Den 20. mars 2026 la Finansdepartementet frem Prop. 39 L (2025–2026) med forslag til endringer i finansforetaksloven for å gjennomføre EUs reviderte kapitalkravsdirektiv (CRD 6) i norsk rett. Et sentralt forslag er at alle kredittinstitusjoner – uavhengig av størrelse – skal ha en internrevisjonsfunksjon. Det innebærer at dagens unntak for banker og kredittforetak med forvaltningskapital under 10 milliarder kroner fjernes.
Hva sier proposisjonen?
- Unntaket oppheves: For å bringe norsk rett i samsvar med CRD 6 må alle kredittinstitusjoner ha internrevisjon.
- Krav til organisering og uavhengighet: Internrevisjonen skal være uavhengig, med kompetanse og ressurser tilpasset virksomhetens art, risiko og kompleksitet. Leder skal rapportere direkte til styret og kan ikke avsettes uten styrets samtykke.
- Styrets ansvar: Styret skal organisere funksjonen, fastsette retningslinjer og motta minst én årlig rapport om risikostyring, internkontroll og internrevisjonens arbeid.
- Rolleavgrensning: I motsetning til risikostyring og etterlevelse, der mindre foretak i noen tilfeller kan kombinere roller, kan internrevisjon ikke kombineres med andre forretningsområder eller kontrollfunksjoner.
- Proporsjonalitet: Omfanget av internrevisjonens arbeid kan tilpasses foretakets størrelse og kompleksitet – men kravet om å ha funksjonen gjelder alle.
Hva er internrevisjon?
Internrevisjon er «tredje forsvarslinje» – en uavhengig kontrollfunksjon som gir styret trygghet for at virksomheten styres og kontrolleres forsvarlig. Den vurderer om første og andre forsvarslinje fungerer som tiltenkt, og skiller seg fra ekstern revisjon ved at mandatet er bredere og innadrettet.
Typiske tema internrevisjonen vurderer:
- Risikostyring og etterlevelse av regelverk og interne retningslinjer
- IT- og cybersikkerhet
- Kredittrisiko og utlånsprosesser
- Operasjonell motstandskraft og internkontroll
Internrevisjonen rapporterer direkte til styret, og skal være en sparringspartner for ledelsen – med mål om å skape verdi, ikke bare kontrollere.
Hva betyr dette for mindre banker?
Banker under 10 mrd. i forvaltningskapital må etablere en internrevisjonsfunksjon – enten ved å ansette en dedikert internrevisor, bygge en intern enhet, eller kjøpe tjenesten eksternt. Uansett modell må det utpekes en leder som oppfyller uavhengighetskravene, og styret må ta aktivt eierskap.
Mindre banker møter mange av de samme risikoene som store – for eksempel cyberangrep, hvitvasking og operasjonell svikt – ofte med færre ressurser. En strukturert, uavhengig gjennomgang av styring og kontroll kan derfor gi stor verdi.
Hva bør bankene gjøre nå?
Selv om ikrafttredelse avhenger av Stortingets behandling og innlemmelse i EØS-avtalen, bør forberedelsene starte nå:
- Kartlegg risikobilde og regulatoriske prioriteringer
- Velg organisasjonsmodell (intern, co-sourcet eller outsourcet)
- Definer mandat, uavhengighet og rapporteringslinjer til styret
- Utarbeid en risikobasert revisjonsplan og plan for styrebehandling
- Etabler metodikk, verktøy og kompetanse, og forankre i styret
Hvordan vi kan bistå deg:
PwC har lang erfaring med internrevisjon i banker av ulik størrelse. Vi kan:
- Gjennomføre modenhetsvurdering og gap-analyse opp mot kravene
- Etablere internrevisjonsfunksjon (intern, co-sourcet eller outsourcet)
- Levere løpende revisjoner innen finansregulering, IT/cyber, AML og etterlevelse
- Bistå med metodikk, planverk, kompetansebygging og styreforankring
Ta gjerne kontakt for en uforpliktende samtale om hva de nye kravene betyr for din bank og hvordan dere kan komme raskt og trygt i gang.