9789152338292 by Smakprov Media AB

Internrevision har fått en allt större betydelse i samhälle och näringsliv. Från att ha haft en relativt undanskymd plats är många idag överens om betydelsen en effektiv internrevision har i företag och organisaioner. Internrevisionsverksamheter utvärderar och förbättrar styrning, riskhantering och kontroll i företag och organisationer. Internrevision skapar därför ett värde genom att försäkra styrelsen och ledningen om att risker hanteras på ett effektivt sätt. Internrevision – en introduktion är en grundläggande bok i internrevision. Det är den första läroboken på svenska som ges ut inom ämnesområdet. Med startpunkt i en historisk tillbakablick går boken metodiskt igenom internrevisionens bakgrund, syfte och process för att avsluta med förslag på framtida forskningsområden. Boken refererar till professionens normgivning från Institute of Internal Auditors (iia) med figurer och tabeller som guidar läsaren genom internrevisionens normramverk – International Professional Practices Framework (ippf). Till varje kapitel finns även instuderingsfrågor och lästips. Målgruppen är främst studenter på universitet och högskolor, och boken passar kurser i styrning av organisationer i allmänhet och revision i synnerhet. Den kan med fördel även användas som stöd för praktiker som är nya i sin roll som internrevisor.

olof arwinge är ekonomie doktor och idag verksam i finansiell sektor. Han har yrkeserfarenhet från Swedbank, ey, Grant Thornton, Skandia och Old Mutual. Han är även lärare på masterprogrammet i redovisning, revision och företagsanalys vid Uppsala och Stockholms universitet.

Internrevision - en introduktion Olof Arwinge

varför skriva en bok om internrevision? Det främsta skälet är att internrevision

isbn 978-91-523-3829-2

(523-3829-2)

Olof Arwinge

Sanoma Utbildning

Postadress: Box 30091, 104 25 Stockholm Besöksadress: Alströmergatan 12, Stockholm Hemsida: www.sanomautbildning.se E-post: info@sanomautbildning.se Order/Läromedelsinformation Telefon 08-587 642 10 Telefax: 08-587 642 02 Förläggare: Amanda Schött Franzén Redaktör: Amanda Schött Franzén och Natalie Del Carmen Nordström Grafisk form och illustrationer: Anna Markevärn

internrevision –en introduktion

isbn 978-91-523-3829-2 © 2016 Olof Arwinge och Sanoma Utbildning AB, Stockholm Första upplagan Första tryckningen Kopieringsförbud Detta verk är skyddat av lagen om upphovsrätt. Kopiering utöver lärares rätt att kopiera för undervisningsbruk enligt BONUS-Presskopias avtal, är förbjuden. Sådant avtal tecknas mellan upp hovsrättsorganisationer och huvudman för utbildningsanordnare, t.ex. kommuner/universitet. För information om avtalet hänvisas till utbildningsanordnares huvudman eller bonus-Presskopia. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman/rättsinnehavare. Printed in Latvia by Livonia Riga 2016

Internrevision â&#x20AC;&#x201C; en introduktion

Olof Arwinge

Till min familj

Förord Samhälle och näringsliv förändras allt snabbare. Företag och organisationer blir allt mer sammanflätade. Nya affärsmodeller möjliggörs av avancerade informations- och kommunikationsteknologier som skapar nya sätt att producera, distribuera och konsumera. Samtidigt ökar intressentkraven på företag och organisationer. Framgångar beror allt mer på organisationers förmåga att förändras och utvecklas. En fullödig strategi måste därmed kombineras med dynamisk anpassningsförmåga och effektiv riskhantering. Internrevisionsverksamheter utvärderar och förbättrar styrning, riskhantering och kontroll i företag och organisationer. De skapar värde åt företag och organisationer genom att försäkra styrelse och ledning om huruvida risker hanteras på ett effektivt sätt. Under senare år har internrevision fått allt större uppmärksamhet där dess betydelse för kvalitet i styrningen av företag och organisationer betonas. Denna bok introducerar internrevision. Boken är skriven för studenter på universitet och högskolor och passar program som handlar om styrning av organisationer i allmänhet, och revision i synnerhet. Boken kan även fungera som ett stöd för praktiker som är nya i rollen som internrevisor. Jag vill tacka professor Nils-Göran Olve för genomgång av utkast på manus vilken bidrog till rad förbättringar. Tack även till Johan Isaksson och Tomas Munkby som haft många värdefulla kommentarer på manuset. Tack också till Hans Löfgren samt professor Fredrik Nilsson för viktiga synpunkter. Avslutningsvis ett stort tack till förläggare Amanda Schött Franzén för hjälp med bokens struktur, språk och innehåll. Lidingö, maj 2016 Olof Arwinge

Författarpresentation

Olof Arwinge har varit verksam vid revisions- och konsultföretag samt i finansiell sektor i nästan 20 år. Han har studerat vid Linköpings universitet, Handelshögskolan bi i Norge samt Manchester Business School i England, och är ekonomie doktor från Uppsala universitet. År 2014 disputerade han på en avhandling om intern styrning och kontroll i finansiell sektor. Olof Arwinge är idag verksam i finansiell sektor och har yrkeserfarenhet från Swedbank, ey, Grant Thornton, Skandia och Old Mutual. Han är lärare vid Uppsala universitet på masterprogrammet i redovisning, revision och företagsanalys för Uppsalas och Stockholms universitet (suma). Han har tidigare varit ordförande i iia Swedens kommitté för yrkestekniska frågor och hans senaste bok, En introduktion till intern styrning och kontroll, gavs ut 2015 på Sanoma Utbildning.

â&#x20AC;&#x153;I keep six honest serving men They taught me all I knew Their names are What and Why and When And How and Where and Whoâ&#x20AC;?

Rudyard Kipling

Fรถrkortningar acfe coso cbok eba esv fsb gait gtag iia iiarf ippf isa ISO oceg oecd pcaob rcsa

Association of Certified Fraud Examiners Committee of Sponsoring Organizations of the Treadway Commission Common Body of Knowledge European Banking Authority Ekonomistyrningsverket Financial Stability Board Guide to the Assessment of it Risk Global Technology Audit Guide Institute of Internal Auditors Institute of Internal Auditors Research Foundation International Professional Practices Framework International Standards on Auditing International Organization for Standardization Open Compliance and Ethics Group Organization for Economic Co-operation and Development Public Company Accounting Oversight Board Risk Control Self-Assessment

Innehållsförteckning del 1 bakgrund och utgångspunkter 23 Kapitel 1 Inledning 25 Varför en bok om internrevision? 25 Modern professionell internrevision 26 Fördelar och utmaningar 29 Bakgrund och innebörd 32 Internrevision och bolagsstyrning 34 Läsanvisningar 35 Instuderingsfrågor 38 Lästips 38 Kapitel 2 B akgrund 39 Inledning 39 Separation mellan ägandeskap och kontroll 39 Utveckling i näringsliv och företagande 42 En ny revisionsprofession växer fram 43 Om branschorganisationen 45 Internrevisionen utvecklas 45 Instuderingsfrågor 49 Lästips 49 Kapitel 3 Modern internrevision 51 Inledning 51 Förankring i normgivning 52 Risker som räknas 55 Att skapa värde 59 Att möta intressentkrav 60 Combined assurance 64 Självständighet och opartiskhet 66 Instuderingsfrågor 69 Lästips 69

del 2 referensram 73 Kapitel 4 Internrevision och bolagsstyrning 75 Olika perspektiv 75 Ökande krav på bolagsstyrning 77 Bolagsstyrningsorganen 79 Internrevisionens betydelse i bolagsstyrningen 80 Styrelsens verktyg 83 Värde till ledningen 87 Frågeställningar i forskningen 88 Instuderingsfrågor 97 Lästips 97

Kapitel 5 Gransknings- och rådgivningsobjekt 99 Inledning 99 Utgångspunkt och reflektioner 100 Styrningsprocessen 104 Riskhanteringsprocessen 108 Kontrollprocessen 116 Roller och ansvar 126 Instuderingsfrågor 131 Lästips 132 Kapitel 6 Normgivning 133 Inledning 133 Internrevisionens utveckling 133 Utvecklingen till dagens normgivning 136 International Professional Practices Framework 138 Uppdrag och nyckelprinciper 140 Definition och värdeerbjudande 143 Den yrkesetiska koden 145 Internationella riktlinjer för yrkesmässig internrevision 148 Rekommenderad vägledning 154 Offentlig och annan reglering 155 Instuderingsfrågor 157 Lästips 157

del 3 processer

161

Kapitel 7 Att riskbedöma och ta fram plan 163 Inledning 163 En dynamisk plan 164 Olika typer av risker 166 Audit universe 169 En balanserad plan 169 Input från styrelse och ledning 173 Koordinering av planering 175 Självständiga och opartiska bedömningar 176 Fastställa en plan och löpande avrapportera 176 Instuderingsfrågor 179 Lästips 179 Kapitel 8 Att planera ett uppdrag 181 Planering är avgörande 181 Förstå uppdraget 183 Förbereda verksamheten 183 Förstå verksamheten 184 Identifiera väsentliga risker 188 Identifiera nyckelkontroller och andra riskhanteringsåtgärder 192 Skapa en testplan 195 Etablera en projektplan och uppdragsbeskrivning 205 Kommunicera med verksamheten 207 Instuderingsfrågor 208 Lästips 208 14

innehållsförteckning

Kapitel 9 Att genomföra uppdraget 211 Inledning 211 Revisionsbevisens karaktär 212 Länkarna i revisionsbeviskedjan 212 Utvärdera effektivitet 216 Företagsövergripande kontroll 218 Kontroller i informationssystem 220 Iakttagelser och rekommendationer 222 Instuderingsfrågor 223 Lästips 223 Kapitel 10 Att kommunicera resultat 225 Inledning 225 Olika intressenter och mottagare 225 Snabba resultat 226 Värdera iakttagelser 230 Internrevisorns rekommendationer 231 Ledningens åtgärder 233 Internrevisorns rapportering 234 Instuderingsfrågor 241 Lästips 241 Kapitel 11 Att följa upp förbättringar 243 Inledning 243 Internrevisorns ansvar 244 Verifiera åtgärder 245 Kommunicera status 246 Instuderingsfrågor 247 Lästips 247 Kapitel 12 Att ge råd och bidra med insikter 249 Inledning 249 Normgivningen 250 Assurance är grunden 251 Olika typer av rådgivning 252 Om rådgivningsprocessen 254 Kompetenser och färdigheter 256 Betrodd rådgivare 257 Instuderingsfrågor 258 Lästips 258 Kapitel 13 Att kvalitetssäkra 259 Inledning 259 En integrerad del av internrevisionsarbetet 261 Kvalitetssäkring på olika nivåer 263 Professionalism 265 Fortlöpande kvalitetssäkring 268 Kvalitetssäkring av flera internrevisionsuppdrag 274 Extern kvalitetssäkring 275 Instuderingsfrågor 279 Lästips 279

Kapitel 14 Att träna och utbilda 281 Inledning 281 Kompetenta internrevisorer 281 Efterfrågade kompetenser 284 Internrevisorns kärnkompetenser 285 Ramverk för kompetensutveckling 287 Om fortlöpande träning och utbildning 299 Instuderingsfrågor 303 Lästips 303 Kapitel 15 Att leda och styra verksamheten 305 Inledning 305 Business case 305 Ledarskap 306 Hantera intressenter 308 Skapa effektivitet 311 Utveckla och anpassa verksamheten 312 Högpresterande internrevisionschefer 313 Styra internrevisionsverksamheten 318 Instuderingsfrågor 334 Lästips 335

del 4 reflektioner och framtida utmaningar

339

Kapitel 16 Framtida utmaningar 341 Inledning 341 Ökande intressentkrav 342 Riskhanteringsmiljöerna mognar 344 Andra riskexperter 345 Ökad professionalisering 347 Instuderingsfrågor 351 Lästips 351 Kapitel 17 Förslag till forskningsagenda 353 Kunskap om internrevision 353 Branschorganisationens program 354 Uppsatsöversikt 354 Internationell forskning 357 En agenda för framtida forskning 358 Lästips 361

bilaga 1

Förteckning över refererad normgivning Internationella riktlinjer för yrkesmässig internrevision Praktiska råd Praktiska vägledningar

364 364 366 367 referenser 368 sökord 379

innehållsförteckning

Figurförteckning Figur 1: Principal-agent-modell ur ett internrevisionsperspektiv.

Figur 2: Intressenters uppfattningar om värdet av internrevisionens bidrag.

Figur 3: Bolagsstyrningsmosaik.

Figur 4: Behov av internrevisionens assurance och rådgivning.

Figur 5: Revisionsutskottsordförande, vd och internrevisionschef.

Figur 6: Relation mellan verksamhet och risker, styrning och kontroll och internrevision. 101 Figur 7: Riskhanteringsprocessen.

111

Figur 8: Riskmatris och fyra riskbehandlingar för nedsidan av risk, "4Ts".

115

Figur 9: Process med inbyggda kontrollaktiviteter: ka 1, ka 2 och ka 3.

121

Figur 10: Modellen med tre försvarslinjer — three lines of defence.

128

Figur 11: Grad av förlitande på andra assurance providers.

130

Figur 12: Utveckling av internrevisionsaktivitetens inriktning.

136

Figur 13: Ramverket för Internrevisionseffektivitet – Nya ippf. 139 Figur 14: Core Principles for the Professional Practice of Internal Auditing.

142

Figur 15: Internrevisionens värdeerbjudande.

144

Figur 16: Internrevisionens yrkesetiska principer och tillämpningsregler.

148

Figur 17: Syftet med riktlinjer för yrkesmässig internrevision.

150

Figur 18: Illustration av uppbyggnaden av internrevisionens riktlinjer.

150

Figur 19: Fördelning av internrevisionsinsatser under 2014.

172

Figur 20: Revisionsutskottets och ledningens uppfattningar om väsentliga risker.

174

Figur 21: Internrevisionsuppdragets grundläggande faser.

183

Figur 22: Exempel på manuella granskningsåtgärder.

185

Figur 23: Exempel på uppdragsmål.

192

Figur 24: Illustration över risk- och kontrollpaketet.

194

Figur 25: Viktiga komponenter i en testplan.

197

Figur 26: Kontrollmål.

199

Figur 27: Exempel på testmål.

200

Figur 28: Utvärdering av design och effektivitet.

202

Figur 29: Kontrollfrekvens och urval vid test av kontrolleffektivitet.

204

Figur 30: Länkar i en revisionsbeviskedja.

213

Figur 31: Relationen mellan process och utflöde ur ett utvärderingsperspektiv.

216

Figur 32: Internrevisorns bedömning och ledningens uppmärksamhet.

228

Figur 33: Bedömning av internrevisorns iakttagelser.

231

Figur 34: Ramverk för intern styrning och kontroll. Uppföljning markerad.

244 17

Figur 35: Insikter = katalysator, analyser och bedömningar.

251

Figur 36: Ramverk för kvalitetssäkringsprogram av internrevisionsverksamheter.

261

Figur 37: Ramverk för kvalitetssäkring av internrevisionsverksamheter.

264

Figur 38: Process och omfattning av full extern utvärdering.

276

Figur 39: Jämförelse mellan två alternativa bedömningsskalor.

278

Figur 40: Kompetensramverk för internrevisorer.

287

Figur 41: Rekrytering av ledare till internrevisionsverksamheter.

317

Figur 42: Process för att ta fram internrevisionsverksamhetens strategiska plan.

320

Figur 43: Mognadsmodell för internrevisionsverksamheter.

320

Figur 44: Internrevisorns karriärvägar.

328

Figur 45: Dimensioner på uppföljning av internrevisionsverksamheter.

330

Figur 46: Aktiviteter av internrevision som skapar mest värde.

333

Figur 47: Inventering av uppsatser.

355

figurförteckning

Del 1

Bakgrund och utgångspunkter Denna del består av tre kapitel som sammantaget syftar till att introducera internrevision. Kapitel 1 presenterar internrevisionens definition och innebörd. Vi ger även en inledande beskrivning av internrevisionens bakgrund och utveckling samt introducerar några av internrevisionens förtjänster och utmaningar. I kapitel 2 finns en referensram som kan bidra till att förklara internrevisionens förekomst i företag och organisationer. Vi beskriver även några viktiga aspekter av utvecklingen inom företag och företagande, och hur detta inverkat på betydelsen och framväxten av internrevision i organisationer. Vi ger även en presentation av internrevisionens globala branschorganisation. I kapitel 3 fördjupar vi oss i den moderna internrevisionens kännetecken. Vi beskriver och diskuterar ett antal utmärkande drag vid internrevisionsaktiviteten, som ihop bidrar till att särskilja den moderna internrevisionen från andra aktiviteter. Sammantaget ska dessa tre kapitel i bokens första del introducera internrevisionens teoretiska och praktiska innebörd för läsaren.

del 1 bakgrund och utgångspunkter

Kapitel 1 Inledning Varför en bok om internrevision?

Varför skriva en bok om internrevision? Det främsta skälet är att internrevision får en allt större betydelse i samhälle och näringsliv. Från att ha haft en relativt undanskymd plats är nog många idag överens om den betydelse som en effektiv internrevisionsaktivitet kan ha i företag och organisationer (Coetzee m.fl., 2015). Historiskt sett har internrevisionen levt i skuggan av den externa, lagstadgade revisionen samt den interna kontrollen i företag och organisationer. Detta har förändrats under senare år och lagstiftare, tillsynsmyndigheter och andra normgivare tycks i allt större omfattning betona vikten av en effektiv internrevisionsverksamhet. Internrevisionen har därmed över tid fått en allt mer framträdande roll inom ramen för styrning av företag och organisationer. Från att historiskt sett ha fungerat som ledningens verktyg har den primära uppdragsgivaren istället blivit företagets styrelse. I förlängningen av denna utveckling har ett viktigt skifte i fokus ägt rum: från att granska åt ledningen till att granska ledningen. Därmed har internrevisionen utvecklats till att bli ett verktyg för bolagsstyrelsen med uppdraget att utvärdera och förbättra styrning, riskhantering och kontroll i företag och organisationer (Ramamoorti, 2003). Med ökad turbulens i samhälle och näringsliv kan en effektiv internrevision bidra på ett positivt sätt. Då den söker att blicka både framåt och bakåt framstår internrevisionen som en framåtorienterad revisions- och rådgivningsaktivitetet. Genom att utvärdera effektiviteten i riskhanteringsåtgärder kan internrevisorn identifiera förbättringspotentialer, som kommer företag och organisationer till godo som en del i deras ständiga förbättringsarbete. Ett annat skäl till varför en bok om internrevision kan vara påkallad är att det finns ett kunskapsgap att fylla inom detta område. Utländsk litteratur och forskning förekommer visserligen i riklig omfattning, men ur ett svenskt perdel 1 bakgrund och utgångspunkter

spektiv är internrevision som akademiskt kunskapsområde fortfarande magert. Därmed finns självfallet möjligheter för forskare och studenter att undersöka internrevisionens roll, ansvar, aktiviteteter och utmaningar – något vi återkommer till i bokens sista kapitel. Förhoppningsvis kan denna bok bidra till en sådan process. Ett ytterligare skäl till varför en bok om internrevision kan vara befogad rör framtida utmaningar. Internrevisionen som profession har utvecklats väsentligt under senaste årtiondet men står fortfarande inför stora utmaningar. Det handlar bland annat om att kommunicera det ekonomiska värdet av internrevisionsaktiviteten. Denna bok diskuterar några av dessa utmaningar (Chambers & Odar, 2015). Avslutningsvis ett sista skäl till varför en bok om internrevision kan vara motiverad. Internrevisionsverksamheten tycks i vissa fall vara en oanvänd aktivitet. En indikation på detta är att långt ifrån alla företag och organisationer har en internrevisionsverksamhet, trots att detta årligen ska utvärderas av styrelsen utifrån punkt 7.3 i Svensk kod för bolagsstyrning (hädanefter benämnd bolagsstyrningskoden). Möjligen kan denna bok bidra till att öka kännedomen om internrevisionsaktivitetens potentiella värde för de som äger, leder eller investerar i företag och organisationer (Kollegiet för svensk bolagsstyrning, 2015a:18).

Modern professionell internrevision

Vad är egentligen modern internrevision? Modernitet är ett mångfacetterat begrepp som i detta sammanhang kan bidra till att karaktärisera det samtida så att det kan jämföras mot det dåtida eller historiska. Samtidigt är detta en aning svårt. Likt det mesta omkring oss utvecklas internrevisionen ständigt. Inte minst blir det tydligt om man studerar internrevisionens historia. Genom årtionden är det många som därmed beskrivit det som då benämndes modern internrevision. Vi gör ändå ett försök då den historiska formen för internrevision skiljer sig avsevärt åt från den nutida. Den moderna internrevisionsaktiviteten arbetar ofta på uppdrag av bolagsledningen, styrelsen eller motsvarande. Styrelsen utgör därmed den primära uppdragsgivaren i rollen som högsta ledande organ i företaget. Därmed utgör internrevisionen ett av styrelsens hu26

kapitel 1 inledning

vudsakliga verktyg som kan användas i syfte att få objektiv information om hur företaget styrs och kontrolleras (Sarens m.fl., 2009). Att styrelsen ofta är internrevisionens huvudsakliga uppdragsgivare bidrar därmed till en viss självständighet och opartiskhet, något som ibland benämns som oberoende. Sevenius (2010) beskriver i sin bok om bolagsstyrning att oberoende egentligen är ett ställföreträdande begrepp för integritet. I internrevisionssammanhang syftar detta till att internrevisorn ska kunna arbeta självständigt och opartiskt med att utvärdera all styrning, riskhantering och kontroll i företag och organisationer. Historiskt sett har dock internrevisionen fungerat som ekonomifunktionens eller controllerfunktionens verktyg. Den har ofta nyttjats till att hitta överträdelser, avvikelser eller oegentligheter på nivåer under denna. Internrevisionsverksamheten har därmed endast i liten omfattning granskat den högre ledningens aktiviteter (Ramamoorti, 2003:3; jmf Garbade, 1944). Den moderna internrevisionsaktiviteten utvärderar risker av betydelse för företag och organisationer. Blickar vi längre tillbaka i tiden har många internrevisionsaktiviteter primärt utvärderat finansiell redovisning och rapportering, något som idag inte är internrevisionens huvudsakliga utvärderingsobjekt. Visserligen kan redovisning och finansiell rapportering bli föremål för både rådgivning och utvärdering men ändå förblir styrning, riskhantering och kontrollprocesser i fokus (iia, 2013a:31; iia, 2013b:17; iiarf, 2012a:5-6; Speklé m.fl., 2007:102). Företag och organisationer möter varje dag väsentliga strategiska, operativa, finansiella och compliance-relaterade risker som behöver hanteras på ett effektivt sätt. Compliance-risker handlar om bristfällig regelefterlevnad. Om de misslyckas med detta kan hela deras fortlevnad i själva verket hotas. Den konstanta turbulens och oförlåtande omgivning som många företag och organisationer idag möter leder till att ineffektiv riskhantering väldigt fort kan få katastrofala följer. I arbetet med att uppnå en effektiv och dynamisk riskhantering kan den moderna internrevisionen bidra genom att löpande ta pulsen på och förbättra organisationers riskhantering inom betydelsefulla områden (Smith & Fischbacher, 2009). En modern internrevisionsverksamhet består av medarbetare med både bred och djup kompetens, som ofta kan fungera som en plantskola för framtida ledande personal. Plantskoletanken är tydlig i många nordamerikanska organisationer där erfarenhet från internrevisionsverksamhet ofta utgör en god del 1 bakgrund och utgångspunkter

grund för framtida ledarskapsutmaningar inom organisationen. Den traditionella internrevisorn påminde mer om en kamrer vars huvudsakliga kompetensområde var redovisning. Idag är redovisningsfärdighet inte den mest efterfrågade kompetensen när internrevisorer rekryteras. Inte heller betonas redovisning märkvärt vid löpande utbildning av internrevisorer (iiarf, 2015a:22; iia, 2013b:17). Vad som noterats ovan får konsekvenser för hur företag och organisationer kan utforma och använda internrevision. En modern internrevision kännetecknas av en hög nivå av yrkesskicklighet, vilket i sin tur möjliggör att berörda medarbetare kan fungera som betrodda rådgivare i organisationen. Den moderna internrevisionen är efterfrågad eftersom högkvalitativ internrevision är något som både styrelse och ledning önskar och behöver. En modern internrevisionsverksamhet präglas på så sätt av att vara efterfrågad i motsats till tolererad (jmf iiarf, 2012a: 6; Spira & Page, 2003). Internrevisorer är en yrkesgrupp med gemensamma attribut. Ett viktigt sådant är att professionen följer en officiell normgivning som är unik för internrevisionens praktik. Institute of Internal Auditors (hädanefter iia eller branschorganisationen), professionens globala branschorganisation för medlemmar, ger ut International Professional Practices Framework (hädanefter ippf). Dess svenska del heter Internrevisorernas Förening (Internrevisorerna) – eller iia Sweden (Internrevisorerna, 2013:2). I normramverket ippf ingår nyckelprinciper1, (core principles for the professional practice of internal auditing), internrevisionsdefinitionen, yrkesetisk kod samt internationella riktlinjer för yrkesmässig internrevision som obligatoriska komponenter. Till de obligatoriska delarna kan man foga praktiska råd och vägledningar som utgör rekommenderad normgivning. Vi återkommer till detta normramverk i kapitel 6 som handlar just om internrevisionens normgivning. Flera kommittéer inom iia är delaktiga i arbetet med att utveckla och underhålla ramverket. En av iia:s kommittéer, International Internal Audit Standards Board, ansvarar för att på global nivå underhålla och utveckla de internationella riktlinjerna. En annan kommitté – Global Ethics Committee – underhåller och uppdaterar professionens yrkesetiska kod. En ytterligare kommitté – Professional Issues Committee – leder arbetet med att underhålla 1 Författarens egen översättning.

kapitel 1 inledning

och utveckla praktiska råd och vägledningar (Reding m.fl., 2013:2-29). Vad som kännetecknar en modern internrevision är en gedigen kunskap om ramverket ippf samt hur ingående komponenter bör tolkas och tillämpas. I synnerhet blir detta av betydelse då internrevisionens riktlinjer är principbaserade och därmed inte alltid föreskriver exakta tillvägagångsätt. Snarare anges vad som bör förekomma eller uppnås i form av grundläggande krav. Det är även en anledning till varför internrevisionsverksamheter ofta arbetar utifrån internrevisionsmetodiker. Det är en typ av manual som beskriver tillvägagångsätt, som är fast förankrade i etablerad normgivning. Sammantaget är en yrkesskicklig tillämpning av normgivningen något som karaktäriserar den moderna internrevisionen.

Fördelar och utmaningar

Vad som noterats i avsnittet ovan berör internrevisionens fördelar men även några av de framtida utmaningar som professionen står inför. De flesta av dessa kommer vi tillbaka till vid ett flertal tillfällen i boken. En komparativ fördel hos internrevisionen kan i själva verket vara att den både är bakåtblickande och framåtblickande. Internrevisionsaktiviteten kombinerar granskning (objektiv utvärdering) med rådgivning (utbildning, yttranden och annan konsultation) på ett sätt som kan komma företag och organisationer till godo. Traditionella revisionstekniker används för att fastställa huruvida styrning, riskhantering och kontroll är väl utformade och fungerar på ett effektivt sätt. I detta arbete tar dock internrevisionen utgångspunkt i vart organisationen är på väg samt var den befinner sig på denna resa. Internrevisionsverksamheten har i själva verket ingen annan målsättning med verksamheten än att bidra till de legitima målsättningar som gäller för företaget och organisationen i stort. Detta är viktigt att poängtera. Internrevisionsverksamheter söker därmed bistå företag och organisationer med att ta nästa, bästa och mest lämpliga steg i utvecklingen av styrning, riskhantering och kontrollprocesser. En viktig aspekt av internrevisorns arbete är därmed att han eller hon tar utgångspunkt i mål och strategier i syfte att utvärdera och förbättra verksamheten åt styrelse och ledning. Risker som är av betydelse för att företag och organisationer ska nå mål är den moderna internrevisionens huvudsakliga fokus. del 1 bakgrund och utgångspunkter

Denna framåtblickande komponent finns även inbäddad i professionens normgivning. Internrevisionens riktlinjer föreskriver att internrevisorn ska rekommendera förbättringar samt söka finna grundläggande orsaker, root causes, till identifierade avvikelser (iia, 2013a:177). Riktlinjerna möjliggör även att internrevisorn, under vissa förutsättningar, kan arbeta med rådgivande uppdrag åt uppdragsgivaren eller andra intressenter. Att internrevisionen syftar till att åstadkomma verksamhetsförbättringar framgår tydligt av den officiella definitionen av internrevisionsaktiviteten (iia, 2013a:2): Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control and governance processes. Internrevisionsverksamhet handlar alltså inte om felfinnande utan om att skapa värde åt verksamheten genom att tillämpa systematiska och disciplinerade metoder. Genom att hjälpa verksamheten förbättra sin styrning, riskhantering och kontroll ökar i sin tur sannolikheten för att organisationen når målen (D’Onza m.fl., 2015). En ytterligare förtjänst rör själva föremålen för utvärdering och förbättring – alltså karaktären på de objekt som internrevisorn fokuserar på inom ramen för sin yrkesutövning. Medan den externa lagstadgade revisionen primärt rör årsredovisning, bokföring och företagsledningens förvaltning, utvärderar och rådger internrevisorer om styrning, riskhantering och kontrollprocesser (Reding m.fl., 2013:1-9; iiarf, 2012a:10) I takt med att näringsliv och organisationer blir allt mer sammanflätade och komplexa tycks även betydelsen av en effektiv riskhantering och styrning öka. Det finns indikationer som talar för att riskhanteringsprocesser i företag och organisationer får större betydelse vid sidan av den valda strategin. Många uppmärksammade problem i både privat och offentlig sektor har i efterhandsanalysen blivit tillskrivna brister i riskhantering (Power, 2007, 1997). Mot denna bakgrund finns anledning att tro att internrevisionens värde i förlängningen därmed också ökar. Detta innebär i praktiken att nyttan med internrevisionsaktiviteten relativt sett kan öka. Styrelser, ledningar och an30

kapitel 1 inledning

dra intressenter har helt enkelt större nytta av en internrevisionsverksamhet i en turbulent komplex miljö jämfört med en statisk och mindre komplex sådan. Men internrevisionen står också inför utmaningar. Inte minst ökar intressentkraven – det vill säga de krav som ställs på internrevisionsverksamheter från bolagsledning, lagstiftare, tillsynsmyndigheter, ägare, kunder och leverantörer. Internrevisionsverksamheter förväntas ständigt göra allt bättre och billigare (iiarf, 2015b). Dessutom ökar intressentkraven i förlängningen av att internrevisionen allt mer ses som en etablerad del av styrningen av företag och organisationer. Många menar därför att internrevisionen, som självständig och opartisk aktivitet, bör kunna göra ett betydelsefullt bidrag för att höja kvaliteten i bolagsstyrningen. Undersökningar tyder dock på ett prestationsgap. Detta gap innebär att internrevisionsverksamheter inte alltid lever upp till krav från uppdragsgivare eller andra väsentliga intressenter. I efterdyningarna av finanskrisen 20072009 har forskare i efterhand konstaterat att internrevisionen knappt adresserats i analysen (Nuijiten m.fl., 2015:195; Lenz & Sarens, 2012; jmf Spira & Page, 2003). Vad forskarna noterar manar till reflektion. Inte minst mot bakgrund av ökande konkurrens från andra och nya så kallade assurance providers. Det tycks alltså finnas en förbättringspotential vilket även noteras av den globala branschorganisationen i olika sammanhang (Lenz & Hahn, 2015). Generellt beskrivs internrevision i många texter som en betydelsefull del av en fungerande styrning av företag och organisationer. Inte minst kan detta ses i många regulatoriska texter, men även ur den svenska bolagsstyrningskoden går det att förstå att en internrevisionsverksamhet har betydelse. Omfattningen och karaktären av internrevision i svenska företag och organisationer tycks dock visa att långt ifrån alla bolagsledningar delar uppfattningen om internrevisionens betydelse. I årsrapporten från Kollegiet för svensk bolagsstyrning, gällande tillämpningen av bolagsstyrningskoden under året 2014, framgår att endast en knapp fjärdedel av undersökta bolag har en internrevision installerad (Kollegiet för svensk bolagsstyrning, 2015b:18).

del 1 bakgrund och utgångspunkter

Bakgrund och innebörd

Internrevision är inget nytt fenomen. Studier om internrevisionens historia finner spår av internrevisionsverksamhet utförd århundranden tillbaka. Branschorganisationen Institute of Internal Auditors (iia) grundades 1941 (Reding m.fl., 2013). Grundandet av branschorganisationen beaktas av många som den officiella starten för internrevisionsprofessionen. Att denna organisation tillkom 1941 var dock ingen slump utan en direkt följd av hur företag och organisationer utvecklats. De blev allt större och över tid blev det svårt för ledningen att på egen hand följa upp verksamheten ”hands on”. Det behövdes nya verktyg för att adressera de ökande gapen mellan ledning och anställda. Därmed fanns grunden för det som kom att utvecklas till dagens moderna internrevision (jmf Haun, 1955; Garbade, 1944). Idag har branschorganisationen vuxit till att bli en mycket stor organisation för praktiserande internrevisorer på global nivå. Över 180 000 medlemmar ingår i iia:s organisation med en geografisk närvaro i över 170 länder. iia är alltså den globala internrevisionsprofessionens branschorganisation, och i Sverige är den representerad genom Internrevisorerna – iia Sweden – som grundades 1951 och som har ungefär 700 medlemmar (iia, 2015a:3; Internrevisorerna, 2013:2). Internrevisionens definition, som citerades tidigare i detta kapitel, visar att internrevision både är en granskande och rådgivande aktivitet. Historiskt sett har tyngdpunkten legat vid granskningsuppgiften, men i takt med att företag och organisationer utvecklat sin riskhanteringsförmåga tycks rådgivningsrollen ha blivit allt mer betydelsefull. Internrevisionen har tre övergripande objekt för granskning och rådgivning: styrningsprocesser, riskhanteringsprocesser och kontrollprocesser. Dessa objekt är inte helt åtskilda utan snarare ömsesidiga och dessutom nära hopflätade. I praktiken är dessa processer inbyggda i allt som sker i en organisation, inklusive deras stödjande informations- och kommunikationsteknologier. Få framgångsrika aktiviteter är helt utan styrning och de flesta aktiviteter behöver hantera risker genom riskhanteringsåtgärder såsom kontroll. Ovan nämnda objekt ligger alltså till grund för internrevisionens arbete. Den som primärt uttolkar vad som bör vara föremål för internrevisorers arbete är den globala branschorganisationen iia som alltså är officiell normgivare. Inom ramen för detta måste sedan internrevisionen själv i samråd med dess 32

kapitel 1 inledning

uppdragsgivare bedöma vilka insatser som är mest angelägna och som alltså ger mest värde för pengarna. Ramverket ippf är inte statiskt utan utvecklas löpande baserat på publika remissförfaranden. Under 2015 gjordes ändringar som bland annat innebar att den obligatoriska normgivningen numera även inkluderar core principles. Dessa core principles – eller nyckelprinciper2 – motsvarar grundläggande pelare som sammantagna ska bidra till internrevisionens effektivitet. Även ett så kallat mission statement – internrevisionens uppdrag eller verksamhetsidé2 – har adderats till befintlig normgivning. Detta bland annat i syfte att vägleda praktiserande internrevisorer, internrevisorsverksamheter samt andra intressenter om internrevisionens uppdrag och värde. Vid sidan av nyckelprinciperna är definitionen av internrevision, riktlinjer för yrkesmässigt utövande av internrevision samt yrkesetiska regler obligatoriska att följa för branschorganisationens medlemmar och certifierade internrevisorer. Utöver nämnda obligatoriska komponenter finns även rekommenderad vägledning. Under 2015 påbörjades arbetet med att stöpa om den rekommenderade vägledningen i ny form. Den rekommenderade vägledningen – praktiska råd och praktiska vägledningar – går numera under namnen implementation guidance respektive supplemental guidance. Vi återkommer till detta i kapitel 6 (Seago, 2015). Såväl internrevisionens egenskaper som själva utförandet är reglerat genom ovan nämnda ramverk. Internrevisionsaktivitetens olika steg – från planering till kommunikation av resultat – är reglerade genom olika riktlinjer som alla syftar till att säkerställa en konsekvent praktik som skänker legitimitet samt borgar för tjänstens ekonomiska värde. Internrevisionen är en värdeskapande aktivitet – det framgår av den officiella definitionen. Med utgångspunkt i mål och strategier ska internrevisionsaktiviteten utvärdera och förbättra effektiviteten i styrning, riskhantering och kontroll i företag och organisationer. Definitionen föreskriver även att internrevision är en aktivitet som ska utföras på ett systematiskt och disciplinerat sätt.

2 Författarens egen översättning.

del 1 bakgrund och utgångspunkter

Med ett systematiskt och disciplinerat tillvägagångsätt menas att internrevisorn använder etablerad normgivning som utgångspunkt för arbetet. Genom att använda revisionstekniker utförs planering, genomförande och avrapportering på ett sekventiellt och metodiskt sätt. Sammantaget bidrar detta till att särskilja professionell utövning från lekmannautövning. I de organisationer som saknar internrevision kanske ledningar hävdar att man själva utför denna uppgift, eller att den interna kontrollen är tillfyllest. Det är dock viktigt att skilja sådana aktiviteter från den systematiska och disciplinerade aktiviteten som utgör modern professionell internrevision (jmf Chambers m.fl., 1987).

Internrevision och bolagsstyrning

Den formella svenska bolagsstyrningen enligt aktiebolagslagen (2005:551) innefattar permanenta organ och funktioner. Bolagsstämman är det högsta beslutande organet medan styrelse och verkställande direktören leder verksamheten. Den externa lagstagade revisorn granskar årsredovisning, bokföring och förvaltning och avrapporterar resultatet till bolagsstämman. Även revisionsutskottet har en kontrollerande roll i bolagsstyrningen. Till detta kan beredande funktioner tilläggas i form av valberedning och ersättningsutskott. Den formella bolagsstyrningen utvecklas löpande som ett resultat av att omvärlden utvecklas och förändras. Varken formell eller operativ bolagsstyrning är därmed statisk (Sevenius, 2010:18). Styrelsen har ett betydande ledningsansvar och även ett formellt ansvar för att bolagets verksamhet förvaltas på ett betryggande sätt. Att axla styrelseuppgiften tycks över tid ha blivit allt mer krävande, i synnerhet vad gäller styrelsearbete i stora komplexa organisationer. Kraven tycks öka på styrelser både vad gäller den kontrollerande och affärsutvecklande uppgiften (nacd, 2013). Styrelsen har ett ansvar att besluta om viktiga affärsmässiga förhållanden men den löpande driften leds av verkställande direktören. I större och mer komplexa organisationer har styrelsen ofta svårt att direkt bedöma kvaliteten i bolagets styrning, riskhantering och kontroll. Detta beror bland annat på informationsasymmetrier och så kallad principal-agent-problematik (Haun, 1955). Enligt principal-agent-teori delegerar principalen, exempelvis en ägare, en aktivitet och därmed även beslutsrätten till en agent, till exempel företagsledningen. Givet att parterna är nyttomaximerande finns anledning att tro att 34

kapitel 1 inledning

agenten inte alltid kommer arbeta för principalens bästa. Istället kan han eller hon avvika från det överenskomna och göra det som passar bäst för honom eller henne (Jensen & Meckling, 1976). Sådana agentproblem uppstår på olika sätt och på olika nivåer, exempelvis mellan styrelse och ledning samt ledning och övrig organisation. Internrevisionsaktiviteten är i detta sammanhang ett verktyg för att adressera denna så kallade agentproblematik. Internrevisorn utvärderar alltså styrning, riskhantering och kontroll på uppdrag av styrelse eller motsvarande, dit han eller hon även avrapporterar sina resultat. Styrelsen bistås ofta av ett revisionsutskott, vilket är ett organ som är underställt styrelsen, med ansvar för att bereda och kontrollera frågor rörande bland annat finansiell rapportering revision, riskhantering och internrevision (Sevenius, 2010:160). Över tid har internrevisionsaktiviteten till synes blivit en allt mer integrerad del av styrningen av företag och organisationer, och i vissa industrier är internrevisionsaktiviteten en reglerad företeelse (jmf esv, 2015b; fi, 2014). Kollegiet för svensk bolagsstyrning är normgivare inom bolagsstyrningsområdet vad gäller svenska börsnoterade bolag. Bolagsstyrningskoden påbjuder via punkt 7.3 att, i bolag som inte har en internrevisionsfunktion, ska styrelsen årligen utvärdera behovet av en sådan, samt motivera sitt ställningstagande i den årliga beskrivningen av den interna kontrollen i bolagsstyrningsrapporten. Utifrån detta finns det anledning att tro att internrevision uppfattas som en viktig del i styrningen av företag (jmf Sarens m.fl., 2009; Cohen m.fl., 2004).

Läsanvisningar

Denna bok är en grundläggande introduktionsbok om internrevision anpassad för studier på högskola och universitet. Boken passar program om styrning i allmänhet och studier inom internrevision i synnerhet, men kan även bidra med värdefulla kunskaper för praktiker som är nya i rollen som internrevisorer. Vidare kan boken också bidra med kunskap till andra intressenter som av olika anledningar behöver skaffa sig en förståelse för internrevisionsprofessionen. Dessa intressenter kan innefatta ägare, styrelseledamöter, ledare, rekryteringsspecialister, lagstiftare och tillsynsmyndigheter. del 1 bakgrund och utgångspunkter

Boken är indelad i fyra delar: Del 1 utgör en plattform inför kommande delar. Efter inledningen i detta kapitel som du snart läst färdigt, ges en bakgrund till internrevisionsaktiviteten där vi även beskriver en teoretisk referensram. I kapitel 3 beskrivs och diskuteras därefter den moderna internrevisionens kännetecken. Del 2 utgör sammantaget en referensram där internrevisionens roll inom ramen för styrning av företag och organisationer behandlas. Vi beskriver internrevisionens huvudsakliga gransknings- och rådgivningsobjekt varefter det sista kapitlet i denna del behandlar internrevisionens officiella normgivning. Del 3 anlägger ett processorienterat perspektiv och beskriver centrala internrevisionsprocesser som utförs inom ramen för internrevisionsverksamheter. Kapitlen redogör för huvudprocesserna – planering av uppdrag, genomförandet av uppdrag samt kommunikation av resultat från internrevisionsuppdrag. Därefter redogör vi även för internrevisionens uppföljning av beslutade åtgärder samt internrevisorns rådgivande uppgift. Inom ramen för del 3 beskriver vi även stödjande processer som sammantaget avser övergripande ledning och styrning av verksamheten. I separata kapitel redogörs för planering och riskbedömning, kvalitetssäkring, träning och utbildning samt ledning och styrning av internrevisionsverksamhet. Del 4 avslutar boken och utgörs av två kapitel. Det första kapitlet tar upp några av internrevisionsprofessionens framtida utmaningar, varefter vi avslutar med en genomgång av befintlig forskning där vi även lämnar ett förslag på forskningsagenda. Boken tar utgångspunkt i etablerad normgivning i form av International Professional Practices Framework (ippf) från den globala branschorganisationen Institute of Internal Auditors. Boken ger dock inte en fullständig redovisning över alla riktlinjer och vägledningar, och bör därför läsas ihop med ippf om avsikten är att få en fullständig förståelse av dessa. Boken refererar till den normgivning som lämnas vid ippf och 2013 års upplaga av riktlinjerna har använts. Vi använder terminologi från nämnda upplaga. Oftast refereras till översättningar hämtade från den svenska översättningen utgiven av den lokala branschorganisationen Internrevisorerna – iia Sweden. Vid något tillfälle citeras dock den ursprungliga engelska lydelsen för att undvika förlorade nyanser vid översättning. Ibland finns enbart en engelsk 36

kapitel 1 inledning

lydelse tillgänglig varför denna redovisas, och ofta ihop med författarens egen översättning. Vid behov av ytterligare vägledning rekommenderas läsare att konsultera den engelska ordalydelsen, samt relaterade råd och vägledningar för att erhålla en djupare förståelse för innebörden. Vid sidan av yrkesteknisk normgivning utgiven av internrevisionsprofessionens branschförening finns även offentlig reglering som föreskriver internrevisionsaktivitetens arbete. Detta gäller särskilt i vissa reglerade sektorer. I boken kommer sådan sektorspecifik reglering endast att behandlas på ett sparsamt sätt. Det här är en bok om internrevision. Ändå berör flera kapitel ämnen som bolagsstyrning, riskhantering, styrning, intern kontroll samt externrevision. Detta är ofrånkomligt då internrevisionens gransknings- och rådgivningsobjekt avser styrning, riskhantering och kontrollprocesser, samt att en del av internrevisionsteknikerna härstammar från externrevisionsteori och praktik. Dessa ämnen behandlas dock inte utförligt, utöver vad som redogörs för i kapitel 5 samt i delar av vissa andra kapitel. För att få en mer fullständig bild över dessa ämnen rekommenderas läsare att inhämta kunskap från dylik litteratur. Det lämnas referenser till fördjupningslitteratur i slutet av varje kapitel som läsare bör finna användbara. Del 3 är den del som är mest tekniskt orienterad. Denna bok är dock inte tänkt att förse läsaren med beskrivningar över detaljerade tillvägagångsätt, utan endast övergripande beskriva processer och rutiner utifrån tolkning av praktiska råd och ledande internrevisionslitteratur. För läsare som önskar fördjupa sig inom internrevisionsteknik och metodik lämnas lästips. I slutet av varje kapitel återfinns även instuderingsfrågor, som ger läsaren en möjlighet att testa sina kunskaper.

del 1 bakgrund och utgångspunkter

Instuderingsfrågor 1. Vad menas med att internrevisionen har varit ledningens verktyg? 2. Vad heter internrevisionens globala branschförening och när grundades den? Hur stödjer den praktiserande internrevisorer och medlemmar? 3. H ur lyder internrevisionens definition och vad är dess innebörd? Vilka tycker du är de bärande delarna i definitionen? 4. V arför ökar internrevisionens värde i en mer turbulent omgivning? 5. Varför tror du att intressentkraven på internrevisionen ökar? Ge exempel på hur internrevisionens intressentkrav ökar. 6. V ad menas med att internrevisionen är både bakåtblickande och framåtblickande? 7. V ilka kommittéer inom branschorganisationen ansvarar för att underhålla och utveckla professionens normgivning?

Lästips Garbade, W.H. 1944: Internal control and the internal auditor, The Accounting Review, Vol. 19, No. 4:416-421. Haun, R. 1955: Broad vs. narrow concepts of internal auditing and internal control, The Accounting Review, Vol. 30, No. 1:114-118. Ramamoorti, 2003: Chapter 1: Internal auditing: History, evolution and prospects, The Institute of Internal Auditors Research Foundation (iiarf), Florida, usa. Rezaee, Z. 1995: What the coso report means for internal auditors, Managerial Auditing Journal, Vol. 10, No. 6:5-9. The Institute of Internal Auditors Research Foundation (iiarf), 2003: Internal audit reporting relationships – serving two masters, Florida, usa.

kapitel 1 inledning

Internrevision - en introduktion Olof Arwinge

varför skriva en bok om internrevision? Det främsta skälet är att internrevision

isbn 978-91-523-3829-2

(523-3829-2)

Olof Arwinge