Områden

Nedan kommer vi redogöra för tio områden vilka IRF är verksamma inom samt vilka aktiviteter som utförs inom respektive områden. Generellt kan det

anses finnas några aktiviteter vilka kan ses som IRFs kärnområden och kärnaktiviteter, det vill säga de aktiviteter som är mer förekommande än andra inom IRF. Aktiviteter som ses som kärnaktiviteter är att ge försäkran och utvärdera riskhanteringsprocesserna och försäkra om att ledningen har gjort korrekta bedömningar över riskerna (IIA 2004a, b se Zwaan et al 2011). Traditionella aktiviteter är också finansiell revision, testa organisationens interna kontroll och operationell revision (Sarens et al 2011). De utvidgade aktiviteterna, och de lite mer ovanliga aktiviteterna är att implementera och ansvara för riskhanteringssystemet, göra bedömningar angående organisationens IT-system, granska organisationens säkerhetssystem, granska ledningens styrning av organisationen samt aktiviteter som görs inom efterlevnadsområdet (IIA 2004a, b se Zwaan et al 2011; Sarens et al 2011). Även etikrevision är idag ett ovanligt område vilka enbart ett fåtal (46 %) IRF anser är en del av IRFs mandat och är verksamma inom detta område (Jackson 2006). Vi anser att de mer traditionella aktiviteterna ingår i IRFs

Figur 5. Bilden illustrerar de tio områden vi anser att IRF är verksamma inom.

formella mandat medan de utvidgade aktiviteterna är en del av IRFs föränderliga mandat, och är således de som gör att mandatet kan variera mellan olika organisationer och över tid.

Riskhantering

Riskhantering handlar om att identifiera, bedöma och analysera risker i en organisation och hur dessa risker hanteras och kontrolleras (IIA 2010). IRF har flera olika roller i organisationens riskhantering där de bland annat ska granska riskhanteringsprogram och ledningens bedömning av organisationens risker (Swanson 2010; Pickett 2011). Inom aktiviteten granskning av riskhanteringen ingår även att bedöma organisationens riskhantering (Soh & Martinov-Bennie 2011; Hirth Jr 2008; Moraru & Dumitru 2012; Norman et al 2010), att identifiera och utvärdera effektiviteten i organisationens riskhanteringssystem (IPPF 2012; Moraru & Dumitru 2012) samt att granska att organisationens krisplaner fungerar på en operativ nivå (Swanson 2010). Granskningen syftar således till att undersöka hur organisationens riskhanteringssystem fungerar. IRF ska även ge försäkran och säkerställa till olika intressenter att riskhanteringen fungerar tillfredställande. (Ernst & Young 2007; Soh & Martinov-Bennie 2011; IIA 2005, 2011; Moraru & Dumitru 2012). Inom organisationens riskhantering ska IRF även bistå med råd till de aktörer som utformar riskhantering för att förbättra effektiviteten i riskhanteringssystemet samt även ge rekommendationer över hur ledningen ska utforma en lämplig riskhantering i organisationen (IIA 2013a; Soh & Martinov-Bennie 2011; Tarantino 2008). Inom denna aktivitet räknas även det stöd IRF ger till den part vilken utformar riskhanteringen samt även de råd IRF ger till ledningen angående hur de ska hantera den riskexponering organisationen utsätter sig för (Pickett 2011). I förekommande fall har IRF även deltagit i utformandet och implementerandet av riskhanteringssystemen (Pickett 2011; IIA 2011). I denna typ av aktivitet involveras IRFs roll som identifierare och bedömare av organisationens risker samt deras roll som en deltagande part i utformandet av organisationens riskhanteringsprogram (IIA 2005; IIA 2011; Moraru & Dumitru 2012; Tarantino 2008). Dock finns det författare som menar på att IRF normalt sett inte ansvarar för riskidentifieringen då detta ligger utanför deras mandat (Soh & Martinov-Bennie 2011). Den sista aktivitet som IRF gör inom riskhanteringsområdet är att informera och utbilda olika parter inom detta område genom att öka deras medvetenhet om risker och hur de kontrolleras (Pickett 2011). IRF kan genom att utbilda ledningen öka deras förståelse för vikten av ett väl fungerade riskhanteringssystem (Eelco et al 2006; IIA 2011; Tarantino 2008). Genom att hålla

i kurser och seminarier kan IRF bidra till att skapa teorietisk och praktisk kunskap inom organisationens riskhantering (Moraru & Dumitru 2012).

Intern kontroll

Intern kontroll är de åtgärder ledningen, styrelsen och andra parter utför inom organisationen för att hantera risker och öka sannolikheten för att organisationen kommer uppnå sina mål (Pickett 2011). IRF ska granska och testa de interna kontrollerna (Pickett 2011;Soh & Martinov-Bennie 2011; Moraru & Dumitru 2012; Ernst & Young 2007) däribland de kontroller som finns över intäkter, förvaltningen av kontrakt och operationella utgifter (Pickett 2011). Inom denna aktivitet tillhör även IRFs bedömning av organisationens system över intern kontroll (Soh & Martinov-Bennie 2011; Moraru & Dumitru 2012) samt utvärdera om ledningen utformat tillräckligt omfattande interna kontroller och om dessa är tillräckligt effektiva och produktiva (Lin et al 2011; Moraru & Dumitru 2012). IRF ska även försäkra ledningen, styrelsen och revisionskommittén att organisationens kontrollprocesser är tillräckliga (Swanson 2010; Pickett 2011; Soh & Martinov-Bennie 2011; Moraru & Dumitru 2012) samt verifiera att kontrollerna fungerar som de ska (Tarantino 2008). IRF ska också ge rekommendationer för att på så sätt stärka och förbättra organisationens kontrollsystem (Pickett 2011) samt vara en part som ledningen kan vända sig till för att få råd över hur de ska fullgöra sitt ansvar angående intern kontroll (Lin et al 2011; Moraru & Dumitru 2012). Utöver rådgivningen kan IRF också vara en part som förbättrar de kontroller som finns i organisationen (IIA 2013a; Soh & Martinov-Bennie 2011) och blir på så vis en part som deltar i själva utformandet och införandet av organisationens interna kontroller. IRF ska också hjälpa ledningen att utforma och implementera ett ramverk för intern kontroll (Tarantino 2008). Dock anser IIA (2005) att det är utanför IRFs mandat att delta i utformandet av organisationens interna kontrollsystem då det innebär komplikationer för IRFs oberoende. Att utforma de interna kontrollerna är enligt IIA (2005) och Lin et al (2011) något som ledningen är ytterst ansvariga för och IRF gör endast en granskning av deras arbete. Ett annat sätt för IRF att förbättra en organisation är att utbilda dess personal genom att ge ut vägledning till dem angående den interna kontrollen (Pickett 2011) samt hålla seminarier och kurser om intern kontroll (Moraru & Dumitru 2012). IRF ska även informera brister i den interna kontrollen genom att rapportera detta till berörd part i organisationen (Norman et al 2011).

Bedrägeri

Bedrägeri är en olaglig handling vilket innefattar svek, döljande av vissa förfaranden och överträdelse av förtroende (IIA 2010). Bedrägeri kan begås av olika parter i organisationen och leder till personlig vinning för bedragaren och till förlust för den vilseledde (IIA 2010). IRF kan bidra till att förhindra förekomsten och mildra konsekvenserna av bedrägerier genom sina olika aktiviteter (Soh & Martinov-Bennie 2011; Norman et al 2010). IRF granskar utformandet och effektiviteten av organisationens bedrägeribekämpningsprogram (Norman et al 2010) samt granskar organisationen för att upptäcka, avslöja och utreda bedrägerier (IIA 2005; Pickett 2011; Tarantino 2008; Norman et al 2010). Dock förväntas det inte att IRF har samma kunskaper eller förmågor inom bedrägeriområdet som aktörer vars primära ansvar är att avslöja och utreda bedrägerier (Norman et al 2010). Granskning av bedrägeri involverar även att IRF gör bedömningar över organisationens bedrägeririsker och identifierar varningssignaler för bedrägeri då IRF är optimalt positionerade i organisationen för att upptäcka bedrägerier (Norman et al 2010). IRF ska försäkra intressenter om att bedrägeribekämpningsprogrammet i organisationen fungerar effektivt (Swanson 2010), att ledningen är medveten om de bedrägeririsker som finns (IIA 2005), att bedömningar angående bedrägeririsker görs regelbundet (Tarantino 2008) samt att kontroller finns för att förhindra bedrägeri (Norman et al 2010). IRF ska också hjälpa organisationen genom att ge råd om hur de ska bedöma sina bedrägeririsker (Norman et al 2010). IRF deltar även i organisationens utformande och implementerande av bedrägeribekämpningsprogram genom att de är en aktiv part dit andra inom organisationen kan rapportera misstankar om bedrägeri och slöseri (Pickett 2011) samt genom att bistå ledningen i utvecklandet av program och strategier (Tarantino 2008; Norman et al 2010). IRF utbildar även personalen i deras medvetenhet och ansvar i bedrägeribekämpningen (Pickett 2011; Tarantino 2008) och sammankallar till möten där idéer diskuteras om hur bedrägeririsker ska hanteras (IIA 2005; Tarantino 2008).

Rutiner och Processer

förklarar att den operativa granskningen är en omfattande aktivitet (Ernst & Young 2007; Pickett 2011; Abbott et al 2010; Anderson et al 2012; Soh & Martinov-Bennie 2011; Lin et al 2011; Oxner & Oxner 2006; Sarens et al 2011; Goodwin 2004). Att granska den operativa verksamheten involverar effektivitetsrevision, identifiering av områden där kostnadsbesparingar kan göras och analysering av affärsrutiner (Pickett 2011; Ernst & Young 2007). Flera författare förklarar att det är inom området rutiner och processer har IRF fått en utökad roll under de senaste åren och det är främst här de bidrar med värdeskapande aktiviteter inom organisationen (Mihai & Marcu 2008). Vi har dock inte funnit några direkta uttalanden om att IRF ska ägna sig åt en försäkrande aktiviteter vad gäller organisationens rutiner och processer. Det kan antas att författarna ser försäkran som en underaktivitet till granskning, eftersom en granskning utan anmärkningar samtidigt blir en försäkran för intressenter om att rutinerna och processerna fungerar som det är tänkt. IRF ska ständigt arbeta för att förbättra en organisations effektivitet genom att ge råd om hur processer ska hanteras och hur de kan förbättras (Swanson 2010). De ger även rekommendationer om hur en organisation kan utforma processer med hög effektivitet och produktivitet samt förbättra nuvarande rutiner och processer (Norman et al 2011; Tarantino 2008). Utöver att IRF ska ge råd om hur rutinerna och processerna kan förbättras kan de själva delta i utformandet och implementeringen av rutiner och processer för att förbättra kvalitén på dessa och den information som flödar i den operativa verksamheten (Pickett 2011). Revisionskommittén förlitar sig även på att IRF informerar dem om hur den operationella verksamheten bedrivs (Oxner & Oxner 2006).

Finansiella rapporter och finansiering

Inom detta område involverar vi organisationens finansiella rapportering samt lån och krediter, det vill säga företagets finansiering. IRF ska granska de finansiella systemen, redovisningen och den finansiella rapporteringen samt hur dessa rapporter tas fram (Pickett 2011; Abbott et al 2010; Anderson et al 2012; Soh & Martinov-Bennie 2011; Goodwin 2004; Sarens et al 2011). De ska även granska inbetalningar, budgetar, inköp och redovisningsrutiner (Pickett 2011; Goodwin 2004). Genom finansiell revision bidrar IRF med att avskräcka handlande som leder till oegentligheter i de finansiella rapporterna (Lin et al 2011). Generellt sett hävdas dock att IRF inte ägnar sig mycket åt finansiell revision, utan detta är mer externrevisorns ansvar (Soh & Martinov-Bennie 2011). IRF ska försäkra

intressenter om de interna redovisningskontrollerna, precisionen, trovärdigheten och fullständigheten i de finansiella posterna. De ska även försäkra om att de finansiella rapporterna är uppformade på ett sätt som är användbart i ledningens kontroll- och beslutsprocesser samt försäkra att de finansiella rapporterna når ut till intressenter (Lin et al 2011). Genom att ge råd om finansiell rapportering kan IRF hjälpa organisationen att uppnå deras mål inom det finansiella området samt kan de även ge förslag till förbättringar inom det finansiella området (Norman et al 2011). Vanligtvis är inte IRF direkt delaktiga i utformandet av den finansiella rapporteringen, men de kan ha uppgifter där de ska godkänna lån och etablera säkerheter för lånen (Moraru & Dumitru 2012). Revisionskommittén förlitar sig på att IRF ska informera dem om organsationens finansiella ställning (Oxner & Oxner 2006) samt utbilda och öka kunskapen om organisationens ekonomiska förhållanden (Moraru & Dumitru 2012).

Tillgångar

Tillgångar består av organisationens anläggningstillgångar, immateriella tillgångar och av deras omsättningstillgångar. Således involverar tillgångar både maskiner, fastigheter, fordringar och banktillgodohavanden. IRF ska granska organisationens användning av de resurser som de har tillgång till för att undersöka så att de används på ett ekonomiskt och effektivt sätt (IIA 2013a; Ernst & Young 2007). IRF ska även verifiera tillgångars existens och granska tillgångarnas säkerhet (Pickett 2011). De ska tillförsäkra att organisationens tillgångar skyddas och själva vara delaktiga i att skydda tillgångarna (IIA 2013a; Ernst & Young 2007; Pickett 2011; IPPF 2012).

Organisationens styrning

Med organisationens styrning menas hur de ledande organen i organisationen arbetar med att styra organisationen mot dess uppsatta mål. IRF granskar och kontrollerar så att organisationen styrs mot dess fastställda mål och syften genom att granska så att den övergripande styrningen och organisationens incitamentprogram leder till att motivera parter på ett sätt som ligger i linje med organisationens mål (IIA 2013a; Ernst & Young 2007; Swanson 2010). IRF ska granska organisationens bolagsstyrningsrutiner och ledningens

arbete med att utforma och utveckla nya eller befintliga rutiner för att på så sätt identifiera förbättringsmöjligheter (Pickett 2011). IRF ska utföra förvaltningsrevision och utvärdera organisationens effektivitet och produktivitet (Pickett 2011; Moraru & Dumitru 2012; Sarens et al 2011; Tarantino 2008). IRF ska även försäkra ledningen och styrelsen om att organisationens styrning är tillräcklig och att organisationens styrande enheter på ett bra sätt kan hantera organisationens risker (IIA 2012, 2013a; Swanson 2010; Moraru & Dumitru 2012). Genom att föreslå förbättringsåtgärder där IRF identifierat brister vad gäller organisationens styrning bidrar IRF genom sin rådgivande aktivitet till att organisationen lättare kan uppnå sina mål (IIA 2013a; Lin et al 2011; Tarantino 2008). IRF ska däremot inte hjälpa organisationens styrande organ utforma eller implementera strategier eller säga åt dem hur de ska utföra sina jobb (Soh & Martinov-Bennie 2011). Slutligen ska IRF kommunicera och informera oberoende och objektiva omdömen angående organisationens styrning till de ledande organen så att de kan besluta om vilka områden som de finner väsentliga att förbättra för att på så sätt kunna styra bolaget bättre (IIA 2012, 2013a; Anderson et al 2012; Soh & Martinov-Bennie 2011)

Efterlevnad

Organisationer tvingas idag i allt högre grad anpassa sig efter de legala krav som råder på den marknad där organisationen är verksam. Med efterlevnad menar vi inte bara att organisationer ska hålla sig inom allmänna lagar, standarder och förordningar utan även de regler som organisationen utformat själv i form av normer och policies. Ett område som ökat i betydelse för IRF under de senaste årtiondena är just regelefterlevnad och IRF utför ett flertal aktiviteter inom detta område (Anderson et al 2012; Soh & Martinov-Bennie 2011; Abbott et al 2010; Sarens et al 2011). IRF ska granska så att organisationens följer lagar, regler, policies, normer, riktlinjer och bestämmelser (IIA 2013a; Ernst & Young 2007; Pickett 2011; Anderson et al 2012) IRF ska även granska organisationens regelefterlevnadsrutiner (Eelco et al 2006) för att säkerställa att organisationen följer upp sin regelefterlevnad (Ernst & Young 2007). IRF ska agera som en agent för revisionskommittén genom att på ett oberoende och objektivt sätt försäkra kommittén att organisationen efterlever lagar och regler (Soh & Martinov-Bennie 2011). IRF ska identifiera områden inom bolaget där det finns risk för att organisationen inte kan följa uppställda regler och genom rådgivning föreslå förbättringar (Pickett 2011; Lin et al 2011). Råden ska hjälpa organisationen med att uppnå sina mål om

att följa etablerade lagar och regler (Norman et al 2011). Vi har inte funnit någon litteratur som berör IRF roll att utforma och implementera regelefterlevnadsrutiner eller om IRF bistår med att utbilda aktörer i organisationen inom detta område.

Datasystem

Inom området datasystem involverar vi organisationens IT-system, redovisningssystem, informationssystem samt den information och den dokumentation som dessa system innehåller. För att fatta bra beslut krävs det information som är pålitlig och fullständig. Därför kommer IRF granska tillförlitligheten, kvaliteten och integriteten i den information som flödar inom organisationen (IIA 2013a; Ernst & Young 2007; Swanson 2010) samt granska informations- administrations- redovisnings- och datasystemen (Pickett 2011; Lin et al 2011; Goodwin 2004) och utvärdera vilka risker som finns i samband med dessa system (Moraru & Dumitru 2012; Oxner & Oxner 2006). IRF har även till uppgift att granska organisationens dokumenthantering (Swanson 2010) och revidera IT-funktionen, IT-säkerheten och effektiviteten i organisationens intranet (Swanson 2010; Anderson et al 2012). Ytterligare en viktig uppgift som IRF har är att försäkra intressenter om att organisationens informationssystem är säkra och tillförlitliga. Detta för att de ska kunna lita på att väsentlig företagsinformation inte hamnar hos fel part (Swanson 2010). IRFs roll involverar även att identifiera förbättringar och risker i systemen som de sedan kan rapportera vidare i form av råd och rekommendationer till de som utvecklar dessa (Swanson 2010), men de kan också själva ha en deltagande roll i utvecklandet och implementeringen av systemen (Pickett 2011). Vi har dock inte funnit några referenser som hävdar att IRF bidrar med utbildning eller informering till andra parter om hur systemen fungerar utan detta är något som de möjligtvis överlämnar till systemvetare eller IT-ansvariga.

Etik

Under de senaste fem åren har organisationens etikprogram fått en ökad betydelse (Tarantino 2008; Swanson 2010). Inom etikområdet inkluderar vi organisationens arbete med hälsa, arbetssäkerhet, miljö och hållbar utveckling (Soh & Martinov-Bennie 2011; Sarens et al 2011). Vi inkluderar även etiska frågor såsom avvikelser från organisationens etikpolicys om

resor, nöjen, arbetstimmar, marknadsföring, relationer mellan anställda, incitamentsprogram, mutor, hantering av kunders och anställdas klagomål (Jackson 2006). IRFs roll inom detta område är främst att granska och utvärdera organisationens etikprogram, hur detta program efterlevs (IPPF 2012; Swanson 2010; Jackson 2006) samt göra en bedömning över organisationens etiska miljö (Jackson 2006). Dock påvisas att etikrevision är relativt ovanligt då en undersökning visat att 54 % inte är verksamma inom detta område då internrevisorer anser att det inte är en del av IRFs mandat (39 %) eller att etikområdet är för komplext (15 %) (Jackson 2006). IRF ska också bidra till att organisationen antar lämpliga etiska värderingar genom rådgivning (IPPF 2012) och vara en aktiv part i utvecklingen av förbättringen av organisationens etiska beteende genom att korrigera de brister som de identifierar (Lin et al 2011).

4.4 HANDLINGSUTRYMME

4.4.1 Oberoende

IRF måste vara oberoende för att de ska kunna fullfölja sitt arbete (Norman et al 2010) och för att själva få frihet och möjlighet att påverka sitt mandat. Vi har kommit fram till att IRFs oberoende handlar om hur mycket andra aktörer kan påverka funktionens arbete och begränsa den information som framkommer i IRFs slutgiltiga rapporter. Oberoendet handlar därför om att IRF ska ha självbestämmanderätt och ha en tillräckligt stor frihet för att bestämma sin egen agenda och revisionens omfattning så att deras objektivitet inte hotas. Objektivitet uppnås genom att IRF kan hantera de situationer där olika parters krav frambringar intressekonflikter. Christopher et al (2009) har studerat hur ledningen och revisionskommittén kan påverka IRFs arbete. Författarna kommer fram till att det finns ett flertal hot mot IRFs oberoende vilka uppkommer utifrån IRFs förhållande med ledning respektive revisionskommittén. De anser att hot uppkommer då organisationen betraktar IRF som en språngbräda eller som ett förstadie till en framtida ledningsposition, en person i ledningsgruppen godkänner och bestämmer IRFs budget och blandar sig i planeringen av internrevisionen och att andra aktörer inom organisationen betraktar IRF som partners eller kollegor. Andra hot mot IRFs oberoende är att IRF inte funktionellt rapporterar till revisionskommittén och att det inte är revisionskommittén som ansvarar för att tillsätta, avsätta och utvärdera internrevisorer

revisionskommitté som är tillgänglig för att de ska kunna diskutera sitt arbete med en i förhållande till organisationen oberoende part (Christopher et al 2009). Ytterligare ett hot mot IRFs oberoende och objektivitet är att de rapporterar till ledning istället för till revisionskommittén (Norman et al 2010). IRF rekommenderas därför rapportera till revisionskommittén eller till både revisionskommittén och ledningen för att kunna behålla sitt oberoende (IPPF 2012). Dock anser internrevisorer själva att det innebär ett större hot mot dem personligen att rapportera bedrägerier direkt till revisionskommittén istället för att rapportera bedrägerier direkt till ledningen. Detta eftersom de anser att ledningen ändå kommer informeras och att revisionskommittén har en tendens att överdriva då de för vidare den information de fått från IRF till ledningen. På grund av revisionskommitténs tendens att överdriva den information de får från IRF hindrar och begränsar revisionskommittén IRFs handlingsutrymme och därmed kan även revisionskommittén innebära ett hot mot IRFs oberoende och objektivitet. (Norman et al 2010).

Ett beroendeförhållande föreligger när IRF ställer sig mer på en aktörs sida, ofta organisationens mäktigaste aktör, så att internrevision endast utförs för en parts skull. Att revisionsplaner eller rapporter ändras eller dras tillbaka är ett tecken på att IRF inte är oberoende och att de inte har den status inom organisationen som krävs för att ha ett starkt mandat. Internrevisorerna ska inte agera som ledningens spioner på personalen, och ledningen eller andra chefer ska inte heller kunna hindra internrevisorerna från att revidera vissa områden eller avdelningar. Att IRF är oberoende betyder således att de utför sin uppgift professionellt där inga aktörer kan begränsa deras revision eller påverka deras beslut och rapporter (Pickett 2011).

4.4.2 Påverkan

Påverkan innebär IRFs styrka och förmåga att influera aktörer inom och utanför organisationen trots ovilja eller motstånd. Denna dimension kan också ses som IRFs auktoritet