7 tips för en värdeskapande internrevisionsplan
Funderar ni huruvida er internrevisionsplan är effektiv, ändamålsenlig och anpassad till bolagets föränderliga risker? Här följer några praktiska tips och råd som kan hjälpa just er internrevisionsfunktion att på ett systematiskt tillvägagångssätt skapa samt underhålla en riskbaserad internrevisionsplan med syftet att planera värdeskapande aktiviteter.
Regelverksförändringar, digitalisering och förändrade processer ställer allt högre krav på att en internrevisionsplan är effektiv, ändamålsenlig samt anpassad till bolagets föränderliga risker.
Nedan är några praktiska råd som kan hjälpa just er internrevisionsfunktion att på ett systematiskt tillvägagångssätt skapa och underhålla en riskbaserad internrevisionsplan. Dessa råd är även i linje med IIA:s (Institute of Internal Auditors) riktlinjer.
1. Förstå organisationen
För att identifiera kritiska och viktiga risker bör en internrevisionschef ha god kunskap om verksamhetens strategiska, operationella, finansiella och regulatoriska mål och aktiviteter. En internrevisionschef bör även ha god förståelse för affärsverksamheten och de utmaningar och förändringar som organisationen står inför. En annan viktig del av arbetet är att bygga goda relationer och linjera arbetet mot organisationens gemensamma mål, även finansiella, vilket är centralt för en internrevisionschef.
2. Identifiera, bedöma och prioritera risker
Riskanalysen utgör grunden för internrevisionens arbete och bör vara dynamisk med löpande identifiering och värdering av risker. Det är genom riskanalysen som internrevisionschefen avgör vilka områden som är mer väsentliga än andra. Input till riskanalysarbetet bör sökas från både verksamhet och ledning samt andra linjens kontrollfunktioner med syfte att öka förståelsen kring relevanta områden med affärskritiska processer i fokus. Riskanalysen gör det möjligt för en internrevisionschef att fokusera på de risker och områden som är mest relevanta och värdeskapande vilket även påverkar prioriteringen av dessa. Internrevisionschefen bör även ta hänsyn till vilken inriktning som styrelsen vill ge revisionen under kommande året.
Notera att riktlinjer för internrevision föreskriver att en riskbedömning ska ske minst årligen.
3. Koordinera med andra intressenter inom organisationen
Att koordinera aktiviteter med ledning, affärsverksamhet och kontrollfunktioner så kallad combined assurance är nödvändigt, samtidigt måste funktionen förbli oberoende och objektiv. Syftet med koordinering och samordning är bland annat att det bidrar till ökad effektivitet samt minskar risken för dubbelarbete. Funktionen kan även med fördel, om möjligt, ta hänsyn samt förlita sig till det arbete och kontroller som tidigare genomförts inom organisationen.
4. Allokera resurser
Funktionen måste avsätta tid och resurser som behövs utifrån bolagets komplexitet för att genomföra planen. Resurser kan omfatta bland annat människor (exempelvis kunskap och färdigheter) och teknik (granskningsverktyg och tekniker). En internrevisionschef måste därmed uppskatta komplexiteten och de färdigheter inklusive tid och budget som kommer att behövas för att utföra dessa uppdrag. Inom ramen för detta arbete bör även kompetensutvecklingsinsatser inklusive medarbetarnas mål kopplas till bolagets mål och strategier. Eftersom organisationer blivit alltmer komplexa och föränderliga behövs det kontinuerlig expertiskunskap inom områden som till exempel IT-styrning, informationssäkerhet, outsourcing, hållbarhet och kapital- och likviditetshantering med mera. Det är ofta även värdefullt ur ett kompetensutvecklingsperspektiv att inkludera specialister inom olika områden för kunskapsutveckling.
5. Föreslå plan och be om feedback
En internrevisionschef bör utveckla en internrevisionsplan som är i linje med bolagets övergripande mål och strategi. Det är av vikt att planen tar hänsyn till strategiska, operationella samt regulatoriska förändringar. Planen bör även ta hänsyn till arbete utfört av andra funktioner exempelvis andra linjen, för att säkra rätt insats samt undvika dubbelarbete. När en preliminär riskbaserad plan har utvecklats, diskuteras vanligtvis planen med ledningen och andra linjen innan den formaliseras för presentation för revisionsutskott alternativt styrelsen. Här bör man diskutera samt säkerställa att:
- Identifierade risker är hanterade på ett adekvat sätt.
- Styrelsens riskaptit, tidigare kontroller, externa lagar och föreskrifter, handlingsplaner och nya produkter och tjänster har vägts in.
- Att det finns en tydlig koppling i planen till organisationens mål och väsentliga risker.
6. Slutföra och kommunicera planen
Efter inhämtad feedback och eventuell revidering av plan, presenteras ett utkast för godkännande till styrelsen. För att kommunicera till styrelsen skapar funktionen en presentation som sammanfattar uppdragen i en årsplan samt förklarar riskbedömningen bakom urvalen inklusive allokering av tid samt tidpunkt för respektive aktivitet. Den föreslagna planen för internrevision kan innehålla följande avsnitt:
- En sammanfattning (så kallad executive summary) på en sida som inkluderar de viktigaste riskerna samt planerade åtaganden.
- Sammanfattning av riskbedömningen vilket inkluderar en beskrivning av riskbedömningsprocessen och resultat, oftast med hjälp av en så kallad heatmap, som beskriver internrevisionens prioriteringar och motivering till planen.
- En detaljerad lista över föreslagna revisionsuppdrag och specifikation kring respektive aktivitet.
7. Bedöm risker kontinuerligt och uppdatera plan vid behov
Internrevisionens årsplan bör vara dynamisk vilket innebär att riskanalysen ska kontinuerligt utvärderas samt uppdateras baserat på ändringar i omgivning och verksamhet. Detta sätter stort krav på att internrevisionschefen har örat mot marken vad gäller pågående samt kommande förändringar som kan påverka organisationen. Om internrevisionsplanen ändras avsevärt måste internrevisionschefen motivera dessa förändringar samt meddela till ledningen och styrelsen och få deras godkännande.
FCG har lång erfarenhet av att stödja kunder med internrevisionsinsatser inom den finansiella sektorn, både som utlagd funktion alternativt ett löpande samarbete. Vi tar gärna ett möte för att diskutera hur FCG kan stödja er internrevisionsfunktion i att möta externa riktlinjer såväl som interna förväntningar utifrån era specifika förutsättningar och behov.