1 Generelt om iboende risiko og internkontroll

Banker og finansinstitusjoner er på en helt annen måte enn andre virksomheter utsatt for risiko for interne misligheter og eksterne anslag. Den iboende risiko bør derfor normalt vurderes som høy i denne type virksomhet. Dette har sammenheng med virksomhetens art, da de fleste transaksjoner genereres i ulike reskontrosystemer der den enkelte konto er «virkelige penger». Videre har banker normalt en relativt omfattende håndtering av kontanter. Dette innebærer et behov for mer omfattende rutiner og sikkerhetstiltak enn i annen virksomhet. Sentralt i denne sammenheng vil være at det er etablert tilfredsstillende rutiner for arbeidsdeling (herunder jobbrotasjon og «tvungen» ferie), begrensninger og rammer i fullmakter, samt tilfredsstillende tilgangskontroller og rutiner for endringshåndtering i IT-systemene.

Det er videre viktig med automatiske og manuelle avstemmingsrutiner som sikrer at alle relevante konti fanges opp og kontrolleres av personer som er uavhengig av de som registrerer og godkjenner transaksjoner. For revisor vil således en sentral del av revisjonen være å vurdere og teste hvorvidt den interne kontroll er etablert og fungerer på en tilfredsstillende måte sett i lys av den iboende risiko.

Banker og finansinstitusjoner er underlagt Forskrift om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll (internkontrollforskriften). Forskriften stiller krav til virksomheten om at det minst en gang årlig skal foretas en gjennomgang av vesentlige risikoer og de interne kontrolltiltak som sikrer mot disse. Det skal for alle vesentlige deler av foretakets virksomhetsområder foreligge en ajourholdt dokumentasjon over hvilke kontrolltiltak som er etablert med henvisning til eventuelle instrukser, fullmakter og arbeidsbeskrivelser. Oversikten skal være kortfattet og punktvis, oppsatt på en systematisk og likeartet måte for alle deler av foretakets virksomhet.

Ledende personale i foretaket skal på sine respektive ansvarsområder rapportere oppover i organisasjonen hvordan kontrollen er gjennomført i forhold til forutsatt kontrollopplegg. Dette skal gi daglig leder og styret tilstrekkelig materiale for å ta stilling til om kontrollen er forsvarlig ivaretatt. Det ble ved endring i internkontrollforskriften i desember 2002 pålagt plikt til å etablere internrevisjon for selskaper i finansnæringen med en forvaltningskapital for egen og kunders regning på mer enn NOK 10 mrd.

For revisor vil den foreliggende dokumentasjon fra arbeidet med internkontrollforskriften normalt være en viktig kilde i forbindelse med egne risikovurderinger. Videre vil det i selskaper med etablert internrevisjonsfunksjon normalt være hensiktsmessig å bygge på arbeid utført av denne. I den grad det skal bygges på internrevisjonens arbeid må det foretas vurderinger i samsvar med Revisjonsstandard 610 - Vurdering av internrevisjonens arbeid.