Digitaliseringen har endret spillereglene i internrevisjonen. Nye verktøy og metoder gjør at internrevisors rolle nå favner mye bredere enn den tradisjonelle kontrollfunksjonen. Ledelsen, styret og revisjonskomiteen i mange virksomheter forventer at internrevisoren skal være en proaktiv rådgiver som er kjent med mulighetene teknologien gir og kan sette den ut i praksis.

– I moderne internrevisjon får vi alle fakta på bordet. Vi får et mye bedre grunnlag å jobbe med og kan gjøre ting vi ikke fikk til tidligere, slik som å kjøre analyser på et stort antall leverandører. Da sjekker vi om betalinger går til andre land enn hovedvirksomhetens lokasjon, til skatteparadis eller kontoer som er eid av lokale offentlige ansatte eller individer med interessekonflikter som anses som inhabile. Det gjør vi blant annet når vi bygger globale antikorrupsjonsprogrammer. Vi ser at slik overvåkning er mye mer verdifull enn å jobbe reaktivt hvor avvik oppdages lenge etter at det har skjedd, forteller Silke Hitschke.

Hitschke kom nylig til KPMG fra rollen som Chief Compliance Officer og VP Internal Audit i Petroleum Geo-Services ASA, med et sterkt ønske om være med på å bane vei og dra en tradisjonsrik fagdisiplin inn i fremtiden med bruk av teknologi og digitale løsninger. Direktøren peker på de mange fordelene datadrevet analyse innen revisjon gir virksomhetene.

– Revisoren kan basere sine observasjoner på flere parametere og bedre fakta fordi kvaliteten blir høyere gjennom automatisert analyse av komplette datasett i stedet for stikkprøver og manuelle kontroller. Bruk av "data mining", for eksempel ved å kryssjekke store datamengder og identifisere avvik og risikoområder, gir oss en bedre forståelse av årsaker og drivere - som igjen er nyttig i forbedringsarbeid. Målet er å kontinuerlig overvåke virksomhetsområder eller arbeidsprosesser slik at det kan det jobbes preventivt og misligheter avdekkes tidligere, forklarer hun.

Datadrevet analyse har en betydelig effektiviseringsgevinst som følge av overgangen fra manuelle til automatiserte revisjonsprosesser. Revisoren er i dag i stand til å bruke sin tid mer effektivt for å vurdere resultater av analyser istedenfor å bruke tiden på å skaffe datagrunnlaget manuelt. Alt dette gir større muligheter til å styre virksomheten proaktivt.

Virksomheter må håndtere økt kompleksitet, med krav om digitalisering og kostnadseffektivisering, strengere og mer omfattende lovgivning, slik som GDPR og stadig nye regulatoriske rammebetingelser, samt økt eksponering og risiko som en konsekvens av cyberkriminalitet. Det forsterker behovet for kompetanse og ekspertise, og den må virksomhetene ofte hente eksternt. De aller færreste har mulighet til å sitte på all denne kompetansen internt.

– Med vårt tverrfaglige kompetansemiljø er vi godt skodd for å møte nye behov i markedet med riktig og sammensatt kompetanse. Det styrker også internrevisjonen. Vi er fortsatt kontrollinstansen, men har i mye større grad blitt agenter for endring og forbedring, mye på grunn av de teknologiske verktøyene og metodene vi benytter. Det gjør at vi blir enda mer relevante og betrodde rådgivere, understreker hun.

I tillegg til den strategiske betydningen av dataanalyse, trekker hun frem tre hovedområder som krever like mye endring i måten å jobbe på:

• IT-sårbarheter
  Høyere kompleksitet i bedriftenes systeminfrastruktur og økt bruk av ny teknologi fører til at bedrifter er utsatt for flere og ofte ukjente sikkerhetstrusler. Det forventes at internrevisoren målrettet bidrar inn i sikkerhetsarbeidet, for eksempel ved å vurdere kryptering og håndtering av skyløsninger.
• Fokus på kostnader og vekst
  Raskt vekst innenfor nye sektorer kombinert med høye krav til kostnadseffektivitet fører ofte til at internkontroller svekkes. Her blir det veldig viktig å monitorere tett, for eksempel når det gjelder håndtering av tredjeparter, og påse at misligheter ikke skjer.
• Korte planleggingshorisonter
  Årlige risikoanalyser som utgangspunkt for internrevisjons planer er essensielt, men generell usikkerhet, stadige markedsendringer og rask skifte av regulatoriske krav krever at risikobildet oppdateres hele tiden. I takt med det må internrevisoren være fleksibel og evne å omprioritere kjapt.
   

En av grunnene til at Silke ble fristet å vende tilbake til KPMG og konsulentbransjen, var muligheten for å jobbe i et fagmiljø med stor bredde i erfaring og kompetanse. Det mener hun er en suksessfaktor for å kunne forstå og løse komplekse kundeutfordringer.

– Risikovurdering er basiskunnskap. Skal du sette kursen må du ha med deg en helt annen type kompetanse på laget, spesielt i en tid hvor mange virksomheter må gjennom omstillingsprosesser som berører store deler av virksomheten. I KPMG jobber både teknologer, ingeniører, revisorer, økonomer, granskere, dataetterforskere, sikkerhetsspesialister, tidligere politifolk, jurister og samfunnsvitere sammen i prosjekter. Det er i skjæringspunktet mellom de ulike fagområdene at magien skjer, sier Silke.

Nylig etablerte KPMG et fagmiljø som samler teknologiekspertise innenfor data og analyse, automasjon og kunstig intelligens, kalt Lighthouse, som jobber på tvers av selskapets forretningsområder, enten det er snakk om revisjon, regnskap, rådgivning eller forretningsjus. Det mener Silke har gjort KPMG til en enda mer attraktiv leverandør og arbeidsgiver.

– Dagens utfordringer, som i økende grad handler om digital transformasjon og omstilling, berører mange forretningsprosesser og virksomhetsområder, og da må kompetansemangfoldet utnyttes. Hos oss jobber revisorer og teknologer sammen i stadig flere prosjekter. Dette er fremtidens arbeidsmodell, og der er vi allerede, forteller hun.