EXTENT?
Q: HOW WOULD YOU DEFINE THE COMPANY'S USE OF THE INTERNAL AUDIT FUNCTION? (FEEL FREE TO CHECK
MULTIPLE BOXES)
Ud fra interviewet med Mærsks revisionschef kan det konstateres, at ovenstående fordeling og ræsonnement stemmer godt overens med Mærsks holdning til emnet. Mærsks interne revision er inden for de seneste 3 år begyndt at yde advisory services og ligger i dag på en fordeling på 10-15 % advisory i forhold til den samlede tids- og ressourcemæssige kapacitet. Ifølge revisionschefen kan der gøres endnu mere ud af advisory services (Bilag 3, spørgsmål 17):
I think it could be slightly more and could go up to about 20-25 % of advisory services.
The maximum should be 25 %. If we go over the 25 %, then I would be concerned because of the threat to the independence as well as the fact that we should be giving
assurance, because that’s the kind of reliance that the Board can get towards the company being well run and managed.
Revisionschefen forklarer omkring ræsonnementet for deres beslutning om at yde mere advisory services (bilag 3, spørgsmål 14):
We have made a conscious choice to do more advisory, because that’s also from where we’re providing our kind of input, in advance. Sometimes the IA (internal audit) provides
assurance after the fact, which is not so helpful, because then the risk has already materialised, and the losses have incurred. So, we’re thinking: How can we help the
business reap more value from what we are doing.
Som CBOK-studiet hentyder, er fordelingen mellem assurance og advisory meget varierende mellem virksomheder, hvilket gør det umuligt at komme med et generelt bud på, hvad er en optimal fordeling mellem de to er. Dette giver også mening, da virksomhederne har forskellige behov, og det er forskelligt, hvad bestyrelsen ønsker at bruge den interne revision til. Der viser sig dog at være en enighed mellem CBOK-studiet og Mærsk om, at en hensigtsmæssig fordeling ligger på ca. 20-25 % advisory. Vi kender ikke baggrunden for, hvorfor fordelingen i CBOK-studiet oftest ligger i dette interval, men det kan tænkes, at de fleste virksomheder også har samme overvejelser omkring problematikken med den interne revisions uafhængighed og objektivitet, hvis andelen af advisory overstiger 25 %.
Sammenfatning af brug af intern revision
Ud fra ovenstående analyse kan det sammenfattes, at danske industrielle virksomheder benytter den interne revision til både finansiel- og operationel revision. Der er indikationer om, at der er et stigende fokus på den operationelle revision, da virksomheder har indset, at der er muligheder for den interne revision at tilføre mere værdi på dette område. Ekstern revision udfører finansiel revision i forvejen, hvorfor nytteværdien af, at intern revision også udfører denne form for revision, er begrænset. Derudover er der indikationer om, at danske
industrivirksomheder er ved at indse, at intern revisions værdiskabelse kan optimeres ved at udføre en større andel advisory services for at komme risici i forkøbet og dermed reducere risikoen for tab. Der findes ikke en optimal fordeling mellem assurance og advisory, som passer til enhver organisation, da det afhænger af den enkelte virksomheds omstændigheder, målsætninger og virksomhedens modenhed med hensyn til risikostyring og interne kontroller.
8.2.1.2 Kompetencer i den interne revision
Sammensætningen af et internt revisionsteam, der er sammensat til virksomhedens specifikke behov, er centralt for den interne revisions evne at tilføre mest mulig værdi. Virksomheder opererer i forskellige brancher og har derfor forskellige behov for at opnå en effektiv governance og risikostyring, hvilket dermed sætter krav til forskellige sammensætninger af det interne revisionsteam.
Et bestyrelsesmedlem udtaler sig således med hensyn til de kompetencer, der er brug for i en intern revision (Bilag 10, spørgsmål 8):
Strong financial background as well as a broad knowledge of processes and operations of the company. Therefore, internal recruitments are important.
Ovenstående udtalelse indikerer, at der er stor fokus på finansiel revision i den pågældende virksomhed, og derfor lægges der vægt på, at det interne revisionsteam inkluderer mennesker, der har en stærk finansiel baggrund. Derudover lægges der vægt på, at intern rekruttering er en vigtig del af sammensætningen af det interne revisionsteam, da disse typisk har arbejdet i virksomheden i flere år og dermed kan bidrage med en dybdegående viden omkring virksomhedens drift og processer.
Faglige færdigheder og dyb viden inden for et givent område er en vigtig brik i sammensætningen af en effektiv og succesfuld intern revisionsfunktion. Evnen til at sætte sig ind i og skabe et overblik over en helt ny situation, for siden at zoome ind til detaljerne, er ifølge Mærsks revisionschef, også vigtigt for funktionens effektivitet.
Mærsk følger en ansættelsesstrategi, hvor man har størst fokus på at hente mennesker, der fungerer mere som projektledere, fremfor mennesker med dyb specialistviden (Bilag 3, spørgsmål 7):
I would say that primarily when we hire people, we are also looking at them operating more like project managers, because the engagements are very different from one to another. So rather than hiring specialists, we hire people with that broad ability to move
from one engagement to another, based on the business needs.
Ovenstående udtalelse kan virke lidt modsigende til det, som intern revision ofte identificerer sig med og bruger som et argument for, hvordan den kan tilføre merværdi til en virksomhed – nemlig at have en dyb viden og indsigt i den pågældende virksomhed og den branche, den opererer i. Man kan derudover sætte spørgsmålstegn ved, om en person ikke er nødt have specialistviden for overhovedet at have evnen til at zoome ind til de vigtige detaljer inden for et specifikt område. Skal man følge en ansættelsesstrategi, hvor man vil have specialister på alle områder, kan det dog hurtigt blive tale om rigtig mange specialister, som hver især har en stor viden inden for sit område, men som ikke har tilstrækkelig evne til at arbejde effektivt inden for andre områder. Derfor kunne man hurtigt ende i en situation, hvor teamet ikke formår at samarbejde effektivt, hvilket går ud over deres evne til at skabe merværdi. Mærsk følger derfor en ansættelsesstrategi, hvor der lægges vægt på, at deres ansatte har kompetencen til at se ”det store billede”, først, for siden at sætte sig dybt ind i detaljerne i en revisionsopgave. Vurderes det, at teamet alligevel ikke har de nødvendige kompetencer til at løse en revisionsopgave, tilvejebringes en ekstern specialist til at deltage i opgavens udførelse.
Når det er sagt, består Mærsks interne revision, på i alt 27 ansatte, dog af mennesker fra mange forskellige baggrunde. Teamet består således af mennesker med en baggrund som revisorer med nogle års erfaring, ingeniører, teknologiuddannede, jurister og mennesker med relevant erhvervserfaring. Revisionschefen kommenterer yderligere, at der ikke lægges særlig meget vægt på, at de ansatte har en CIA-certificering eller andre specifikke certifikater inden for intern revision, men at det opfattes som et ”nice to have”.
Ovenfor er to forskellige holdninger præsenteret til, hvilke kompetencer et effektivt og succesfuldt revisionsteam skal besidde. Den ene lægger især stor vægt på finansielle kompetencer, mens den anden lægger vægt på en bred og dynamisk funktion, der har evnen til at omstille sig hurtigt til en ny revisionsopgave og skabe et overblik. Sammensætningen giver også mening, da den første virksomhed helst har stor fokus på finansiel revision, mens Mærsks scope er meget omfattende og dermed kræver en anden type interne revisorer.
Det er ikke muligt at komme med et entydigt svar på, hvilken sammensætning tilfører en virksomhed mest værdi, da værdiskabelsen i høj grad afhænger af den specifikke virksomheds behov.
8.2.2 Uden intern revision
I dette afsnit analyseres, hvordan virksomheder, der har valgt ikke at etablere en intern revision, organiserer sig for at sikre en forsvarlig organisation af kapitalselskabets virksomhed. Derudover analyseres, hvordan bestyrelsen opfylder sit ansvar om at udøve kontrol med direktionen.
Med hensyn til afhandlingens problemstilling er det især relevant at se på, hvordan bestyrelser i virksomheder uden intern revision imødekommer forpligtelsen om at sikre, at de kompetencemæssige ressourcer er til stede,
når det kommer til governance, risikostyring og interne kontroller, da dette, i høj grad, er noget som en intern revision kan bidrage med (Komitéen for God Selskabsledelse, 2017, s.11)
8.2.2.1 Organisatorisk struktur uden intern revision
I det følgende afsnit analyseres, hvordan virksomheder, der har fravalgt intern revision, vælger at organisere sig i stedet for at etablere en intern revision. Til analysen tages der udelukkende udgangspunkt i C25- virksomhedernes redegørelse for pkt. 3.4.5. i Anbefalinger for God Selskabsledelse, der omhandler revisionsudvalgets vurdering af behovet for en intern revision. Analysen vil derfor ikke give et komplet billede af virksomhedernes organisering med hensyn til interne kontroller og risikostyring, men det vurderes, at analysen kan give et billede af, hvilke funktioner etableres, der efter virksomhedernes opfattelse ellers ville være intern revisions arbejdsområde. Der henvises til bilag 4 for at se analysen af C25-virksomhederne. Et kort overblik over, hvordan virksomhederne har valgt at organisere sig og hvilke områder der fokuseres på, ses i figur 8.5 nedenfor:
C25 indeks: 24 virksomheder 24 virksomheder
- 4 Finansielle virksomheder
- 5 Virksomheder med intern revision
15 industrielle virksomheder uden intern revision
- 6 virksomheder, der ikke redegør for, hvordan de organiserer sig
9 virksomheder med redegørelse
2 bruger daglig ledelse, group control, project control
7 bruger central finansfunktion, financial compliance officer, ekstern revisor og/eller revisionsudvalg
3 ud af 7 har fokus på både finansiel og operationel controlling 4 ud af 7 har fokus på finansiel controlling
Figur 8.5. Egen tilvirkning baseret på undersøgelse af 3.4.5 redegørelse
Af de 24 virksomheder, der er omfattet af C25 indekset, er der 4 finansielle virksomheder, hvor etablering af intern revision er lovkrav. Af de resterende 20 virksomheder, har 15 valgt ikke at etablere en intern revision.
Ser man på revisionsudvalgenes redegørelser i henhold til pkt. 3.4.5 i Anbefalinger for God Selskabsledelse, specificerer 9 af disse virksomheder nærmere, hvilke funktioner i virksomheden overvåger det interne kontrolsystem og risikostyring. Af de 6 virksomheder, der ikke specificerer nærmere, hvilke funktioner varetager overvågningen, går størrelse og kompleksitet dog igen som hovedbegrundelser for fravalget i 2 af virksomhederne.
3 ud af 7 har fokus på både finansiel og operationel controlling
I 7 af de førnævnte 9 virksomheder, kan man få et indtryk af, at der næsten udelukkende er fokus på finansiel controlling, da den centrale finansfunktion, ”Financial Compliance Officer”, eksterne revisor eller revisionsudvalget, står for overvågningen sammen med bestyrelsen. Ser man nærmere på redegørelserne, kan man dog se, at den centrale finansfunktion hos Ambu, revisionsudvalget hos Pandora, og den centrale finansfunktion, samt Group Accounting funktionen hos Royal Unibrew, fokuserer på både den finansielle og operationelle del i virksomheden. På den baggrund kan man ikke konkludere, at der udelukkende er fokus på overvågning af de finansielle kontroller i alle de virksomheder, der har fravalgt intern revision, på trods af, at controllerkompetencerne ofte ligger i finansfunktionen. Virksomhedernes redegørelser kommer dog ikke nærmere ind på, i hvor høj grad der fokuseres på hvert af de to områder, og derfor er det ikke muligt at udlede, hvor stor andel af controller-ressourcerne bliver brugt på henholdsvis finansiel- og operationel controlling.
4 ud af 7 har fokus på finansiel controlling
Der er dog noget, der tyder på, at operationel controlling, med hensyn til pkt. 3.4.5. ikke er i fokus i flere af virksomhederne. Det må antages, at virksomheder som William Demant og Lundbeck har hovedsageligt fokus på den finansielle del, da den eksterne revisors vurdering af virksomhedernes interne kontrolsystem og risikostyring, sammen med den daglige ledelse og bestyrelse, vurderes at være tilstrækkelig. Derudover fremgår det tydeligt af Vestas redegørelse, at der udelukkende er fokus på finansiel controlling, og hos Chr.
Hansen udspecificeres fokusområderne ikke nærmere, men overvågningen bliver foretaget af finansfunktionen og ”Financial Compliance Officer”, hvilket kunne tyde på et fokus på finansiel controlling.
Ud af de 15 virksomheder, der har fravalgt at etablere en intern revision, nævner således kun 3 virksomheder eksplicit, at der er fokus på at overvåge både den finansielle og operationelle del. Det betyder ikke, at de resterende 12 virksomheder udelukkende fokuserer på den finansielle del, men tages revisionsudvalgets lovmæssige ansvarsområde i betragtning, jf. RL § 31, stk. 3, nr. 3, der kun sætter krav til finansiel revision, kan det på baggrund af analysen ikke udelukkes, at dette medfører et primært fokus på finansiel revision i virksomhederne.
8.2.2.2 Sikring af en forsvarlig organisation af selskabets virksomhed
I henhold til KSL § 115, er det bestyrelsens ansvar at sikre en forsvarlig organisation af kapitalselskabets virksomhed. Det er også bestyrelsens ansvar at fastlægge selskabets strategiske mål og sikre, at de nødvendige
forudsætninger er til stede, både med hensyn til finansielle og kompetencemæssige ressourcer (Komitéen for God Selskabsledelse, 2017, s. 11)
Vores spørgeundersøgelse til bestyrelsesmedlemmerne indikerer, at bestyrelsen, alt andet lige, påtager sig en større risiko i virksomheder uden intern revision, når det kommer til sikring af en forsvarlig organisation af selskabets virksomhed med hensyn til virksomhedens drift og kompetencemæssige ressourcer, end i virksomheder med intern revision.
Undersøgelsen viser, at revisionsudvalget i disse virksomheder står for hele overvågningen af den daglige ledelse og foretager alle vurderinger med hensyn til virksomhedens interne kontrolsystem og risikostyring.
Dette gøres primært igennem årlige vurderinger, der udarbejdes af revisionsudvalget. (bilag 11, spørgsmål 5-7)
En af respondenterne svarer, at de årlige vurderinger kan foretages i en let-version, hvor revisionsudvalget selv forestår det årlige review af organisationen, der derefter præsenteres for resten af bestyrelsen, eller en dyb-version, hvor eksterne parter inddrages i vurderingen. For at sikre, at virksomhedens interne kontrolsystem fungerer på en tilfredsstillende måde, diskuteres dette emne jævnligt i revisionsudvalget, hvor der også ses på den daglige ledelses rapportering til bestyrelsen. (bilag 11, spørgsmål 5)
En anden respondent lægger vægt på, at den årlige vurdering også skal indeholde en plan om succession. Dette kan tolkes som, at disse planer opstilles, sådan at de kompetencemæssige ressourcer holdes på et tilfredsstillende niveau, for at kunne sikre virksomhedens fortsatte ansvarlige drift i tilfælde af, at der sker en udskiftning i nøglepersonale. Med hensyn til sikring af det interne kontrolsystem, foretager revisionsudvalget interviews med finansielle og juridiske nøglepersoner, vurderer de problemstillinger, der opstår igennem virksomhedens whistleblower-ordning, samt har en direkte dialog med virksomhedens eksterne revisorer, uden tilstedeværelsen af den daglige ledelse.
Den tredje respondent kommer med en mere konkret besvarelse på, hvordan den daglige ledelse overvåges, hvor revisionsudvalget løbende følger det antal sager, der opstår, og hvordan den daglige ledelse håndterer disse sager. Her ses der specifikt på, om sagerne bliver håndteret på en måde, hvor der findes frem til kernen i den konkrete problemstilling, og om der tages foranstaltninger, der sikrer, at problemet ikke opstår igen.
Når der bliver spurgt ind til, om de responderende virksomheder gør brug af eksterne parter for at kunne sikre, at deres beslutningsgrundlag angående virksomhedens risikostyring er uafhængigt og upåvirket af den daglige
ledelse, svarer to ud af tre virksomheder, at det gør de. Ved at bruge eksterne parter kan bestyrelsen udjævne den informationskløft, der eksisterer mellem dem og den daglige ledelse og kan dermed reducere risikoen for, at den daglige ledelse kan udnytte sin dybere viden omkring virksomhedens drift til at påvirke bestyrelsens beslutninger. På den måde kan bestyrelsen reducere de risici, der kan opstå mellem agent og principal. De to virksomheder, der siger sig gøre brug af eksterne parter, uddyber dog ikke nærmere, i hvilken grad disse benyttes og inden for hvilke områder. (bilag 11, spørgsmål 6)
Den tredje respondent uddyber, at udover den rapportering, de modtager fra virksomhedens eksterne revisorer, benytter de ikke eksterne parter. Virksomheden har dog etableret en separat ”Risk Reporting Officer” for at løfte den daglige ledelses kvalitet og rapportering. Hvad der ligger i ordet ”separat”, er svært at vurdere om, men det antages, at denne dog er ansat af og rapporterer til den daglige ledelse. Virksomheden benytter sig således kun af eksterne og uafhængige parter vedrørende finansiel revision.
I henhold til RL § 31, stk. 3, nr. 3 skal revisionsudvalget overvåge, at virksomhedens interne kontrolsystem, interne revision og risikostyringssystemer, fungerer effektivt med hensyn til regnskabsaflæggelsen. Det vil med andre ord sige, at revisionsudvalgets ansvarsområde lovmæssigt afgrænses til de kontroller og risikostyringssystemer, der har med finansiel revision at gøre. Ses der på svarene fra respondent nr. 1, kan man se, at der foretages interviews med finansielle og juridiske nøglepersoner, samt at ekstern revisor inddrages i vurderingen. Dette giver en indikation om, at revisionsudvalget primært fokuserer på at overvåge de områder, der er pålagt dem at overvåge af revisorloven. I så fald har revisionsudvalget, og dermed bestyrelsen, et begrænset fokus på den operationelle revision, herunder compliance, risikostyringssystemer og interne kontroller, der ikke har med den finansielle revision at gøre.
Besvarelserne fra virksomhederne understøtter også den observerede indikation om, at intern revision primært opfattes som ekstern revisions ”højre hånd”, og derfor ikke vurderes at kunne tilføre merværdi til virksomheden, da den eksterne revision vurderes som tilstrækkelig på dette område.
Fælles for alle tre virksomheder er, som sagt, at bestyrelsen påtager sig en større risiko, end bestyrelser gør i virksomheder med intern revision. Grunden til, at bestyrelsen påtager sig en større risiko, er, at den i højere grad er nødt til at basere dens overvågning af virksomhedens interne kontrolsystem og risikostyring på den daglige ledelses rapportering, som objektivt set må vurderes at være mere partisk end rapportering fra en uafhængig kilde. Den daglige ledelse kan have tilbøjelighed til at fremhæve de gode aspekter og nedtone negative aspekter omkring virksomhedens interne kontroller og risikostyring, der ikke fungerer til deres fordel jf. Agent-Principal teorien. For eksempel er det i den daglige ledelses interesse at udvise selvsikkerhed og kontrol over organisationen, da deres stilling kunne bringes i fare, hvis den gav en indikation om, at der ikke
var styr på tingene. Da revisionsudvalget, der står for overvågningen i disse tre virksomheder, ikke indeholder medlemmer af virksomhedens ledende medarbejdere, og flere af dem ikke har deres daglige gang i virksomheden, har de ikke samme indsigt i virksomhedens drift, som den daglige ledelse har og er derfor mere udsat for dårlig rapportering. Her vil etablering af en intern revision kunne bidrage med objektiv og uafhængig rapportering på disse områder fra en enhed, der har sin daglige gang i virksomheden, og dermed har høj indsigt i den, hvilket ville reducere risikoen for bestyrelsen som principal.
Som et modsvar til ovenfor omtalte risiko, kan man sige, at der skal herske en tillid mellem bestyrelsen og den daglige ledelse, og at etablering af en intern revision kan påvirke denne tillid negativt. Derudover vurderer bestyrelser nøje den administrerende direktørs kompetencer til at drive virksomheden på en ansvarlig måde og ville ikke ansætte en administrerende direktør, som de ikke havde tillid til. Dette ville dog være en misforståelse af intern revisions formål, som ikke nødvendigvis er at agere som politi, men hellere at støtte virksomheden i at opnå de fastsatte målsætninger i samspil med både bestyrelse og direktion ved at bidrage med assurance, indsigt og objektivitet.
8.2.2.2.1 Board overconfidence
I forlængelse af dette blev der spurgt ind til, i hvilken grad forståelsen og prioriteringen af virksomhedens risikoområder stemmer overens mellem bestyrelsen og den daglige ledelse. Her svarer alle tre bestyrelser, at forståelsen og prioriteringen i høj grad stemmer overens mellem de to enheder (Bilag 11, spørgsmål 3). Dette giver også mening, hvis det antages, at bestyrelsen næsten udelukkende modtager rapportering på disse områder fra den daglige ledelse. På trods af, at bestyrelsen ikke modtager rapportering fra en uafhængig kilde på alle virksomhedens risikoområder, betyder det imidlertid ikke, at der er tale om dårlig rapportering. Man må gå ud fra, at den daglige ledelse i de fleste tilfælde har samme interesse i, at virksomhedens risikostyring og governance er af høj kvalitet, og at kompetente mennesker overvåger disse områder, da dårlig styring og rapportering vil udsætte virksomheden negativt og forhindre den i at opnå de bedste resultater.
Problemet kan dog være, at bestyrelser har en større tiltro til den daglige ledelses evne til at håndtere virksomhedens risikostyring, end den daglige ledelse selv har, som en undersøgelse, foretaget af IIA i USA og Canada, også viser (IIA OnRisk, 2020, s. 13). Undersøgelsen er baseret på både kvalitative interviews med 90 bestyrelser, daglige ledelser og revisionschefer, og en kvantitativ undersøgelse, hvor over 600 ledende personer inden for intern revision rangerer de top risici, som virksomheder står overfor i dag. På trods af, at undersøgelsen er afgrænset til USA og Canada, er resultaterne af den blevet accepteret i vidt omfang af andre lande (bilag 2, kommentar 3).