Good internal control (GRC), some risk areas identified |
| Moderate | Acceptable level of internal control (GRC), significant risk areas identified |
| Limited | Weak internal control (GRC), critical risk areas identified |
Definisjonen er viktig for å forstå hva konklusjonen faktisk dekker. Det er en risiko for at en overordnet uttalelse tolkes av brukerne til å dekke mer enn hva den faktisk gjør. Det er også andre aktiviteter som dekker GRC området som ekstern revisor, Internal Control over Financial Reporting (SOX), og bekreftelsesaktiviteter i 1. og 2. linje.
Den overordnede uttalelsen bidrar til at eierskapet som selskapet øverste ledelse og styrende organer har til styringssystemet blir mer tydelig. Den viser de viktigste risikoene som selskapet er eksponert for og bidrar til et grunnlag for vurdering av ressursbruk i forhold til risikoreduserende tiltak. Fokus i de siste årene har vært på vesentlige risikoer som krever høy ressursinnsats og tid til gjennomføring. Den bidrar også til læring på flere ledelsesnivåer for å unngå at en får liknende hendelser i fremtiden. Et eksempel på et område med tilhørende risikoer er cyberangrep/cybersikring.
Dette bidrar til å sikre at viktige risikoer relatert til selskapets GRC håndteres over tid og at eierskapet til disse blir mer tydelig.
En overordnet uttalelse medfører økt ressursbruk og bør skape merverdi
Det er ikke krav om at selskaper med internrevisjon skal ha en overordnet uttalelse. Det kreves ressurser for å sette sammen informasjonen, innhente manglende informasjon og å utarbeide dokumentet med konklusjon. Dette arbeidet kan kreve vesentlig ressursbruk og kan være komplisert. Det er dermed viktig å vurdere ressursbruken opp imot forventet resultat og bruken av dette. I Equinor er den overordnede uttalelsen brukt aktivt til å informere rundt de risikoområdene den fokuserer på og å sikre at disse reduseres over tid. Den hjelper også til at ledere forstår det større risikobildet og at de bedre kan støtte tiltakene som iverksettes. Forholdene som beskrives i den overordnede uttalelsen får normalt høyt ledelsesfokus i konsernet og adekvate tiltak iverksettes. Dette er en del av en kontinuerlig forbedringssyklus. Konsernrevisjonen følger opp utviklingen over tid i form av analyser og revisjoner. De sakene som løftes kan være større utfordringer, som kan ta flere år på å bli tilstrekkelig håndtert.
Den overordnede uttalelsen i Equinor har i de siste årene bestått av en hoveddel på 3-4 sider med faktabasert vedlegg på 10-15 sider. I forskjellige faser av arbeidet som går over 4-8 uker har 15-20 ansatte i konsernrevisjonen vært involvert, med et dedikert team på 3-4 personer som har dette som en deloppgave.
En overordnet uttalelse vil normalt være et dokument som beskriver vesentlige utfordringer og sårbarheter for selskapene med tanke på selskapsinternt bruk. Det gjør at informasjonen bør sikres tilstrekkelig i forhold til innholdet. Det er en fin balanse mellom åpenhet og den læringen informasjonen kan gi internt i organisasjonen og skadepotensiale ved eventuelle lekkasjer eksternt.
Internrevisjonsfunksjoner som tar sikte på å utarbeide overordnede uttalelser bør derfor analysere forventet resultat i forhold til ressursinnsats i egen organisasjon i samarbeide med de viktigste interessentene.
