Indsigt

Føling med de praktiske konsekvenser af revisionsbekendtgørelsens krav om operationel revision

Introduktion til kravet om operationel revision
Finanstilsynet har den 15. december 2014 udsendt en ny revisionsbekendtgørelse for finansielle virksomheder. Den mest markante ændring i forhold til den tidligere revisionsbekendtgørelse er et nyt krav om, at intern revision skal udføre operationel revision på alle væsentlige og risikofyldte områder. Det nye krav gælder fra 1. januar 2016.

Det er interessant at konstatere, at operationel revision i den nye revisionsbekendtgørelse (§ 22) er defineret som at omfatte virksomhedens administrative og regnskabsmæssige praksis, herunder forretningsgange og interne kontrolprocedurer. Ordlyden af intern revisions ansvarsområde er i høj grad sammenfaldende med den konklusion, som ekstern revision (jævnfør § 12) skal afgive vedrørende virksomhedens administrative og regnskabsmæssige praksis.

Sammenfaldet kan ses som en indikation på, at den del af kravene i §12, som udgør operationel revision, kan ses som en form for minimumskrav til de interne revisioner, der ikke påtegner årsregnskabet.

I den nye revisionsbekendtgørelses omtale af intern revisions opgaver og ansvar (bilag 4) fremgår en beskrivelse af indbefattede arbejdsopgaver,

I første led anføres, at forretningsgange og interne kontroller vedrørende årsregnskabet er omfattet, uanset om intern revision deltager i finansiel revision eller ej. Umiddelbart virker det mest oplagt, at forstå det som et krav til intern revision, hvis de ikke påtegner årsregnskabet.

Dernæst anføres ”en vurdering af pålideligheden af den finansielle- og operationelle rapportering, overholdelse af love og regler samt sikring af virksomhedens værdier”. Disse begreber lægger umiddelbart op til et lidt bredere fokus for intern revisions arbejdsområde sammenholdt med kravene i §12.

Målopfyldelsen er ikke nævnt, hverken i forhold til formuleringer i bekendtgørelsen under høring eller den tidligere omtalte definition af operationel revision i bilag 4, men udgør imidlertid et væsentligt element i de internationale definitioner af operationel revision. Det er uklart, om det betyder, at målopfyldelsen ikke er omfattet af minimumskravene, men det kunne se således ud.

Målopfyldelse kan fremhæves som et helt centralt aspekt i forhold til, hvad der adskiller intern revisions og ekstern revisions virke. Begrebet udgør et af de specifikke dele af operationel revision, som ikke indgår i de mange øvrige arbejdsområder, der overlapper den operationelle revision. Den tætte sammenhæng til andre beslægtede arbejdsområder er illustreret herunder.

Figur 1. Koblingen mellem operationel revision og udvalgte beslægtede arbejdsområder


Kravet om operationel revision skaber behov for, at arbejdsopgaverne hos de interne revisioner i danske finansielle virksomheder tages op til revurdering, herunder at virksomhederne overvejer den fremtidige organisering af intern revision samt behovet for kompetencer og ressourcer. Den nye revisionsbekendtgørelse tillader desuden i større omfang outsourcing af intern revisions områder, hvilket ligeledes bør inddrages i den fremtidige planlægning.

Vi har talt med Morten Bendtsen, intern revisionschef i Finansiel Stabilitet om den praktiske betydning af det nye krav om operationel revision. Morten har siden begyndelsen af 2012 været intern revisionschef hos Finansiel Stabilitet. Før sin nuværende stilling var Morten Bendtsen områdechef i Danske Banks interne revision og har tidligere arbejdet som ekstern revisor hos PwC. Morten har således stor erfaring med operationel revision.

Morten blev ansat til at opbygge en koncernrevision med primær fokus på operationel og forvaltningsrevision. Det var en helt ny tilgang til revisionsopgaven end man var vant til i de overtagne banker fx Roskilde Bank og Amagerbankens interne revision.

I 2012 bestod Finansiel Stabilitet af et finansielt holdingselskab, syv datterselskaber heraf fire banker, 650 ansatte og en balance på 54 mia. kr. og dermed blandt de ti største banker i Danmark.

Bestyrelsens mål for interne revision var, at gennemføre revision af alle datterbanker og væsentlige processer indenfor en 12 måneders periode og bidrage aktivt til at udvikle en fælles risiko- og kontrol kultur på tværs af selskaberne.

Gennem hele Mortens ansættelsesperiode har Finansiel Stabilitet undergået kraftige forandringer alle forretningsprocesser og kunder er centraliseret, kundeporteføljer er solgt og antal medarbejdere er reduceret i takt med afviklingen er lykkedes. Alt er sket inden for meget kort tid og har stillet store krav til intern revisions årvågenhed og omstillingsevne.


De afgørende forskelle i forhold til finansiel revision
Forskellen mellem finansiel og operationel revision kan overordnet beskrives som, at den finansielle revision vedrører revision af et regnskab, mens den operationelle revision omhandler revision af processer og interne kontrolsystemer.

Ifølge Morten Bendtsen er den mest afgørende forskel ved at udføre operationel revision i forhold til finansiel revision, at der ikke er en foruddefineret ramme for indholdet af revisionen. Der er behov for, at man selv som intern revision fastlægger en referenceramme som kan definere de arbejdsområder og undersøgelser, som er relevante. Det er essentielt, at disse områder er i tråd med den af ledelsen fastlagte strategi for virksomheden.

I Finansiel Stabilitet har referencerammen for den operationelle revision omfattet følgende:

  • Målopfyldelsen
    Projekter
    Forretningsprocesser
    Finans- økonomi- og budgetopfølgning
  • Risikohændelser (tab) 
  • Intern governance
    Organisering og delegering af ansvar
    Risikostyring herunder måling og rapportering
    Intern kontrol 
  • Regeloverholdelse (Compliance)

Målopfyldelsen i Finansiel Stabilitet er relateret til en hurtig, økonomisk forsvarlig og redelig afvikling af kundeforhold og øvrige aktiviteter. Dette sker via individuelle salgsprojekter og afvikling af det enkelte kundeforhold via forretningsprocesserne.

For både projekter og forretningsprocesser har ledelsen via sin mission, vision, strategi og budget defineret en række kvalitetsmål, som anvendes til at afgøre om projekter og processer udføres i overensstemmelse med de af ledelsen fastsatte mål.

Revisionen af Finans- økonomi- og budgetopfølgningen sikrer, at man som led i sin styring har opbygget systemer som sikrer, at der styres efter og følges op målopfyldelsen og ledelsen modtaget pålidelig og rettidig information om afvigelser mellem budgetterede og realiserede resultater. 

Herved bliver revisionshandlinger og rapportering aktuelle og relevante for ledelsen, hvorved resultaterne fra den operationelle revision kan bruges som et værktøj i styringen af organisationen.

Bestyrelsen i Finansiel Stabilitet har som del af den interne governance fastlagt en politik for intern kontrol som har ”de tre forsvarslinjer”, som referenceramme.

Figur 2. De tre forsvarslinjer


Referencerammen har bl.a. været et effektivt værktøj til, at tydeliggøre ansvarsfordelingen for risikovurderinger og intern kontrol og har været anvendt som del af revisionsstrategien hvor interne revision i størst muligt omfang inddraget det udførte arbejde i anden forsvarslinje som del af afdækningen af revisionsmålene.

I forhold til den revisionsmæssige begrebsramme skal den finansielle revision udføres i henhold til kravene i de internationale standarder om revision og yderligere krav ifølge dansk revisorlovgivning, imens kravet til operationel revision er efterlevelse af god revisorskik. Der er således revisionsmæssigt en mindre konkret begrebsramme for den operationelle revision sammenholdt med den finansielle revision.

Afrapportering af den finansielle revision foregår almindeligvis gennem protokollater, management letters og mundtlige kommentarer. Morten Bendtsen har indført en struktur for sin afrapportering, som er opdelt i henholdsvis:

Rapporteringstype

 

Årsprotokollat

Årligt

Protokollat

Løbende

Revisionsrapporter (Blivende processer)

Løbende

Revisionsrapporter (Projekter)*

Løbende

Management Letters (Mindre opgaver)*

Løbende

Rapportering (påbudsliste) til direktionen over revisionsanbefalinger samt udvikling i åbne og lukkede revisionsbemærkninger

Kvartalsvis

Rapportering til direktionen over revisionsanbefalinger, hvor der er taget risikoaccept

Halvårligt

*)Anvendes til straksrapportering og indeholder ikke observationer og anbefalinger, som indgår i en formel opfølgning. Observationer skal som udgangspunkt løses straks i relation til det konkrete projekt eller den specifikke opgave.

Alle rapporteringstyper vil indeholde en konklusion på de interne kontroller:

 

Protokollering

Meget tilfredsstillende

Revisionsområdet og rating oplyses

Tilfredsstillende

Revisionsområdet og rating oplyses

Acceptabel

Revisionsområdet og rating oplyses

Mindre tilfredsstillende

Opsummeret afsnit udarbejdes. Opfølgning foretages i årsprotokol

Ikke tilfredsstillende

Opsummeret afsnit udarbejdes. Opfølgning foretages i årsprotokol

 

Samarbejdet med den eksterne revision
Trods forskelle i tilgangen ved udførelse af henholdsvis operationel og finansiel revision er der ingen tvivl om, at der er en række områder, som vil være genstand for både den operationelle og finansielle revision.

Med henblik på samlet set at udføre en effektiv revision er det centralt, at den interne og eksterne revision koordinerer deres arbejdshandlinger inden for de relevante områder. Morten Bendtsen nævner, at han i forbindelse med udførelse af en operationel revisionsopgave på et givent område, der ligeledes er genstand for finansiel revision, typisk vil udføre nogle supplerende handlinger for også at afdække revisionsmål til den finansielle revision. Disse handlinger er afstemt med den eksterne revision.

For at få optimal udnyttelse af samspillet mellem den operationelle og finansielle revision, er det derfor essentielt, at den interne og eksterne revision sammenholder og tilpasser deres planlagte revisionsopgaver. Kommunikation og koordinering er nøgleord.


Kompetencer
Fordi man ved operationel revision ikke alene skal medvirke til at designe revisionshandlinger, men også selve revisionsområderne, vurderer Morten Bendtsen, at det er vigtigt at have nogle erfarne revisorer med ombord. Ifølge Morten Bendtsen er det ikke væsentligt, om de udførende medarbejdere på operationelle revisionsopgaver har erfaring fra intern eller ekstern revision. Derimod er det helt centralt, at medarbejderne metodisk er dygtige, har forståelse af risici og relationen til forretningsmodel. Analyser og databehandling har været en vigtig del af revisionsopgaven og rapportering.

Særligt kan revision af målopfyldelsen være en udfordring. Omstillingsparathed er derfor et nøgleord , da den operationelle revision hele tiden skal udvikles for at følge virksomhedens strategi og fokusområder for at være værdiskabende


Ressourcer og outsourcing
Det er Deloittes opfattelse, at revisionsbekendtgørelsens nye bestemmelse om operationel revision udvider kravene til intern revisions arbejde, hvilket fremadrettet kan påvirke intern revisions ressourceforbrug samt arbejdsdelingen mellem intern revision og ekstern revision. Dette vurderes især at være relevant i forhold til interne revisioner med få ansatte.

Af den nye revisionsbekendtgørelse fremgår det, at ansvaret for den operationelle ikke kan outsources. Alle opgaver skal således udføres under tilsyn og med reference til Revisionschefen. Derimod kan dele af de arbejdsopgaver, der er forbundet hermed. Den interne revision må benytte eksperter eller outsource den operationelle revision, men det kræver dels vurdering af ekspertens kompetencer og objektivitet, dels forståelse af ekspertens område. Desuden kræves det, at revisionen er udført i overensstemmelse med god revisorskik.


Opsummering
Sammenfattende kan den nye revisionsbekendtgørelses krav om operationel revision beskrives som en nyskabelse, der stiller krav om en revurdering af den interne revisions arbejdsområder og organisering.

Nogle af de danske interne revisionsafdelinger har erfaringer fra tidligere med operationel revision, om end der er forholdsvis få, der har samme erfaringsgrundlag som Morten Bendtsens interne revision hos Finansiel Stabilitet.

Det er Morten Bendtsens anbefaling, at de danske finansielle virksomheder hurtigst muligt begynder at overveje de behov, som det nye krav om operationel revision skaber i forhold til deres organisation, så den interne revision kan påbegynde overvejelserne om, hvordan man kan leve op til kravene fra januar 2016.

Fandt du dette nyttigt?