Skillnaderna har ökat mellan den externa och interna revisionen, men riskbasering är en gemensam nämnare. Kunskapen om riskerna ökar genom delning. Möjligheterna att dela insamlad information är unika inom statsförvaltningen och nyttan är inte begränsad till enbart revisionsverksamheten.
Samarbetsramen för den externa och interna revisionen har förändrats
Skillnaderna mellan den externa och interna revisionen har ökat med tiden. Tanken bakom samordningen av interna och externa revisorers arbete i syfte att undvika överlappande arbete härstammar från en tid när det fanns fler likheter mellan den externa och interna revisionens arbete än idag. Vid nationella revisionsverk har bokslutet varit det primära målet för revisionen. Bokslutet granskades kanske också av den interna revisorn. Vid revisionsverken har granskningen av verksamhet och resultat, liksom också tväradministrativiteten som en infallsvinkel, blivit allt viktigare. I visionen för den interna revisionen betonas i stället produktionen av mervärde för organisationen, även på andra sätt än genom revision.
I revisionsstandarden ISSAI 100 ”Fundamental Principles of Public-Sector Audit” behandlas situationer där en extern revisor i sin granskning drar nytta av den interna revisionens arbete som betraktas som relevant. Relevans innebär logiskt samband med eller koppling till syftet med granskningsåtgärden. Standarden behandlar revisionssamarbetet endast indirekt: den externa revisorns ansvar är odelbart i fråga om vad han eller hon uttalar sig om och rapporterar. Den interna revisionen har inte nödvändigtvis den oavhängighet och de premisser som insamlingen av revisionsbevis i den externa revisionen kräver. Trots detta kan en extern revisor använda resultaten av den interna revisionens arbete till att validera insamlade revisionsbevis i en fråga som betraktas som relevant. Båda parterna kan dra nytta av att den externa revisorn jämför den interna revisorns observationer och slutsatser med sina egna.
I vissa fall finns inga större eller väsentliga skillnader i den interna och externa revisionens mål och metoder. Ett exempel på det är revision av informationssystem, som följer sina egna standarder. Arbete utfört enligt dessa, som är relevant med tanke på den externa revisionen, är jämförbart med en specialsakkunnigs arbete som kan användas i revisionen när det ackrediterats.
Fler möjligheter inom statsförvaltningen
Granskningarna kan inriktas på olika sätt enligt typ, men i allmänhet är det viktigt att identifiera och bedöma riskerna och riskhanteringen korrekt i all revision. Den interna och externa revisionens samordnade kunskap om riskerna är mångsidigare och tydligare än kunskapen som revisionsslagen har var för sig.
En gemensam bred syn på riskerna i statens verksamhet och ekonomi samt hanteringen av dessa är viktig i en vidare bemärkelse än för inriktning av revisionen. Den skulle ge ämbetsverk och inrättningar information till stöd för deras riskhantering. En gemensam syn på riskerna skulle ge ämbetsverk och inrättningar möjlighet att jämföra sin egen riskprofil med ämbetsverk och inrättningar i en kontrollgrupp, och på så sätt identifiera avvikelser. Utredning av orsakerna till avvikelserna gynnar riskhanteringen.
Inom statsförvaltningen finns faktiskt redan goda förutsättningar att skapa en gemensam syn på riskerna. Staten är en aktör, vars ekonomi och ekonomiska rapportering styrs av Finansministeriet och Statskontoret med enhetliga metoder. Enligt 24b § i lagen om statsbudgeten är också den interna revisionen föremål för styrning. Definitionen är omfattande och inkluderar riskhantering. För närvarande fattar ämbetsverk och inrättningar själva beslut om riskhanteringen för verksamheten och ekonomin, medan statens modell för riskhanteringspolitiken ger allmänna ramar för riskhanteringen.
Inom statsförvaltningen skulle en mer enhetlig riskhantering inte nödvändigtvis innebära mycket mer än samförstånd i fråga om grunderna för en klassificering som möjliggör riskjämförelse. Om målet är att utveckla riskhanteringen genom att lära av andra ämbetsverks risker och hanteringen av dessa behövs också ett forum och en aktör. Aktören borde ha motsvarande oberoende ställning och omfattande rätt till information och rapportering som finanscontrollerfunktionen.
Skribent: Matti Mattila