Arbejdsområderne for intern revision kan omfatte rigtig mange arbejdsopgaver, da det er de enkelte bestyrelser, som igennem en funktionsbeskrivelse tilpasser den interne revisions opgaver i forhold til deres behov. For industrielle virksomheder i Danmark er der ingen lovgivning, der sætter krav og begrænsninger til, hvilke arbejdsområder intern revision kan omfatte. Finanstilsynet har dog foretaget en opdeling af arbejdsområderne for intern revision, som kan deles op i 4 hovedområder (Johansen et al., 2017)
• Finansiel revision
• Operationel revision
• Risikostyring
• Compliance
IIA opdeler arbejdsområderne imidlertid kun i 3 områder, som er henholdsvis Corporate Governance, Risk Management og Control Processes. Til at forklare intern revisions arbejdsområder, bruges Finanstilsynets opdeling, fordi at den vurderes at komme med en mere håndgribelig forklaring af arbejdsområderne.
5.1 Finansiel revision
Finansiel revision defineres som revision af ekstern finansiel rapportering og de forretningsgange og kontroller, der knytter sig til denne (Finanstilsynet, 2006).
Når intern revision udfører finansiel revision, minder dette meget om de arbejdsopgaver, som en ekstern revisor ville udføre ved sin revision af virksomheden. Forskellen kan dog være, at bestyrelsen pålægger den interne revision at udføre en mere detaljeret revision end den eksterne revisor udfører. Intern revision kan, såfremt det ønskes, skabe værdi ved at reducere omkostningerne til den samlede finansielle revision, som ellers skal udføres af den eksterne revisor. Er det muligt for den eksterne revisor at basere sig på revision, der er udført af den interne revision, er det vigtigt, at der etableres et hensigtsmæssigt samarbejde, da den eksterne revisor skal følge ISA 610, der omhandler anvendelse af interne revisorers arbejde. Som led i kravet om at opnå en forståelse for virksomhedens interne kontroller, er den eksterne revisor derudover forpligtet til at vurdere, hvorvidt det er sandsynligt, at en virksomheds interne revision kan være relevant for revisionen, jf. ISA 315 (Johansen et al., 2017). Det er dog vigtigt at fremhæve, at den eksterne revisor stadigvæk står alene med ansvarsbyrden i sin revisionspåtegning og konklusion.
5.2 Operationel revision
Trenden de seneste år er gået hen imod operationel revision. I udlandet har man set, at definitionen af intern revision ofte relaterer sig til det interne kontrolsystem, og at arbejdsområdet også hovedsageligt omfatter operationel revision (Johansen et al., 2017). Denne trend ser man også i Danmark, og den 8. januar 2016 trådte en ny lovgivning i kraft for finansielle virksomheder, der sætter krav om, at der skal udføres operationel revision på alle væsentlige og risikofyldte områder i virksomheden, jf. Revisionsbekendtgørelsens § 21, stk.
1.
Operationel revision omfatter vurdering og gennemgang af de processer, virksomheden har opsat for at opnå sikkerhed for de af ledelsen fastsatte mål. I bred forstand forstås operationel revision som revision af hele virksomhedens interne kontrolsystem, undtagen de kontroller, der relaterer sig til den finansielle revision. Hvor det primære fokus for den interne revision ligger, inden for den operationelle revision, vil variere mellem virksomheder og industrier, da formålet er at opnå de målsætninger, som de forskellige ledelser har sat.
Det er vigtigt at pointere, at intern revisions rolle er at overvåge det interne kontrolsystem, som omfatter vurdering af hensigtsmæssigheden af de etablerede kontroller og testning af deres effektivitet. Det er således stadigvæk ledelsens ansvar at etablere og vedligeholde det interne kontrolsystem. Netop denne opsætning er vigtig, da intern revisions uafhængighed spiller en central rolle for at kunne agere som intern revision. Hvis den interne revision står med ansvaret af etablering og vedligeholdelse af kontrollerne, vil der ikke længere være tale om intern revision, men om en controller-funktion.
5.3 Risikostyring
Risikostyring opfattes som en del af den operationelle revision. Når det kommer til ERM (Enterprise Risk Management), spiller COSO (Committee of Sponsoring Organizations og the Treadway Commission) en stor rolle, og internationale revisionsstandarder som ISA 315 bygger på den begrebsramme, som de har udviklet.
Begrebsrammen blev senest opdateret i 2017, hvor definitionen af ERM ligeledes blev opdateret og lyder således (Anderson et al., 2017, s. 4-4):
The culture, capabilities, and practices, integrated with strategy-setting and its execution, that organizations rely on to manage risk in creating, preserving, and
realizing value.
Som ovenstående definition viser, er ERM et meget bredt begreb og omfatter alle niveauer i en virksomhed, hvor fokus er på forståelsen af risici og styring af disse med hensyn på at skabe, bevare og realisere værdi. For
yderligere uddybning af, hvordan COSO definerer ERM, henvises der til selve COSO frameworket (se www.coso.org).
Risikostyring er også omfattet af IPPF standard 2120, som IIA udsteder. I forlængelse af denne standard har IIA udarbejdet en model, der viser, hvilke opgaver intern revision uden videre kan påtage sig, hvilke, den bør holde sig fra, og hvilke opgaver kan påtages med passende sikkerhedsforanstaltninger. Modellen fremgår af nedenfor stående figur 5.1
De første 5 opgaver fra venstre omfatter assurance-opgaver og betegnes som kerneopgaver for intern revision.
Disse kan den interne revision påtage sig uden videre. De sidste 6 opgaver bør intern revision ikke påtage sig, da disse opgaver repræsenterer ledelsesansvar og kan kompromittere intern revisions uafhængighed og objektivitet. Den midterste sektion, repræsenterer advisory opgaver. Jo længere man bevæger sig mod højre, jo større sikkerhedsforanstaltninger skal der etableres for at kunne påtage sig opgaven. Mulige sikkerhedsforanstaltninger kunne i sådan et tilfælde være:
• At det står klart, at ledelsen bærer ansvaret for risikostyringen
• At den interne revisions rolle i risikostyringen fremgår klart af funktionsbeskrivelsen og er godkendt af revisionsudvalget
• At den interne revision ikke kan håndtere nogle risici på vegne af ledelsen
• Intern revision påtager sig ikke at evaluere dele af risikostyringssystemet, hvor intern revision har ansvar.
5.4 Compliance
Det er ikke krav for industrielle virksomheder at etablere en compliance funktion. Alligevel har flere store industrielle virksomheder etableret sådan en funktion.
Compliance risici kan være både eksterne og interne. Som eksempler på eksterne risici kan blandt andet nævnes kontraktuelle, regulatoriske, retslige og tilladelsesmæssige risici. Eksempler på interne risici kan relatere sig til etik, politikker, besvigelser og ulovlige handlinger. Overtrædelse af disse risici kan have store økonomiske og omdømmemæssige konsekvenser, hvilket taler for etablering af en compliance funktion.
Der findes også eksempler på virksomheder, der ikke har de nødvendige ressourcer til at etablere en compliance funktion, hvor den interne revision er bedt om at etablere og/eller varetage funktionen (IIA Positional Paper, 2013, s. 7). I så fald er det vigtigt at kommunikere til både ledelsen og bestyrelsen, at den interne revision i så fald ikke kan udføre revisionsopgaver på dette område på grund af selvrevisionsprincippet.
5.5 Definition af assurance og advisory
Ovenfor er intern revisions typiske arbejdsområder gennemgået. Her er begreberne ”Assurance” og
”Advisory” allerede nævnt nogle gange, og de vil blive brugt løbende igennem afhandlingen. Derfor er det vigtigt at forstå deres betydning. Mens beskrivelsen af arbejdsområderne gennemgår de typiske områder, intern revision arbejder inden for, relaterer ”Assurance” og ”Advisory” sig til tilgangen til opgaverne.
Intern revisions kerneopgave er at give objektiv og uafhængig assurance omkring virksomhedens governance, risikostyring og interne kontroller til bestyrelsen.
IPPF definerer assuranceydelser som (International Professional Practices Framework, 2013, s. 42):
An objective examination of evidence for the purpose of providing an independent assessment on governance, risk management, and control processes for the organization.
Examples may include financial, performance, compliance, system security, and due diligence engagements.
Assurance opgaverne giver den interne revision en eksistensberettigelse, da den, som den eneste funktion i en virksomhed, formår at give bestyrelsen objektiv og uafhængig assurance på governance, risikostyring og interne kontroller. Dette giver i sig selv en værdi for bestyrelsens arbejde i at kunne leve op til kravene efter KSL § 115, som omhandler bestyrelsens ansvarsområder. Men ved kun at yde assurance, formår den interne
revision ikke at udnytte sit fulde potentiale. Derfor har professionen, i de seneste år, haft en stigende interesse i at udføre advisory ydelser til sine stakeholdere. Denne type advisory skal ikke forveksles med konsulentarbejde i traditionel forstand. Nedenstående definition på advisory er også taget fra IPPF (International Professional Practices Framework, 2013, s. 42):
Advisory and related client service activities, the nature and scope of which are agreed with the client, are intended to add value and improve an organization’s governance, risk
management, and control processes without the internal auditor assuming management responsibility. Examples include counsel, advice, facilitation, and training.
Ovenstående definition viser, at den type af advisory opgaver, som en intern revision udfører, er med udgangspunkt i samme områder, som den giver assurance på. Den interne revision er derfor ikke en in-house konsulent, som kan bruges til enhver opgave. Advisory skal derfor ses som en opgave, hvor intern revision kan have en proaktiv tilgang og rådgive virksomheden om de samme områder, de giver assurance på, som er governance, risikostyring og interne kontroller.
Assurance er ud fra sin definition en bagudskuende opgave, som har til hensigt at give sikkerhed om processer og kontroller, som allerede er sat op og give anbefalinger til at optimere processer og kontroller.
Den interne revision kan optimere sin værdiskabelse ved at komme eventuelle risici i forkøbet. Dette kan gøres ved advisory ydelser.