– Vanskelig å argumentere mot en revisjon

 – Internrevisjonen klarte ikke å forstå hvordan produktet vårt var bygget opp, sier IT-direktør Lars Oftedal. – Vi er ikke eksperter på ethvert fagområde, medgir revisjonssjef Sveinung Svanberg.

IKKE ALLVITENDE: – Jeg vil jo selvfølgelig at de skal være fornøyde. Men vi er ikke eksperter på ethvert fagområde. Det er kontroll og styring som er vårt fag, og det er dette vi skal være gode på, sier revisjonssjef Sveinung Svanberg. Det er syv år siden sist internrevisjonen selv ble evaluert.

Foto: Ola Sæther

Det mest urovekkende med internrevisjonens nylige gjennomgang av arkivfunksjonen ved UiO, er ikke noen av konklusjonene i rapporten, men heller revisjonens kunnskaper om arkiv, hevder arkivleder for UiO Astrid Optun.

Hun er ikke den eneste som har betvilt kvaliteten på internrevisjonens arbeid.

Uenig i konklusjonene

På slutten av 2011 foretok internrevisjonen (EIR) en risikovurdering av publiseringsverktøyet Vortex. Universitetsdirektøren hadde bestilt rapporten, som blant annet baserte seg på intervjuer med medarbeidere i USIT.

IT-direktør Lars Oftedal ba om å få se rapporten i forkant av at den ble sendt universitetsdirektøren, men EIR sa nei.

– De var så sikre på at alt som sto der, var rett, så de mente det ikke var nødvendig, sier Oftedal.
– Internrevisjonen er til vanlig en hyggelig gjeng, men jeg oppfattet dem som arrogante i akkurat denne saken, fortsetter han.

Da miljøet ved USIT fikk se rapporten, viste det seg at de var uenig i flere av konklusjonene.

– De dro det for langt

– Vi gikk noen runder med universitetsdirektøren og internrevisjonen i etterkant. Men det er en vanskelig sak å argumentere mot en revisjon. De har liksom fasiten, sier IT-direktøren.

Han mener EIR var utydelige på hva rapporten handlet om.

– En ting er Vortex. Men var det Vortex de evaluerte, eller var det UiOs nettsted som sådan? Vortex er noe vi har egenutviklet her ved USIT. Og EIR mente at det at vi er små, utgjør en sikkerhetsrisiko. Vi mente derimot at de dro dette for langt.

– Mener du internrevisjonen hadde tilstrekkelig med kunnskaper om IT til å foreta denne risikovurderingen?

– Om det handler om IT-kunnskaper, vet jeg ikke, men de klarte ikke å forstå hvordan produktet var bygget opp.

Kontroll og styring

I EIRs mål og strategidokument er enhetens mål formulert slik:

«Intern Revisjon skal bidra til målbare kvalitetsforbedringer i rutiner, systemer og den administrative drift slik at universitetets overordnede strategier og mål kan oppfylles på en effektiv og rasjonell måte.»

Revisjonssjef Sveinung Svanberg ønsker ikke å kommentere konkret kritikken fra Optun eller Oftedal, utover at han mener det ikke stemmer at USIT ba om å få se rapporten før den ble levert universitetsdirektøren.

– Men jeg kan si at jeg håper jeg ikke blir husket som arrogant når jeg en gang slutter her. Det ville ikke vært bra, sier han.

Bruker flere uker på planlegging

– Hva synes du som revisjonssjef om at de som sitter med fagkunnskapene innenfor felt dere har vurdert, ikke er fornøyde med kvaliteten på arbeidet?

– Jeg vil jo selvfølgelig at de skal være fornøyde. Men vi er ikke eksperter på ethvert fagområde. Det er kontroll og styring som er vårt fag, og det er det vi skal være gode på. Om folk er fornøyde, kommer også an på forventningene de har.

Tidligere sendte EIR ut et evalueringsskjema til de berørte i etterkant av revisjonene. Men skjemaet ble for omfattende og var så lite tilpasset de revisjonene som ble utført, at de sluttet å bruke det. Nå har revisjonen imidlertid utviklet et nytt evalueringsskjema, som tas i bruk denne høsten.

– Hvor lang tid bruker de ansatte i internrevisjonen på å sette seg inn i et felt før de starter revisjonsarbeidet?

– Det er veldig forskjellig. Men planlegging er en viktig del av arbeidet, og vi bruker gjerne flere uker på dette.

Full tillit til EIR

Universitetsdirektør Gunn-Elin Aa. Bjørneboe er ikke bekymret.

– Nei, det er ikke problematisk at fagpersoner er kritiske til internrevisjonens arbeid. UiO ønsker åpenhet rundt alle rapportene, og vi ønsker både diskusjoner og brytninger. Slike diskusjoner er med på å sikre kvaliteten på arbeidet, slår hun fast.

– Har du full tillit til internrevisjonens arbeid?

– Ja, det har jeg. Internrevisjonen har en viktig funksjon på UiO. De har en uavhengig rolle og skal kontrollere, informere og gi råd til UiO. De lager årsplaner som diskuteres med universitetsdirektøren, og årsplanene legges frem for Universitetsstyret. Styret orienteres også om rapportene.

Evaluert for syv år siden

Kvaliteten på internrevisjonens egne rutiner og arbeid sikres ifølge Bjørneboe både gjennom åpenhet rundt arbeidet og gjennom eksterne evalueringer. Disse evalueringene initieres av universitetsdirektøren.

Sist gang internrevisjonen ble evaluert, var i 2005. Oppdraget ble gitt konsulenten Knut Løken. Hovedkonklusjonen var positiv, samtidig som rapporten også pekte på noen utfordringer. Blant annet ble det vist til at revisjonens egen dokumentasjon ikke alltid bar preg av god struktur. Det ble også beskrevet som et mulig problem at revisjonen primært kom med analyser og i mindre grad «testet», altså hentet inn etterprøvbare bevis for konklusjonene.

 Trolig blir det en ny, ekstern evaluering snart.

– Hvis vi får midler til det, kan det gjennomføres neste år. Det tror jeg vi får til, sier Svanberg.

 

Emneord: USIT, Universitetspolitikk Av Helene Lindqvist
Publisert 19. okt. 2012 11:01 - Sist endret 19. okt. 2012 11:12
Legg til kommentar

Logg inn for å kommentere

Ikke UiO- eller Feide-bruker?
Opprett en WebID-bruker for å kommentere