Internrevisionen

I det tredje och yttersta lagret av skydd i riskorganisationen är internrevisionen placerad. Internrevision ska vara ett oberoende och objektivt verktyg för styrelsen med uppgift att granska den operativa verksamheten och vid behov föreslå förändringar som kan förbättra organisationen och ge mervärde till företaget. Genom att göra detta hjälper internrevisionen organisationen att nå sina mål, öka effektiviteten i riskhantering, styrning och kontroll samt ledningsprocesser. (Internrevisorerna 2009, Institutet för internrevision, 1985: 126-127) I Handelsbanken är internrevisionen den sista kontrollen i riskorganisationen och svarar direkt mot styrelsen. Enligt Jonerot ärHandelsbankens decentraliserade organisation avspeglad även på internrevisionen, då den är uppdelad på regional nivå under respektive regionbank som har sin egen internrevision. Varje regional internrevision är fortfarande kopplad till den centrala revisionsavdelningen där Jonerot arbetar

30 Enligt Jonerot görs en årsplan med riskanalys årligen för internrevisionen där ledningen för internrevisionen specificerar internrevisionens uppgifter för året och vad som ska granskas. Efter granskningen görs en bedömning av vilka typer av risker som finns utifrån de processer och produkter som innefattas av den undersökta verksamheten. Utifrån detta identifieras risker och en utvärdering görs som tar hänsyn till hur väl internrevisionen tycker att avdelningen har hanterat de undersökta riskerna.

Enligt Jonerot utför Handelsbankens internrevision, både den operativa och den finansiella revisionen. Jonerot tror att detta skiljer sig från Nordea som han tror är mer inriktade på en den operativa revisionen.

Även inom Nordea är den slutliga kontrollfunktionen inom riskorganisationen

internrevisionen, de svarar mot styrelsen och ska granska den operativa verksamheten samt riskkontrollsenheten och compliance avdelningen.

I Nordeas revisionsprocess ingår en årsplan som ska godkännas av styrelsen. Efter att årsplanen är fastställd och godkänd har man ett antal fokusområden. Utifrån fokusområdena skapas en projektportfölj. Varje projekt innebär en detaljerad revision av ett visst område. Inom detta område måste man i sin tur granska vad som är väsentligtför detta område, t.ex. vilka rutiner och styrdokument som är väsentliga och riskfyllda. Resultaten av dessa

revisioner rapporteras sedan tillbaka till styrelsen. I rapporten ingår även ett s.k. ”Assurance Statement” från internrevisionen till styrelsen. ”Assurance Statement” motsvarar

externrevisorns revisionsberättelse som ingår i årsredovisningen. I dokumentet ger internrevisionen uttryck för sin åsikt på risk- och internkontrollen inom organisationen. Vid granskningen av ett specifikt område följer internrevisorerna ett ramverk för hur granskningsprocessen ska gå till. Det första steget är planeringsfasen där man gör en riskbedömning av vilka moment som är kritiska för processen och därefter utförs tester av dessa för att säkerställa att de fungerar som det är tänkt. Slutligen sammanställs resultaten till en skriftlig rapport som ger rekommendationer till den granskade enheten om de brister eller möjligheter till förbättringar som har upptäckts.

Enligt Rosenqvist har Nordea ett utarbetat avtal mellan Nordeas extern- och internrevisorer om vad respektive parts ansvar är, vilket möjliggör att internrevisionen är mer inriktad på operationell revision.

31 Enligt Internrevisorerna (2009) och Institutet för internrevision (1983) ska internrevisionen vara det tredje och yttersta lagret i riskorganisationen. I både Handelsbankens och Nordea fungerar internrevisionen som den slutgiltiga kontrollfunktionen för organisationen. Enligt IIR och institutet för internrevision ska internrevisionen vara ett effektivt verktyg för styrelsen med uppgift att granska den operativa verksamheten och komma med förslag på förbättringar som ger mervärde till organisationen. Internrevisionen ger mervärde till organisationen genom att upprätta en årsrapport med riskanalys där internrevisionen specificerar vilka risker som ska prioriteras. Därefter utvärderar internrevisionen den granskade enheten med ett betyg på hur väl de tycker att enheten har hanterat de undersökta riskerna. Sedan ges förslag på

förbättringar till den granskade enheten som följs upp av internrevisionen för att kontrollera att enheten har tagit till sig förslagen. Vi tolkar detta som att internrevisionen i de båda bankerna ger mervärde till den operativa verksamheten, genom att ständigt komma med förslag på förbättringar som leder en effektivare riskhantering inom organisationen. Internrevisorerna (2009) tar upp att internrevisionen ska vara ett effektivt verktyg för styrelsen. Vi har hittat stöd för detta i våra intervjuer med respondenterna. Dels genom

internrevisionen ovan konstaterade mervärdeskapande för verksamheten och dels genom båda internrevisionschefernas uttalande om att styrelsen ofta följer internrevisionens

rekommendationer och uppskattar arbetet det gör.

Vi har observerat att uppbyggnaden och arbetsfördelningen i Handelsbanken och Nordea skiljer sig åt på vissa punkter. En av de tydligaste skillnaderna mellan bankerna är deras grundläggande arbetsfördelning mellan intern- och externrevisor. Nordea har genom avtal fördelat större delen av den finansiella revisionen till sina externrevisorer. Detta innebär att Nordeas internrevision primärt fokuserar på den operativa revisionen inom verksamheten. Handelsbankens internrevision har inget sådant avtal utan har ett bredare arbetsområde och dess externrevisorer utför sina åtaganden och tar in den finansiella information som de

behöver från internrevisionen för att sammanställa sin revisionsberättelse till årsrapporten. De fördelar som vi ser med Handelsbankens val är att de får en bredare bild av hela revisionen inom organisationen, således blir nackdelen att de inte har fokus på ett specifikt

revisionsområde. Då Nordea tar in externrevisorer för sin finansiella revision, tappar de förmodligen en del av den detaljkännedom om organisationen som en internrevisor hade tillfört.

32 En annan skillnad mellan bankerna är Handelsbankens regionala uppdelning av

internrevisionen där varje regionbank har sin egen internrevision. Inom Nordea sköts all internrevision centralt. Vi tror att den närhet till granskningsobjektet som Handelsbankens decentraliserade internrevision får, kan skapa ett större förtroende mellan granskare och granskningsobjekt. De regionala internrevisionsavdelningarna granskar sina egna

regionkontor och på så sätt tolkar vi det som att förtroendet till internrevisionen ökar och samarbetet mellan kontor och internrevision borde förbättras. Vi anser vidare att

Handelsbankens delvis decentraliserade internrevision är nödvändig då Handelsbanken är en decentraliserad organisation.

Nordea harett verktyg i sin internrevision som inte Handelsbanken har, det så kallade ”Assurance Statement”. Rapporten som ges från internrevisionen till styrelsen anser vi vara ett positivt sätt för internrevisionen att kommunicera sin åsikt på riskkontrollen inom organisationen till styrelsen. Det är även ett bra sätt för internrevisionen att visa vad som gjorts och en värdemätare för styrelsen i vad internrevisionen uppnått.

5.2 Internrevisionens oberoende

En grundläggande förutsättning för att internrevisionen ska fylla sitt syfte är att den ska vara ett oberoende granskande verktyg. Enligt Bergh (1981) är det av stor vikt att internrevisionen har en sådan placering i organisationen att deras oberoende gentemot styrelsen och de delar av organisationen som ska granskas kan säkerställas. Det som då är viktigt är att internrevisionen är placerad högt upp i organisationen och det ska finnas så få led som möjligt mellan

internrevisionen och den högsta företagsledningen. På Handelsbanken är Jonerot tveksam till begreppet oberoende och hur det används i Finansinspektionens allmänna råd, det handlar om definitionen av oberoende. Jonerot anser dock att internrevisionen i Handelsbanken har en sådan placering i organisationen och på grund av organisationens uppbyggnad kan

internrevisionen vara oberoende gentemot de avdelningar som granskas.

På Nordea anser Rosenqvist att internrevisionens placering i organisationen är så optimal den kan bli med utgångspunkten att interrevisionen är en del av organisationen. Det går inte att få en mer oberoende ställning i organisationen. Om istället externa internrevisorer hyrs in

försvinner enligt Rosenqvist detaljkunskapen om organisationen och det kan leda till en sämre granskning.

33 Både Jonerot och Rosenqvist anser dock att fullständigt oberoende för

internrevisionsavdelningen är svårt att uppnå då ledningen ändå är uppdragsgivare och löneutbetalare. Ingen kan vara helt oberoende i förhållande till detta, men internrevisionens placering i organisationen möjliggör ett oberoende till de avdelningar som granskas. Om vi ska tolka Nordea och Handelsbankens internrevisionsavdelningar oberoende utifrån Nationalencyklopedins definition är det tveksamt om oberoende finns gentemot banken och dess ledning. Oberoendet kan ifrågasättas då banledningen är löneutbetalare. Vi anser dock att interrevisionen i båda bankerna i praktiken får anses oberoende utifrån Finansinspektionens allmänna råd. Internrevisionens placering i organisationen ger enligt oss oberoende gentemot de avdelningar som ska granskas.

Vi vill dock poängtera att Handelsbankens val av regional uppdelning av internrevisionen kan hota oberoendet gentemot de kontor som man granskar. I och med att internrevisionen arbetar så nära sina kontor i regionen kan de leda till minskat oberoende på grund av det nära

samarbetet som uppstår. Vi tror att det formella och professionella bemötandet mellan granskare och granskningsobjekt kan minska med tiden vilket kan leda till en alltför nära relation för att kunna garantera en oberoende granskning.