SIRK

SIRK
Styring – Internrevisjon
Risiko – Kontroll
Nummer 2, vinter 2013, 21. årgang
Bransjen hyller
en hedersmann
– Knut Løken
Trine S. Grande
om internrevisjon
Fokus på mislighets- og
korrupsjonsrisiko
Intervju med Deanna
Sullivan fra IAA om de
nye COSO prinsippene.
I dette nummeret har vi valgt å organisere temaene etter de hovedområdene til
SIRK – Virksomhetsstyring,
Risikostyring / Internkontroll og
Internrevisjon.
I seksjonen om internrevisjon deler
Knut Løken sine erfaringer og refleksjoner etter et langt liv som internrevisor. Han er æresmedlem i Norges
Interne Revisorers Forening (NIRF) og
ble tidligere i år hedret med Kongens
REDAKTØRENS
fortjenstmedalje i gull for sitt virke
innen musikk og revisjon. I seksjonen
kan dere også få innsikt i Stortingsrepresentant og Venstres leder Trine Skei Grandes tanker om
internrevisjon i offentlig sektor.
SPALTE
I delen om virksomhetsstyring ser vi nærmere på et av de fremvoksende områdene innenfor virksomhetsstyring, nemlig samfunnsansvar. Pål Brun fra revisjons- og rådgivningsselskapet EY
skriver om finansinstitusjoners samfunnsansvar og internrevisors
rolle. Nettopp samfunnsansvar er et område som i Norge har blitt
satt tydeligere på agendaen gjennom en endring i regnskapslovens § 3-c) som pålegger store foretak å redegjøre for sitt
samfunnsansvarsarbeid. I tillegg reflekterer NIRFs tidligere
president Martin Stevens over lærdommer fra tillitssvikten i det
engelske bankvesenet.
En kartlegging gjennomført av konsulentselskapet CEB (Risk
Intelligence Quarterly) viser viktige endringer blant de fem
viktigste fremvoksende risikoene ledende internasjonale selskap
fokuserer på: cyber-sikkerhet, vedvarende svak økonomisk
utvikling, misligheter, skattereformer og avtakende vekst i
utviklingsmarkeder.
I seksjonen om risikostyring og internkontroll setter revisjons- og
rådgivningsselskapet BDO fokus på forebygging av misligheter
og bruk av risikoanalyser for å forebygge misligheter og korrupsjon. I tillegg har NIRFs egen Ellen Brataas intervjuet Deanna
REDAKSJONS
KOMITEEN
Ansvarlig for
dette nummeret av
SIRK
Mari Vonen
Schibsted ASA
M: 95 26 01 60
sirk.redaksjon@gmail.com
Jan Wilhelm Kavli,
Utlendingsdirektoratet
jaka@udi.no
SIRK nr 2. 2013
Vi lever i en verden som blir stadig mer digital og øyeblikkelig,
der vi kontinuerlig bombarderes med nyhetsbrev, tweeter og
kursinvitasjoner. SIRK-redaksjonen presenterer derfor noen
publikasjoner som har vært spesielt verdifulle for oss i arbeidshverdagen. Vi oppfordrer alle lesere til å gjøre det samme – i tråd
med IIAs eget motto «Progress Through Sharing».
Personlig har jeg endret arbeidsgiver, og gått over fra konsulentsiden til rollen som Compliance Officer. I den forbindelse har jeg
tre refleksjoner jeg gjerne vil dele med dere:
• Som ny i rollen har jeg fått oppleve hvor verdifull bakgrunnen
og tankesettet jeg har med meg fra internrevisjonsyrket faktisk
er. Dette er noe man til stadig vekk hører, men det er en glede
å oppleve selv at det stemmer.
• Som fagnerd er det selvsagt en glede å vite at det finnes
mengder med publikasjoner i ulike kanaler å støtte seg på, og
er spesielt takknemlig for de som har gode oppsummeringer.
• Den største positive overraskelsen i ny jobb har absolutt vært
erfaringsutveksling med fagkollegaer innenfor virksomhetsstyring, risikostyring og internkontroll. Jeg opplever fagmiljøet i Norge som særdeles åpent og villig til å dele – en styrke
det er viktig at vi tar godt vare på.
Som redaktør oppfordrer jeg alle lesere til å komme med innspill
på tema som opptar dere, og gjerne bidra med artikler basert på
egne erfaringer. Retter også en takk til alle som har bidratt til
dette nummeret, og ikke minst til vårt æresmedlem Knut Løken.
Da er det bare å finne frem ballkjolen, CIA-pinsen og glede seg
til julehøytiden. Ønsker dere alle en fredelig høytid.
Alt godt
Mari
Reidar Døli
Oslo Børs
reidar.doli@oslobors.no
Kristoffer Igdun
NAV
Kristoffer.igdun@nav.no
Esa Leporanta
Nets Norway AS
elepo@nets.eu
Martin Stevens
Gjensidige Forsikring
M: 957 50 192
martin.stevens@gjensidige.no
Se mer info på www.iia.no
2
Sullivan fra IIA – den verdensomspennende foreningen for
internrevisorer – som var i Oslo i oktober for å presentere de 17
nye prinsippene i internkontrollrammeverket COSO.
Innhold
2
4
Redaktørens spalte
Styrets leder har ordet
Virksomhetsstyring
5
8
12
En bærekraftig og samfunnsansvarlig internrevisor?
Bærekraftig investerings- og finansieringsvirksomhet
Changing Banking for good
Risikostyring / Internkontroll
14
15
18
20
23
SIRK-redaksjonens favorittpublikasjoner i 2013
Intern kontroll – et integrert rammeverk, COSO-rapporten 2013. Intervju med Deanna Sullivan
PwCs 2013 seminar om antikorrupsjon
Risikostyring har aldri vært viktigere
Internrevisjonens rolle i kampen mot økonomisk kriminalitet
Internrevisjon
27
28
30
32
34
38
40
43
Bedre nattesøvn
Knut Løken – en stor inspirator
Ny utredning om bruk av internrevisjon i statlig sektor
Internrevisjonsfunksjonen
Overordnet uttalelse som et alternativt verktøy for å forbedre virksomhetens styring og kontroll
Effektiv internrevisjon i finanssektoren – Økte krav til internrevisor
The ECIIA
The Sound of Audit
Foreningsnytt
45
47
Nyheter fra sekretariatet, IIA og andre samarbeidspartnere
På tampen
NORGES INTERNE REVISORERS FORENING
President
Jørgen Bock
NAV Internrevisjon
Postboks 5 St. Olavs plass
0130 Oslo
M: 410 04 211
jorgen.bock@nav.no
PROGRAMKOMITÉEN
Hans Oskar Hansen
Skattedirektoratet
Postboks 9200 Grønland
0134 Oslo
M: 908 84 092
hansoskar.hansen@skatteetaten.no
INFORMASJONS- OG
PROMOTERINGSKOMITÉEN
Einar Døssland
Faktum NOR AS
Postboks 95
0411 Oslo
M: 909 82 756
einar@faktum.no
REDAKSJONSKOMITÉEN
Mari Vonen
Schibsted ASA
Postboks 490 Sentrum
0105 Oslo
M: 916 86 626
mari.vonen@schibsted.no
KONFERANSEKOMITÉEN
Carl Gunnar Lunde
SG Finans AS
Postboks 105
1325 Lysaker
M: 416 09 245
carl.gunnar.lunde@sgfinans.no
NOMINASJONSKOMITÉEN
Petra Liset
PricewaterhouseCoopers AS
Postboks 748 Sentrum
0106 Oslo
J: 952 60 152
petra.liset@no.pwc.com
FORENINGSSEKRETARIAT
Ellen Brataas
Generalsekretær
Tlf: 976 20 565
ellen.brataas@iia.no
Svein Stabekk
Foreningssekretær
Tlf.: 932 37 912
svein.stabekk@iia.no
Hilde Tanggaard
Rådgiver
Tlf: 411 07 296
hilde.tanggaard@iia.no
Postadresse:
Norges Interne Revisorers Forening
Postboks 1417 Vika,
0115 Oslo
post@iia.no
Besøksadresse:
Munkedamsveien 3 B, 3. etg.
0161 Oslo
SIRK: Publikasjon fra Norges Interne
Revisorers Forening, NIRF
Antall utgivelser pr. år: 2
Opplag: 1.300
Meninger og påstander som fremkommer i artikler eller innlegg er
ikke nødvendigvis sammenfallende
med NIRFs syn.
Neste utgave:
Juni 2014
Har du bidrag til bladet?
Ta kontakt med redaksjonens leder
for frister m.m.
Årsabonnement: Kr. 150
Annonsepriser:
Kr. 5.000 for en helside
Kr. 3.000 for en halvside
(mva. tilkommer)
Grafisk produksjon:
Dalby Grafisk
Forsidebilde:
Foto: Anette Andresen/Budstikka
Styreleder
HAR ORDET
Virksomhetsstyring
Trendene innen virksomhetsstyring
(Governance) fra USA, Europa og kanskje
særlig Storbritannia har også nådd Norge.
Internrevisjonen har kommet på radaren til
myndighetene. Vår rolle innen virksomhetsstyring er i ferd med å bli ytterligere anerkjent også i Norge.
Modellen med de såkalte «3 forsvarslinjer» har vunnet aksept som
beste praksis og plasserer som kjent internrevisjonen i 3. linjen. Vi
er en uavhengig og objektiv aktør som skal bidra til måloppnåelse
og kontinuerlig forbedring.
Styret1 har ansvaret for at styringssystemet er etablert og fungerer
tilfredsstillende. Administrasjonen rapporterer til styret om systemene for styring og kontroll er tilfredsstillende for å nå målene i
virksomheten. En uavhengig internrevisjon (3. linje) gir styret en
vurdering av dette og kommer med forslag til forbedringer.
Privat sektor
I høst ble NIRF kontaktet av Nærings- og handelsdepartementet
(NHD) for å delta i en undersøkelse om Risk Management and
Corporate Governance i regi av OECDs komité for Corporate
Governance. Undersøkelsen gjøres i forbindelse med OECDs arbeid
med å oppdatere rammeverket for virksomhetsstyring. (OECDs
Corporate Governance Principles). NHD inviterte relevante myndighetsorganer samt organisasjoner med detaljert kunnskap om risikostyring i børsnoterte selskaper inn til diskusjon sammen med
representanter fra OECD. Øvrige deltagere er Norsk utvalg for eierstyring og selskapsledelse (NUES), Næringslivets hovedorganisasjon, Næringslivets aksjemarkedsutvalg, Revisorforeningen, Oslo
Børs, Norsk styreinstitutt, Finansdepartementet, Finanstilsynet og
Justisdepartementet.
Bakgrunnen for arbeidet er at risikostyring i liten grad er utdypet i
rammeverket til OECD. Risikostyring i statlige børsnoterte selskaper
er særlig omtalt i undersøkelsen. Det er ventet at dette vil få en
større plass i den nye versjonen av prinsippene som komiteen vil
arbeide med de neste par årene.
Det er krav om at selskaper på New York Stock Exchange har en
internrevisjon. Også de fleste EU landenes governance koder, enten
anbefaler eller stiller krav til at styrene må vurdere å etablere internrevisjon. Landene Portugal, Polen og Litauen stiller ikke slike krav.
Dessverre stiller heller ikke den norske NUES koden krav til internrevisjon eller at styret skal vurdere funksjonen.
Offentlig sektor
Et annet OECD arbeid, rapporten Value for Money in Government
Norway 2013, er også interessant for alle som er opptatt av god,
hensiktsmessig og effektiv styring og kontroll i statlig virksomhet.
Rapporten anbefaler å styrke regulatoriske policyer, tilsyn med
departementene og en bedre koordinering mellom departementene,
slik at skattebetalerne får «mest valuta for pengene» og opprettholder tillit til den offentlige forvaltningen.
1
Svært interessant for vår bransje er også OECDs forslag om at
departementene i Norge bør opprette mindre uavhengige internrevisjonsenheter under ledelse av toppkvalifisert og erfaren
revisjonssjef. I Norge har forsvarssektoren etablert denne modellen.
Internrevisjonen bør fokusere på risikostyring i departementene og i
underliggende enheter. Funksjonen bør motta internrevisjonsrapportene fra de underliggende enhetenes internrevisjon, heter det i
anbefalingene. I dette nummeret av SIRK kommenterer også Trine
Skei Grande, leder i Venstre, denne rapporten.
I Storbritannia er det krav om revisjonsutvalg og internrevisjon i
offentlig sektor. HM Treasury har engasjert seg i betydelig grad for å
styrke ordningen fordi man anser at internrevisjonen gir viktig
bidrag til målet om «value for money» for offentlige tjenester. Det
har i lengre tid vært krav om at virksomhetsledelsen skal redegjøre
for internkontroll og at internrevisjonen skal avgi en uttalelse om
dette. I 2013 ble det krav om at virksomhetsledelsen i årsrapporten
skal avgi et «Governance statement» istedenfor. Internrevisjonen
skal avgi uttalelse til virksomhetens Governance statement.
I kjølevannet av Value for Money rapporten har Finansdepartementet
i Norge startet et arbeid for å utrede internrevisjon i staten. NIRF
deltar i en referansegruppe i dette arbeidet sammen med flere internrevisjonsenheter i offentlig sektor.
Vi må være bevisst denne utviklingen og vårt ansvar med å bidra til
måloppnåelse og forbedring hos våre respektive virksomheter. Vi
trenger alle med jevne mellomrom å løfte blikket og stille oss selv
disse spørsmålene:
• Reviderer vi de riktige områdene og er vi opptatt av de viktigste
risikoene og mulighetene for virksomhetens måloppnåelse?
• Er vårt arbeid avstemt med toppledelsen og interessentene i
virksomheten?
• Hvilke uttalelser gir vi til ledelsen?
• Har vi tilstrekkelig kompetanse og kapasitet til å møte forventninger og krav?
Vår profesjon går en meget spennende tid i møte. Kontinuerlig
videreutdannelse er en av nøklene for å være med på denne viktige
og spennende reisen.
Jeg ønsker dere alle en God Jul og et Godt Nytt År.
Jørgen Bock
Styrets leder
NB: NIRF er i utvikling! Følg oss på
• www.iia.no • Facebook • LinkedIn
• Twitter @IIA_Norge og @jorgeniia
og få daglig siste nytt fra bransjen og fagområdet styring og
kontroll.
Styret defineres av IIA som den øverste myndighet med ansvar for overvåking av organisasjonens virksomhet og ledelse. Dette vil
typisk inkludere en uavhengig gruppe medlemmer (eksempelvis et styre, et tilsynsstyre, «board of governors or trustees».) Hvis en slik
gruppe ikke eksisterer, kan «styret» vise til virksomhetsleder. «Styret» kan også referere til et revisjonsutvalg eller til andre funksjoner
de med styringsansvaret har delegert visse funksjoner til.
4
SIRK nr 2. 2013
V i r ks o m h e t s s t y ri n g
En bærekraftig og samfunnsansvarlig
internrevisor?
Av Mari Vonen, Compliance Officer Schibsted og redaktør SIRK
Som tradisjonell internrevisor1 er det enkelt å tenke at samfunnsansvar og bærekraft er forbeholdt Blekkulf-klubben og velmenende «do-gooders». To artikler fra COSO og IIA avfeier
dette synet, og belyser internrevisors rolle med hensyn til virksomhetenes samfunnsansvar.
Disse miljøgreiene angår da ikke meg?
Som tradisjonell internrevisor har man
kanskje tenkt at samfunnsansvar og
bærekraft er forbeholdt Blekkulf-klubben
og velmenende «do-gooders». Heldigvis
har trenden snudd, og samfunnsansvar og
bærekraftig forretningsdrift løftes i
økende grad til et strategisk plan.
Akkurat som innenfor virksomhetsstyring (også kjent som foretaksstyring,
corporate governance, osv.) finnes det en
minst like stor begrepsjungel for samfunnsansvar (sustainability, corporate
social responsibility, bærekraftig forretningsdrift, forretningsnært samfunnsansvar, corporate responsibility…). Også
investor og Ferd-eier Johan H. Andresen
har meninger på feltet og ytret seg på
Twitter den 17. oktober i år: «CSR is a
very dead set of letters. If you insist on
keeping them, rearrange them into SRC,
Socially responsible companies». Siden
SIRK ikke er en språkpublikasjon, slår vi
fast at uavhengig av hvilke betegnelse
man bruker, er sannheten at norske
bedrifter ikke lenger kan ignorere samfunnets forventinger og de nye lovkravene i regnskapsloven. Spesielt innføring
av regnskapslovens paragraf 3-3 c)2 gjør
samfunnsansvar mer relevant for internrevisor. Dette er et område som kanskje
ikke ligger de fleste internrevisors hjerte
nærmest, men NIRF har identifisert to
nyttige publikasjoner som hjelper oss å
navigere i et hittil ukjent farvann.
I det følgende vil begrepet samfunnsansvar benyttes som oversettelse av ordet
sustainability.
Kilde: COSO
Risikostyring og samfunnsansvar
Den 25. juni 2013 ga COSO ut et
thought leadership paper i serien Risk
Rewards. Publikasjonen “Demystifying
sustainability risks” med den fengende
(?) undertittelen: «Demystifying the
triple bottom line into an enterprise risk
management program» ser på hvordan
og hvorfor samfunnsansvar kan integreres i COSO ERM. Publikasjonen er
tilgjengelig for alle på COSOs hjemmesider3.
Forfatterne slår innledningsvis fast at
verden har endret seg. Sustainability
eller samfunnsansvar har tvunget seg
frem som et strategisk imperativ for
bedrifter som står overfor både risiko og
muligheter relatert til områdene miljø,
sosiale forhold og økonomi/finansielle
fordeler (såkalt triple bottom line).
Denne trenden speiles også i virksomheters markedsverdi. I 1975 utgjorde
fysiske og finansielle eiendeler hele
83 % av S&P 500 virksomheters markedsverdi. I 2010 sank dette tallet til
bare 20 %. Resten består av immaterielle (intangible) elementer som menneskelig kapital, intellektuell kapital, merkevare, omdømme og forholdet til lovgivende organer, NGOs, kunder, leverandører og andre eksterne stakeholders.
Et hvert styremedlem som hører denne
analysen burde stille seg to spørsmål:
1) Hvordan er vår profil for markedsansvar?
2) Har vi strategier, prosesser og metoder
som sikrer at vi styrer (manage) denne
profilen på en måleffektiv/hensiktsmessig måte?
☞
Merk at den tradisjonelle internrevisor og internrevisor i artikkelen speiler forfatterens fordommer og er å oppfatte
som en fiktiv person.
1
Regnskapslovens § 3-3 c pålegger store foretak å gi informasjon om sin håndtering av samfunnsansvar i årsberetningen eller i annet offentlig tilgjengelig dokument.
2
3
http://www.coso.org/documents/COSO-ERM%20Demystifying%20Sustainability%20Risk_Full%20WEB.pdf
SIRK nr 2. 2013
5
V i r ks o m h e t s s t y ri n g
Forfatterne fremholder at en virksomhets
suksess er avhengig av mer enn bare
policier og prosedyrer. Publikasjonen tar
for seg de ulike COSO-komponentene
sett med samfunnsansvarsbriller. Selv
om etterlevelses- (compliance) og
rapporteringsrisiko er best beskrevet, gir
publikasjonen også interessante eksempler innenfor strategiske og operasjonelle
risiko.
Social
• Public policy and advocacy
• Community investmenst
• Working conditions
• Health/nutrition
• Driversity
• Human rights
• Socially responsible investing
• Anticorruption and bribery
• Safety
Environmental
• Energy-fuel, oil, alternative
• Water
• Greenhouse gases
• Emissions
• Waste reduction: medical;
hazardous, non-hazardous, construction
• Recycling
• Reprocessing/re-use
• Green cleaning
• Agriculture/organic foods
• Packaging
• Product content
• Biodiversity
Economic
• Accountability/transparency
• Corporate governance
• Stakeholder value
• Economic performance
• Financial objectives
Kilde: COSO thought paper
Videre tar publikasjonen for seg COSOkomponentene internt miljø, etablering
av målsettinger, identifisering av risikohendelser, risikovurdering, risikohåndtering, kontrollaktiviteter, informasjon og
kommunikasjon og oppfølging.
7 tips for å øke bevissthet om samfunnsansvar i
organisasjoner:
1. Involver ledelsen
2. Engasjer interessentene
3. Integrer samfunnsansvar i
virksomhetens strategi
4. Identifiser og vurder vesentligheten av risiko
5. Identifiser quick-wins
6. Vær åpen og transparent
7. Velg riktige ledelsesverktøy
6
SIRK nr 2. 2013
• Bedre evne til å håndtere strategisk
og operasjonell ytelse
Organisasjoner kan skape komparative
fortrinn ved å håndtere samfunnsansvarsrisiko for å forbedre resultater, øke innovasjon og styrke bunnlinjen. Selskap
som skaper produkter og tjenester i et
samfunnsansvarsperspektiv vil tiltrekke
seg kapital fra eksterne investorer og øke
interessentenes tillit.
• Bedre allokering av kapital
Forfatterne argumenterer at virksomheter
som velger å integrere samfunnsansvar i
et risikostyringsprogram basert på COSO
kan oppnå følgende komparative fortrinn:
• Samsvar mellom virksomhetens
risikoappetitt for samfunnsansvar og
organisasjonens strategi
En helhetlig tilnærming til samfunnsansvarsrisiko for å vurdere samfunnsansvar på tvers av hele virksomheten,
ruster virksomheten til å bedre forutse og
reagere på utfordringer når de oppstår.
• Økt synlighet og innsikt i forhold
til/sammenlignet med kompleksiteten i
dagens forretningsmiljø
Gjennom å inkludere samfunnsansvar i
virksomhetens rammeverk for risikostyring, kan de ansvarlige for samfunnsansvar få verdifull innsikt i samfunnsansvarsrisiko virksomheten står overfor,
samt vesentligheten av disse risikoene.
Dette er innsikt som kan deles med
ledelse og styre slik at disse har en klar
forståelse av virksomhetens samfunnsansvarsrisiko.
• Sterkere kobling av selskapets
markedsverdi og ikke-finansielle
konsekvenser for virksomhetens
risikostyring
Kilde: COSO
bedre rustet for å forstå påvirkning/
konsekvenser på virksomheten på ikkefinansielle måter.
Det kan være utfordrende å identifisere
muligheter og risiko knyttet til samfunnsansvar. Derimot kan organisasjoner
som skjønner hvordan disse relaterer seg
til virksomhetens verdidrivere være
Organisasjoner som bruker COSO ERM
rammeverket i sitt arbeid med samfunnsansvar er bedre rustet til å allokere
kapital på en bedre og mer effektiv måte.
Organisasjonen kan derfor maksimere
utnyttelse av kapitalen og samtidig sende
«riktig» signal til interessenter basert på
virksomhetens verdier og strategi.
Sjansen for å nå både virksomhetens
målsettinger innenfor samfunnsansvar og enda viktigere - forretningsmessige
mål øker altså.
Et strategisk imperativ
Kunder og aksjonærer forventer det og
ansatte krever det. På noen få år har
samfunnsansvar gått fra å være et «feelgood» initiativ til et strategisk imperativ.
Vi ser nå et økende momentum for å
bygge en mer integrert tilnærming til
samfunnsansvar og tilhørende risiko.
Virksomheter som integrerer samfunnsansvarsrisikoene i COSO ERM rammeverket, får et mer fullstendig bilde av
hvordan de ligger an i forhold til sin
samfunnsansvarsagenda – og ikke minst
hvordan de best kan omsette dette til
markedsverdi.
Hvordan revidere samfunnsansvar?
Den andre publikasjonen som er nyttig
for en søkende internrevisor er IIAs egen
practice guide Evaluating Corporate
Social Responsibility/Sustainable development fra februar 2010. Publikasjonen
er tilgjengelig for NIRF medlemmer på
de internasjonale IIA hjemmesidene.
Practiceguiden understreker at Chief
Audit Executives har et ansvar for å
V i r ks o m h e t s s t y ri n g
Eksempel på CSRrisiko:
• Omdømme
• Compliance
• Forpliktelser
• Operasjonell
• Aksjemarked
• Ansatte
• Salg
• Eksterne forretningsforhold
Kilde: IIA
forstå hvordan de kan støtte ledelsen
med hensyn til samfunnsansvar. En
internrevisjon som aktivt bekrefter at de
opererer i henhold til IPPF (International
Professional Practices Framework) er
kvalifisert til å revidere og gi assurance
til styret og ledelsen på virksomhetens
samfunnsansvarsprogrammer og rapportering. Practiceguiden er designet med
formål å støtte planlegging og implementering av internrevisjonens revisjonsstrategi og programmer innenfor samfunnsansvar.
Internrevisor må altså forstå virksomhetens risiko og kontroller knyttet til
virksomhetens CSR-mål. Når hensiktsmessig, skal CAE planlegge å revidere,
fasilitere control self-assessments, undersøke resultater og konsultere innenfor
ulike områder. Internrevisor må vedlikeholde den kompetanse og kunnskap som
er påkrevd for å forstå og evaluere
governance, risiko og kontroller relatert
til CSR-strategier.
Publikasjonen tar for seg ulike CSR
forretningsaktiviteter:
1. Definere policies og prosedyrer
for områder innenfor corporate governance, etikk, HR, verdikjede, interessentrelasjoner, miljø, helse og sikkerhet
2. Definere målsettinger, målekriterier
og strategier som for eksempel:
• Redusere CO2-utslipp
• Etterleve lover og regler
• Redusere sikkerhetsrelaterte hendelser
• Redusere avfall
• Skape en kultur for åpenhet
3. Kommunisere og integrere CSRprinsipper i den forretningsmessige
beslutningsprosess
• CSR inkludert i prosjektbeslutninger
• Kultur basert på å gjøre de riktige
beslutningene for den riktige grunnen
• Livssyklus verdivurdering for å
vurdere påvirkning av virksomhetens
produkter og drift
4. Måle, følge opp resultater og analysere trender og gjennomføre benchmarking av bl.a.:
• Utslipp
• Helse- og sikkerhetsrelaterte hendelser
• Korrupsjonshendelser
• Veldedighet og sponsing
• Medarbeidertilfredshet
• Lovbrudd
• Forpliktelser overfor interessenter
5. Dialog med interessenter:
• Referanse- eller fokusgrupper som en
del av forskning og utvikling
• Engasjement i politikkutforming og
tilbakemeldinger (lobby-aktiviteter)
• Tilfredshetsundersøkelser
• Styringsprosesser for varsling
(inkludert beskyttelse av klagere fra
represalier eller skremsler)
6. Revisjon:
• Opplysninger i offentlige rapporter
• Interne kontroller og styringssystemer
• Overholdelse av avtalefestede CSR
vilkår og betingelser (både internt og
med eksterne forretningsforbindelser).
7. Rapportering av resultater internt og
eksternt, sammen med styringsprosesser
for rapportering:
Publikasjonen gir også ulike vinklinger
for revisjonsstrategi for å evaluere CSR
som er detaljert beskrevet. I tillegg gir
den gode innspill på bruk av audit
opinions, uavhengighets- og objektivitetshensyn og et forsøk på en CSR
modenhetsmodell.
I mine øyne er dette verdifull lesning og
en nyttig verktøykasse – ikke bare for
internrevisorer, men også de som sitter
med ansvaret for samfunnsansvar.
Hva er internrevisjon? Og hvordan kan det være et nyttig
verktøy for ledelsen og styret i god virksomhetsstyring?
Ta kontakt med Norges Interne Revisors Forening.
Vi kommer gjerne til din virksomhet og holder en presentasjon!
Ring 976 20 565 eller send oss en e-post til post@iia.no
SIRK nr 2. 2013
7
V i r ks o m h e t s s t y ri n g
Bærekraftig investerings- og finansieringsvirksomhet
– hvordan bør internrevisjonen forholde seg til nye
forventninger og risikoer?
Av Pål Brun, Executice Director/Sustainability Services Leader EY og
Tine Fossland, Senior Konsulent Sustainability Services EY
Finansinstitusjoner er utsatt for en rekke nye lovkrav og
reguleringer. De møter også press og nye forventninger
fra viktige interessentgrupper. Samtidig opplever finansinstitusjonene at deres evne til å integrere faktorer knyttet
til miljø, sosiale forhold og foretaksstyring (ESG)1 i måten
de driver sin investerings- og kredittvirksomhet på, blir
viktigere for å redusere risikoeksponering og sikre god
avkastning på lang sikt. Hvordan bør internrevisjonene i
disse institusjonene forholde seg til disse utfordringene?
I kjølvannet av finanskrisen og etterfølgende skandaler har
finansinstitusjoner møtt et stadig økende press for å endre sitt
fokus fra kortsiktige resultater til å ha et lengre tidsperspektiv.
Presset er drevet av interessenter som myndigheter, institusjonelle investorer og kunder. Disse interessentgruppene krever
større åpenhet og ansvarliggjøring av finansbransjens rolle for å
skape velfungerende markeder og stabile økonomiske rammebetingelser for selskaper og individer.
8
I det følgende vil vi peke på tre områder som vi mener kan
utgjøre vesentlige risikoer for finansforetak, og som vi derfor
mener det blir spesielt viktig for internrevisjonene i disse
selskapene å ha et økt fokus på fremover:
• Åpenhet om produkter og ansvarlig kunderådgivning
• ESG integrering i investeringsvirksomheten
• ESG integrering i kredittvirksomheten
Åpenhet om produkter og ansvarlig kunderådgivning
Finansinstitusjoner er involvert når enkeltmennesker skal ta
viktige beslutninger, enten det er kjøp av bolig eller investering
av sparepenger eller pensjoner. De er avhengig av rådene som
blir gitt av finansforetaket, og det er derfor viktig at disse rådene
har høy integritet. I kjølvannet av finanskrisen har forholdet
mellom finansinstitusjoner og allmenheten gjennom flere enkeltsaker blitt satt på prøve, noe som har økt betydningen av åpenhet om produkter og ansvarlig kunderådgivning. I Norge har den
såkalte Røeggen-saken2 bidratt til økt publisitet og bevissthet
om betydningen av ansvarlig kunderådgivning.
For internrevisjonen i et finansforetak vil dette på sikt medføre
at styre og ledelse forventer at internrevisjonen kan gi relevant
støtte og inneha kompetanse også innenfor disse områdene.
Dette handler dels om evne til å identifisere de mest vesentlige
risikoområdene og dels om å identifisere de riktige revisjonsprosjektene. I tillegg handler det også – i alle fall i en overgangsfase inntil man har bygget opp tilstrekkelig intern kompetanse - om å tilknytte seg riktig ekstern spisskompetanse og å
sørge for utvikle hensiktsmessige og tilpassede revisjonskriterier
innenfor et fagfelt i rask utvikling.
Reguleringsmessig skjer det mye på området. Stadig flere
produkter og tjeneste-/ produktleverandører vil omfattes av
kommende regelverk som PRIPs (Package Retail Investment
Products), MiFID II (Markets in Financial Instruments
Directive) og IMD II (Insurance Mediation Directice).
Overordnet formål med alle disse er å sikre at investeringsrådgivning gjennomføres i samsvar med kundenes interesser.
Det stilles krav både til rådgiver og til informasjonen kunden
skal motta i forkant av forretningsutførelse.
Hvilke bærekraftrisikoområder er mest vesentlige for
finansbransjen?
Et vesentlig bærekraftsområde kjennetegnes ved at det er viktig
for foretakets strategioppnåelse og interessenters informasjonsbehov og beslutninger. For et finansforetak vil det derfor i liten
grad være selve driften av kontorvirksomheten som er mest
vesentlig i et bærekraftperspektiv. Det er ikke gjennom den
operasjonelle driften at de har sin største miljø- og samfunnspåvirkning. Der finansforetak derimot har stor samfunnspåvirkning er gjennom sin kjernevirksomhet – og da spesielt
hvordan de tar hensyn til miljø og samfunnspåvirkning – i
finansierings- og investeringsprosesser.
ESG integrering i investeringsvirksomhet
ESG integrering i investeringsvirksomhet ble for alvor satt på
dagsorden gjennom etableringen av FNs prinsipper for
ansvarlige investeringer (PRI3) i 2006. PRI er et investorinitiativ
hvor medlemmene har forpliktet seg til å implementere og
etterleve PRIs prinsipper for ansvarlig investeringsvirksomhet.
En rekke norske institusjonelle investorer har signert
prinsippene, deriblant DNB, Folketrygdfondet, NBIM, KLP og
Storebrand. På globalt nivå er det nå mer enn 1000 institusjonelle investorer som står bak prinsippene, og til sammen har
disse en samlet forvaltningskapital på nærmere 35 000 mrd.
USD.
SIRK nr 2. 2013
V i r ks o m h e t s s t y ri n g
• Ekvatorprinsipper
Bærekraftig • ESG kredittverktøy
finansierings- • Retningslinjer
virksomhet • ESG risikovurderinger
Åpenhet om
produkter
og ansvarlig
kunderådgivning
• Risikoprofil
• Kostnadsstruktur
• Incentiver for
kunderådgivere.
Bærekraftig
investeringsvirksomhet
•
•
•
•
Utelukkelse
Negativ screening
Positiv screening
Aktivt eierskap
Figur 1: Eksempler på bærekraftområder som kan være vesentlige for et finansforetak.Illustrasjon: EY.
Utgangspunktet for PRI er den forpliktelsen institusjonelle
investorer har til å handle i tråd med de langsiktige interessene
til de som eier eller tilgodesees av kapitalen som forvaltes.
Dette ansvarliggjør kapitalforvaltere i å ta hensyn til ESG
faktorer fordi disse kan påvirke avkastningen på investeringsporteføljer (i varierende grad på tvers av selskaper, bransjer,
regioner, aktivaklasser og tidsperspektiv).
Hva gjør de ledende finansforetakene?
Praksis utvikler seg raskt innenfor alle de tre nevnte områdene
og det finnes få kodifiserte standarder som kan legges til grunn
for internrevisjonens arbeid. Det er derfor viktig at internrevisor
har god innsikt i internasjonal god praksis og et forhold til hvordan de ledende aktørene internasjonalt håndterer de vesentlige
risikoområdene.
Siden PRI ble lansert i 2006 har det skjedd en betydelig utvikling i praksis innenfor ansvarlige investeringer. Fokus har
beveget seg fra utelukkelse av uetiske selskaper til hvordan ESG
faktorer kan vektlegges i investeringsanalyser og i investeringsbeslutningsprosessen (PRI prinsipp 1).
I det følgende vil vi synliggjøre noen konkrete eksempler på
tiltak innenfor hvert av de tre utvalgte områdene som ledende
internasjonale finansinstitusjoner har iverksatt. Hovedpoenget er
å belyse tiltak som også vil kunne få betydning for hvilke forventninger som vil bli stilt til andre finansforetak i fremtiden.
ESG integrering i kredittvirksomhet
ESG faktorer kan innebære vesentlige risikoer og muligheter
som kan påvirke selskaper, aktiva og prosjekter på tvers av
bransjer. Ved vurdering av kredittrisiko og beslutninger om
långivning blir det derfor i økende grad viktig å hensynta disse
faktorene. Banker kan også indirekte bidra til negative eksternaliteter, for eksempel når de gir lån til prosjekter som genererer
betydelige klimagassutslipp eller har betydelig negativ påvirkning på biomangfold. En slik praksis vil også medføre en
betydelig omdømmerisiko for bankene.
Åpenhet om produkter og ansvarlig kunderådgivning
RBS er eksempel på en bank som prøver å endre kulturen i
banken gjennom å endre insentivstrukturen. Bakteppet for
initiativet er at banken har blitt kritisert for sin rolle som rådgiver, både i markedet for privatpersoner og små- og mellomstore bedrifter. RBS ønsker å bygge opp en bærekraftig bank
hvor kundeservice er et grunnelement og å endre kulturen for å
sikre at de ansatte er fokusert på de rette behovene til kundene.
Dette gjennomføres ved en endring i insentivordningene. De
ansatte blir ikke lenger belønnet på grunnlag av produktsalg,
men heller for å møte høy standard for kundeservice, samt deres
bidrag til økonomiske resultater for den samlede virksomheten.
Banker som integrerer ESG hensyn i sin kredittvirksomhet
bruker gjerne ekvatorprinsippene, et sett med retningslinjer
knyttet til miljømessige og sosiale risikoer ved prosjektfinansiering, i dette arbeidet. Hensikten med prinsippene er å unngå
og/eller minimere prosjekters negative påvirkning på miljø og
samfunn.
Et annet eksempel er SEB, som har tatt et bevisst valg om å
være åpne om fundingkostnadenes innvirkning på prising av
boliglån. Banken oppdaterer daglig sine fundingkostnader i en
graf som er tilgjengelig på SEB sine hjemmesider samt i
nettbank. SEB vurderer å innføre større åpenhet rundt andre
produkter på lik linje som det de har for boliglån.
☞
SIRK nr 2. 2013
9
V i r ks o m h e t s s t y ri n g
ESG integrering i investeringsvirksomhet
Som et ledd i å videreutvikle Société Générales tilnærming til
ESG integrering i sin investeringsvirksomhet jobber teamet for
Cross Asset Research med å tilby integrerte investeringsanbefalinger. Bakgrunnen for bankens integrerte investeringsanbefalinger er analyse av tradisjonelle finansielle drivere,
vesentlige ESG aspekter og makroøkonomiske drivere.
Société Générale benytter seg av en fire-stegs evalueringsmetode
for å bestemme kvaliteten på selskapers ESG arbeid og tilnærming. Først identifiseres vesentlige ESG aspekt og den
relative vektingen av E, S og G dimensjonen per sektor. Deretter
bestemmes relevante prestasjonskriterier per vesentlige aspekt.
Basert på dette utarbeides det en kvantitativ ESG rangering.
Denne rangeringen utarbeides på bakgrunn av selskapenes arbeid
og rapportering på de forhåndsbestemte prestasjonskriteriene.
Det fjerde punktet i evalueringen er tradisjonell finansiell
analyse. Prosessen resulterer i at det identifiseres «top picks»
innen de 26 sektorene som dekkes. Société Générale har utviklet
integrerte investeringsanbefalinger som et virkemiddel for å i
større grad kunne vektlegge ESG i sine investeringsanbefalinger.
ESG integrering i kredittvirksomhet
Nordea har utviklet to verktøy for å måle miljømessig- og
sosiopolitisk risiko for innvilgelse av kreditt til bedriftskunder,
henholdsvis Environmental Risk Assessment Tool (ERAT) og
Social and Political Risk Assessment Tool (SPRAT).
Nordea benytter seg av ERAT og SPRAT parallelt. Hensikten er
å analysere hvordan bedrifter håndterer miljø- og sosiopolitisk
risiko og krav knyttet til disse aspektene.
ERAT gir den enkelte bedrift en overordnet miljømessig risiko-
profil mens SPRAT bygger tre risikoprofiler knyttet til land/
geografisk eksponering, sektor og sosiopolitisk eksponering.
Hovedformålet med SPRAT er å kartlegge hvilke sosiopolitiske
risikoer hos den enkelte bedrift som potensielt kan påvirke
selskapets evne til å møte sine betalingsforpliktelser hos banken.
I tillegg er verktøyet laget for å bestemme sannsynlighet for at
finansiering av selskapet kan påføre Nordea skade, eksempelvis
gjennom forverret omdømme.
Resultatene fra ERAT og SPRAT inntas i den generelle kredittvurderingen av den enkelte bedrift. Det er obligatorisk å bruke
ERAT på bedrifter med kredittgrense fra 500 000 EUR. For
bedrifter med kredittgrense fra fem millioner euro og oppover er
også SPRAT obligatorisk. Verktøyene benyttes også for bedrifter
med lavere kredittgrense dersom bedriftens karakteristika
indikerer at bedriften kan være eksponert for betydelig miljøeller sosiopolitisk risiko.
Hvordan bør internrevisjonen forholde seg til forventninger og risiko knyttet til bærekraft i finansinstitusjoner?
Finanskrisen og etterfølgende skandaler har ført til at viktige
interessenter, som investorer og myndigheter, krever større
åpenhet og ansvarliggjøring av finansbransjens rolle for å skape
velfungerende markeder og stabile økonomiske rammebetingelser for selskaper og individer. Det er derfor aspekt knyttet til
kjernevirksomheten, ikke den operasjonelle driften, som er
kjernen i finansforetakenes samfunnsansvar. I denne sammenheng har internrevisjonen en viktig oppgave i å bidra til å
identifisere de mest vesentlige risikoområdene knyttet til ESG
integrering i kjernevirksomheten og tilhørende revisjonsprosjekter.
Environmental, social and governance
Småsparer Ivar Petter Røeggen vant i 2013 sin mangeårige kamp mot DNB i Høyesterett. DNB ble dømt til å
erstatte Røeggens tap etter at de hadde solgt ham et spareprodukt som han ble anbefalt å lånefinansiere kjøpet av.
3
The United Nations-supported Principles for Responsible Investment.
1
2
Foreningen gratulerer følgende medlemmer
med ny tittel siden forrige nummer av SIRK:
CIA
Anette Strømsnes, Det Norske Veritas AS
Thomas Hager, Statoil ASA
Annalena Baer, Deloitte AS
Cecelie Lyngnes, KPMG AS
CGAP
Knut Blikeng, Forsvarsdepartementet
CRMA
Annalena Baer, Deloitte AS
Tove Albrektsen, Ernst & Young AS
Berge Johan Graf von Rothenburg, Deutsche Bahn AG
10
SIRK nr 2. 2013
Dipl.I.R.
Merete Skjelsbæk, Kirkens Nødhjelp
Mette D. Storvestre, BKK AS
Lisa Jensen, BDO AS
Siw-Hilde Holmen, Norsk Tipping AS
Elisabeth Aaserud, Avinor AS
Leif Erik Dahl, Forsvarssjefen
Anita Kleppe Sivertsen, Statens vegvesen
Cecelie Lyngnes, KPMG AS
Øystein J. Hoff, PwC AS
Anders Tautra, PwC AS
Anders Tømmerås, Riksrevisjonen
Kristin Tengs Grundy, Arbeids- og velferdsdirektoratet
Daniel Heggelund, Riksrevisjonen
Izabella Salicath, AbbVie AS
Vi vokser!
Deloitte er et av de ledende internrevisjonsmiljøene i Norge. Vi bidrar
til å skape resultater for våre kunder gjennom en strategisk tilnærming
til utfordringer, men også gjennom praktiske handlinger og gjennomføringsevne.
Vi har i dag over 100 rådgivere som leverer tjenester innenfor internrevisjon, strategisk og taktisk risikostyring, intern kontroll, corporate
governance, compliance, informasjonssikkerhet og granskning.
Deloitte er verdens største leverandør av profesjonelle tjenester med
over 200.000 medarbeidere i over 150 land, hvorav ca. 1.200 i Norge.
Ønsker du å vite mer om våre tjenester eller være del av et dynamisk
og innovativt miljø, kontakt oss gjerne for en hyggelig samtale.
Stein Ove Songstad, Partner
ssongstad@deloitte.no
Tlf. 915 56 161
Eivind Skaug, Partner
eskaug@deloitte.no
Tlf. 915 18 997
Helene Raa Bamrud, Partner
hbamrud@deloitte.no
Tlf. 974 23 678
© 2013 Deloitte AS
SIRK nr 2. 2013
11
V i r ks o m h e t s s t y ri n g
Changing Banking for Good
Av Martin Stevens, Gjensidige Forsikring
Bakgrunn
I juni 2013 ga det britiske parlamentet ut en rapport om banketikk under tittelen «Changing Banking for Good». Denne tittelen har en dobbel betydning, og viser både til at bankvesenet
må forandres til det bedre og til at det må forandres for godt.1
Rapporten ble utarbeidet på bakgrunn av en alvorlig og allmenn svikt i tilliten til det britiske bankvesenet etter bankkrisen i 2008. Denne krisen krevde statlige utbetalinger på
ufattelige NOK 1200 mrd. Banklederne slapp unna ansvaret
for fiaskoen, og fortsatte til og med å være generøst belønnet.
Dette skurret mot den alminnelige rettferdighetsfølelsen.
På toppen av dette ble det påvist at banker hadde lurt sine
kunder til å kjøpe låneforsikring de ikke hadde bruk for, og
derivater med risikoer som de ikke forsto. Senere er det blitt
kjent at storbankene over mange år har manipulert fastsettelsen
av markedsrenten LIBOR, samt bistått kriminelle og sanksjonsbelastede regimer med å hvitvaske sine skitne penger.
I rapporten prøver kommisjonen å identifisere hva som hindret
de mange som så eller burde ha sett farene, fra å si ifra. Under
har jeg valgt ut seks av temaene kommisjonen har identifisert,
og presenterer hva den mener kan og bør gjøres for å hindre at
denne situasjonen gjentar seg.
I håp om at bankvesenet skal lære av sine feil
«Banking history is littered with examples of manipulative
conduct driven by misaligned incentives, of bank failures
born of reckless, hubristic expansion and of unsustainable
asset price bubbles cheered on by a consensus of self-interest or selfdelusion. An important lesson of history is that
bankers, regulators and politicians alike repeatedly fail to
learn the lessons of history: this time, they say, it is different. Had the warnings of past failures been heeded, this
Commission may not have been necessary.»
todelt. I første omgang kunne de si at ingen hadde meldt fra til
dem om disse problemene. Dette var delvis forklart med komplekse organisasjoner og en kultur om kun å gi gode nyheter
oppover. Hvis presset likevel var for stort, ble den andre unnskyldningen brukt: «Alle var med på den beslutningen». På
denne måten var det ikke mulig å holde noen bestemt person
ansvarlig.
Den foreslåtte løsningen
Kommisjonen foreslår å opprette et opplegg der ansvar tildeles
bestemte personer for hver vesentlig forretningsaktivitet og
risiko. På den måten vil man opprette et system der det er klart
hvem som har apekatten (som man sier i London) hvis det går
galt. Er oppførselen i forbindelse med arbeidsutførelsen for
dårlig, er riset bak speilet at man skal kunne miste sin ”lisens”
til å være ansatt i bankvesenet i Storbritannia.
2. Svikt i kontrollansvar
De fleste banker opererte med en modell med tre forsvarslinjer
for sin internkontroll. Rapporten kritiserer ikke selve modellen,
men peker på tre svakheter ved hvordan modellen har blitt
praktisert.
For det første: Dersom Compliance tok på seg en rolle der de
godkjente alle nye forretningstyper, kunne første linjen fraskrive seg sitt ansvar for oppfølging av lover og forskrifter.
For det andre: Risikostyring og Compliance har hatt for lav
status, slik at de ikke har blitt hørt som motvekt til sterke
krefter på forretningssiden. Funksjonene kunne også være
fragmenterte, med noe ansvar lokalt og noe sentralt.
For det tredje: Hele organisasjonen har vært preget av at
kritikk tolkes som tegn på manglende solidaritet.
Svikt i kontrollansvar
Første forsvarslinje
Andre forsvarslinje
Linjeledelse
Internkontroll
1. Ansvarsfraskrivelse
Den amerikanske artisten Shaggy hadde en hit med sangen
«It wasn’t me». I sangen holder han fast på sin uskyld og forlanger å bli trodd, på tross av åpenbare bevis for at han har
bedratt sin kjæreste med andre kvinner. Dette kan minne om
bankenes holdning etter avsløringene i kjølvannet av krisen.
Da toppledelsen ble konfrontert med at de måtte ha skjønt og
godtatt disse store risikoer og uregelmessigheter, var forsvaret
1
Etterlevelse
(Compliance)
1
Annet
SIRK nr 2. 2013
Tredje forsvarslinje
1 Compliance tar på seg en første linje rolle.
Risikostyring og Compliance har for lav status
2 og er fragmentert
3 Kulturproblemer
Modell - ECIIA «Guidance on the 8th EU Company Law Directive»
Rapporten kan hentes ned gratis fra http://www.parliament.uk/business/committees/committees-a-z/joint-select/
professional-standards-in-the-banking-industry/news/changing-banking-for-good-report/
12
2
Ekstern revisjon
Risikostyring
Internrevisjon
Parlamentsrapportens sammendrag, punkt 9
V i r ks o m h e t s s t y ri n g
Den foreslåtte løsningen
Kommisjonen foreslår at rollene til andrelinjen må styrkes og
rendyrkes. For å sikre «standing» til andrelinjefunksjonens
ledere skal de beskyttes gjennom rapportering til uavhengige
styremedlemmer. På denne måten håper man at det blir sikkerhetsventiler både i andre- og tredjelinjer, som vil varsle når fare
er på ferde.
3. Uhensiktsmessig organisering
De fleste bankvirksomheter ble av kommisjonen beskrevet som
et forbund av småkongedømmer, der overblikk og strategisk
kontroll var så godt som umulig. Utover dette var den ansattes
lojalitet til teamet (motivert av ønsket om å beholde jobb og
bonus) sterkere enn sin lojalitet til firmaet.
Den foreslåtte løsningen
Kommisjonen håper at dette vil løses gjennom forslaget i det
første punktet ovenfor om å allokere et unikt og personlig
ansvar, sammen med forslaget i det andre punktet om å styrke
kontrollfunksjoner i andre og tredje linje.
4. Feil insentiver
Hensynet til at forretningene var i kundens og selskapets beste
interesse ble svekket av fokuset på kortsiktige mål, herunder
spesielt salgsmål og egenkapitalavkastning, ved fastsettelse av
lønn og godtgjørelse.
Den foreslåtte løsningen
Kommisjonen fremhever at det er ønskelig at banker utvikler
en kultur der man er åpen for å utfordre beslutninger og
strategien uten å bli stemplet som illojal. De uavhengige styremedlemmene har her en viktig rolle å spille, som korreksjon til
gruppetenkning og flokkmentalitet.
Avslutning
Kommisjonen er ikke udelt optimistisk hva gjelder om at fremtiden blir bedre enn fortiden, jamfør sitatet i tekstboksen. Mye
av løsningen ligger i å endre holdninger til det bedre, og det er
ikke noe som vil skje over natten. Og dette arbeidet kan kreve
at man må takke nei til «gode» forretninger på kort sikt.
Gevinsten ligger i at man overlever på lang sikt, men det vil
være uvant å måtte prioritere slik.
Uavhengige styremedlemmer og compliance-, risikostyringsog internrevisjonsfunksjoner med høy faglig integritet har en
viktig rolle å spille for å sørge for at firmaets langsiktige overlevelse ikke settes på spill i jakten på kortsiktige gevinster.
Forretningsledelse må tåle å bli utfordret. Dette kan, etter min
mening, innebære at de nevnte funksjoner ikke vil være de
mest populære i virksomheten, men til gjengjeld vil de forhåpentligvis oppnå respekt over tid.
Den foreslåtte løsningen
Kommisjonens hovedtiltak for å få et sunnere fokus og mer
langsiktig tenkning, er å låse bonusutbetalinger opp til ti år,
samtidig som uavhengige styremedlemmer ikke skal motta
noen lønn eller annen godtgjørelse som er resultatbasert.
5. Manglende etterlevelse av etiske verdier
Uetiske handlinger ble ikke stoppet av de fine etiske retningslinjer som organisasjonene opererte under. Delvis var dette et
bevisst valg fordi insentivene om å tjene penger på kort sikt var
sterkere. Varslingskanalene fungerte ikke som de skulle, på
grunn av at det å si fra ble oppfattet av de ansatte som karriereselvmord.
Den foreslåtte løsningen
Kommisjonen mener at varslere må sikres en større trygghet
ved å sørge for beskyttelse fra et uavhengig styremedlem.
Generelt ønsker man å oppnå en større samstemmighet i
kulturen fra toppen til midten og bunnen av organisasjonen,
men man mangler konkrete anbefalinger på hvordan man skal
få dette til. Kommisjonen erkjenner at det å endre kultur er
vanskelig og vil ta tid. En liten, men interessant, detalj er
forslaget om å øke kvinneandelen i meglerrommene for å få
bukt med den ekstremt macho-kulturen som ellers råder.
6. For dårlig risikofokus
Banken hadde ekstrem tro på matematiske modeller skulle gi
det hele og sanne bildet av risikoeksponeringen. I virkeligheten
var det store og viktige risikoer (eksempelvis gearing- og
likviditetsrisiko) som ikke ble ivaretatt i disse modellene. Slike
risikoer holdt på å ta knekken på flere banker. Med andre ord
så man ikke skogen for bare trær.
SIRK nr 2. 2013
13
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
SIRK-redaksjonens favorittpublikasjoner
i 2013
CEB Risk Intelligence Quarterly
Publikasjonen utgis av Legal, Risk & Compliance Practice i
CEB. Den første utgaven ser blant annet nærmere på top 5
fremvoksende risikoer, compliance risiko i vekstøkonomier
(emerging markets). Her er det konkrete eksempler, tall og
grafer som gir gode argumenter i interne diskusjoner.
http://ceb.uberflip.com/i/192608
PwC Risk Resilience serie
PwCs US’risk resilience rapporter tar for seg ulike dimensjoner av risikostyring. Her finner man blant annet modenhetsmodeller for å vurdere egen risikostyring, og flere av artiklene
har «5 questions for the Board» som enhver internrevisor, risk
manager eller compliance officer burde tenke gjennom.
www.pwc.com/resilience
Deloitte Audit Committee Resource Guide
IIA Practice Guidance Sustainability
Usikker på hvordan du skal revidere virksomhetens satsning på
samfunnsansvar? Da gir IIAs practice guide deg gode tips og
triks.
14
SIRK nr 2. 2013
Mange internrevisorer sitter som sekretær i revisjonsutvalg.
Da er Deloitte US’ oppdaterte versjon av god praksis for
revisjonsutvalg god å ha. Veiledningen inneholder flere ulike
problemstillinger og gjeldende reguleringer basert på det
amerikanske lovverket, men er likevel interessant for norske
lesere. www.foretaksstyring.no
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
Intern kontroll – et integrert rammeverk,
COSO-rapporten 2013
Intervju med Deanna Sullivan
Av Ellen Brataas, generalsekretær i NIRF
I de 20 årene som har gått siden COSO (Committee of
Sponsoring Organizations of the Treadway Commission)
gav ut «Intern kontroll – et integrert rammeverk,
COSO-rapporten», har forretningsmiljø og rammebetingelser endret seg drastisk. Denne våren kom
COSO ut med en oppdatert utgave av rammeverket.
Tidligere brukere av COSO-rapporten vil finne mye kjent i
den oppdaterte utgaven. Definisjon av intern kontroll og de
fem komponentene1 er de samme som i forrige versjon.
Kravet om å ta hensyn til alle de fem komponentene når
man skal vurdere effektiviteten i et internkontrollsystem, er
i det store og hele uendret.
Den oppdaterte utgaven beskriver 17 prinsipper som knyttes
til de fem komponentene. Prinsippene skal tydeliggjøre
hvordan komponentene skal vurderes, men gir samtidig
mulighet for at brukerne selv finner den beste måten å gjøre
det på.
Målsettinger knyttet til finansiell rapportering har blitt
utvidet til å omfatte andre viktige former for rapportering,
herunder ikke-finansiell og intern rapportering.
Rammeverket reflekterer også de siste tiårenes mange
endringer i forretningsmiljø og rammebetingelser, som:
• forventninger til virksomhetsstyring
• globalisering av markeder og virksomheter
• endringer og større kompleksitet i forretningslivet
(herunder outsourcing)
• krav fra myndigheter og andre standarder
• kompetanse og ansvarlighet
• ny teknologi
• forebygging og avdekking av misligheter
Ved utgangen av 2014 vil ikke lenger rammeverket fra 1992
være gyldig, og det forutsettes at alle som anvender COSOrapporten har konvertert til den oppdaterte utgaven innen
den tid. Om det er en stor jobb å konvertere spørs på hvor
godt systemet som er etablert for intern kontroll fungerer i
dag. Til hjelp for implementering og oppfølging har COSO
laget et «Illustrative Tools», Volume II.
På tampen av oktober var NIRF så heldige å få Deanna
Sullivan fra IIA til Oslo for å holde et todagers kurs:
«COSO Internal Control – Integrated Framework: Turning
Lecturer: Deanna Sullivan, CIA,
CRMA, CPA, CGMA, CFE
Deanna Sullivan has a
diverse background ranging
from auditing and accounting to consulting and
training. She is an
experienced facilitator and
motivational speaker.
Formerly a partner with
Arthur Andersen’s Risk
Consulting Practice, Deanna
led the development effort
for the firm’s Business Self-Assessment methodology,
Quality Assurance Review methodology and Global
Best Practices for Internal Audit. She is an active
member of the Institute of Internal Auditors (IIA) and
was Chairman of the IIA’s 2006 International
Conference held in Houston, Texas. Deanna delivers a
highly-rated ethics course certified by the Texas State
Board. She is a frequent speaker at conferences and
events around the globe and has been a top rated
speaker at the last six IIA International Conferences.
Principles Into Positive Action». Tittelen er hentet fra
tidligere styreleder i COSO, Larry Rittenberg, sin bok.
Kurset ble avholdt på BI slik at studentene på Flemming
Ruuds Master of Management-program også fikk mulighet
til å delta. På to intensive dager gjennomgikk vi de 17
prinsippene og fikk de demonstrert i praksis gjennom en
kombinasjon av engasjerte forelesninger og gruppeoppgaver. Samtidig benyttet jeg anledningen til å spørre Deanna
nærmere om enkelte detaljer i rammeverket, hvilke fordeler
det nye rammeverket bringer og om hun har noen tips til
internrevisorer:
Ellen: In your opinion, what is the most value given by the
changes and why is this so?
☞
SIRK nr 2. 2013
15
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
Kilde: Privat
Deanna: First I believe that just by releasing a new version
of COSO, the committee has called attention to the framework and caused us to consider the components of the
framework and its function. After 21
years, people tend to take things for
granted if they haven't changed or
evolved. So just adding a new focus
to a great framework is worthwhile
in itself.
Ellen: Which changes do you feel
are most important?
“Management
demonstrates a
commitment to
ethics and integrity.”
Deanna: I think the addition of the 17 principles provides
for a more detailed, comprehensive approach to evaluating
an organization's internal controls. The wording of the
principles, e.g. “Management demonstrates a commitment
to ethics and integrity”, makes it very clear that management must take ownership for each of the principles. I also
like the addition of the fraud risk principle and evaluating
potential pressures or incentives within the organization
which could promote fraud.
Ellen: In what way has the COSO Framework become a
better tool for implementing and evaluating internal
control?
Deanna: I like the change from factors to principles and the
assessment tool. The principles are written so it is very clear
16
SIRK nr 2. 2013
what the organization should be doing to have an effective
system of internal controls and what management's
responsibilities are. Also with the previous version, people
struggled with how to actually implement the concepts. The assessment
templates in Volume II provide specific
examples on how to use the framework
at various levels within the entity and
how to handle deficiencies. The prepopulated template which is available
makes it very easy for organizations to
immediately begin using the new
framework.
Ellen: In the seminar you mentioned the previous version
was read and put on a shelf because there were no incentives for implementing and monitoring. In what way does
this new COSO Framework contribute or give incentives to
the use of the framework, if any?
Deanna: Management will always push back on "implementing" things without having a strong stick or a tasty
carrot. Implementing means resources, time, people and
money so the pressure or desire needs to be great. So we do
have to be prepared with a marketing pitch to demonstrate
where other organizations have suffered because they didn't
address one or more of the 17 principles. Management has
to want to improve and we have to be able to articulate the
value proposition. You can start slow; try the framework on
one process or one entity. Just getting management up to
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
speed on the principles and having them think about the
concepts, is a step in the right direction.
Ellen: In what way does the updated Framework present
leadership opportunities for internal auditors?
Deanna: This is a great opportunity for internal audit to
take the lead in educating the organization on the new
framework. The organization can take a fresh look at the
five components and ensure that they have adequately
implemented them. Internal audit is perfectly positioned to
make the board and the audit committee, as well as management, aware of the new framework and the opportunities for
enhancing the organization's system of internal controls in
the achievement of business objectives.
Ellen: Do you have any tip to internal auditors on how to
get started using the Framework?
Deanna: Internal audit can use the framework to perform
their audits, even if management hasn't implemented
COSO. The five components and 17 principles provide a
good roadmap for evaluating a process or an entity. And the
framework is a great tool for determining the root cause of
an issue within an area.
Ellen: According to Larry Rittenberg’s book: "Although it
does not happen now, I believe that future reporting will
require more transparency and users will be interested in
the amount of risk that an organization accepts. It may take
more than a decade, but the
time may come when the
amount of risk and the risk
appetite of the organization
will be communicated in
external reports." What is
your perspective on this?
Kilde: Privat
”Internal audit can use the
framework to perform their
audits, even if management
hasn't implemented COSO.”
Deanna: I believe organizations will always push back
on sharing their risk assessments. The press tends to take
this information and distort it. I gave the example of the
hospital who determined through their risk assessment
process that they could save more patients in a disaster if
they moved the healthiest patients first. The press was quick
to publish that the hospital was leaving the elderly and
disabled to die. The hospital was trying to save more lives
and the press turned the information around to make them
look as if they were deliberately
destroying patients. So organizations will never be keen on sharing
some details of their risk assessment. Will this be a requirement in
the future? I couldn't say. I'm not
very good with a crystal ball.
Ellen: And lastly; this seminar
emphasizes “turning principle into
positive action”. Do you believe we are capable after the
seminar…?
Deanna: This seminar and Larry Rittenberg’s book focus
on taking theory and making it reality. Turn the 17 COSO
principles into action within the organization. Hopefully
everyone left the seminar motivated to take a stab at making
this a reality within their organizations.
1
Kontrollkomponenter: Kontrollmiljø, Risikovurdering, Kontrollaktiviteter,
Informasjon og kommunikasjon, Oppfølging
SIRK nr 2. 2013
17
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
PwCs 2013 seminar om antikorrupsjon:
Hva er myndighetenes forventninger til norske
virksomheters arbeid med antikorrupsjon?
Av Janne Britt Saltkjel, Compliance
Officer i Multiconsult
PwCs årlige seminar om antikorrupsjon gikk 13. juni av stabelen for 6.
gang. Tema i år var myndighetens forventninger til virksomheters arbeid
med antikorrupsjon. Arrangement
var i år lagt opp som et debattseminar, med tre panel bestående av
generalsekretær Guro Slettemark i
Transparency International, Group
Compliance Officer Carine Smith
Ihenacho i Statoil, Compliance officer
Janne Britt Saltkjel i Multiconsult,
førstestatsadvokat Arnt Angell fra
Økokrim og forsker Tina Søreide
fra Christian Michelsens Institutt/
Universitetet i Bergen som deltakere. Debatten ble ledet av
Helge Kvamme, daværende og
mangeårig partner i PwC Norges
granskningsenhet. I tillegg holdt
Glenn Ware fra PwC i Washington
og Keith McCarthy fra PwC UK et
innlegg om retningslinjer fra myndighetene i hhv USA og UK og de
erfaringene man hadde gjort seg.
”Det nytter ikke med
verdens strengeste
lover om ikke de
håndheves.”
- Helge Kvamme, korrupsjonsjeger og tidligere partner i PwC /
partner i Selmer.
Helge Kvamme med Arnt Angell fra Økokrim, Tina Søreide fra Christian Michelsens
Institutt/UiB og Carina Smith Ihenacho fra Statoil.
Fotograf: Tania W. Leporowski
Blant de over 60 deltakerne var representanter fra Aker Solutions, Statoil,
PGS, Wilhelmsen Ship Service,
NORAD, Oljefondet, DNB m.fl.
Ingen av de inviterte representantene
fra Stortinget eller regjeringen kunne
stille, noe som i og for seg understreket temaets aktualitet; behovet for
proaktive tiltak fra myndighetene for
bedre samarbeid med virksomhetene i
kampen mot korrupsjon.
Det ble i tillegg debattert hva som
kjennetegner et godt antikorrupsjonsprogram og hvordan dette kan tillegges
vekt i en eventuell straffe- eller sanksjonsprosess.
Kvamme innledet med at selv
«verdens strengeste korrupsjonslov» er
nytteløs om den ikke håndheves og at
18
SIRK nr 2. 2013
det er uklart hva norske myndigheter
forventer av virksomhetene. Britiske
og amerikanske myndigheter har laget
retningslinjer for hvordan virksomheter
bør arbeide med antikorrupsjon,
herunder hvordan håndtere konkrete
situasjoner der man er eksponert for
korrupsjonsrisiko, samt etablert
organer for å håndtere henvendelser fra
virksomhetene. Liknende tiltak bør
vurderes i Norge, men er p.t. ikke på
agendaen til norske myndigheter.
Både Multiconsult og Statoil og andre
virksomheter støtter seg derfor til retningslinjer fra USA og Storbritannia,
som gir en pragmatisk og praktisk
tilnærming til håndtering av konkrete
korrupsjonsforsøk, men uten å vite om
dette kan være i konflikt med forventningene til norske myndigheter.
Det foreligger altså ikke signaler eller
anbefalinger fra norske myndigheter
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
Risikovurderinger, integritetsundersøkelser og bakgrunnssjekker er altså helt klart et arbeid som flere virksomheter
må fortsette å prioritere. Prinsipper og rutiner for dette må
være nedfelt i skriftlige styringsdokumenter – policyer og
prosedyrer – og operasjonalisert gjennom opplæring og
bevisstgjøring av medarbeidere, og fulgt opp og monitorert
av Compliance-funksjoner.
Når det gjelder straffeansvar, utfordrer foretaksstraff norsk
rettspraksis, som baserer seg på å plassere skyld og straff på
personer. Tina Søreide støttet av Arnt Angell fremholdt at i
verste fall kan alle som har en kontrollfunksjon som skal
forhindre korrupsjon, bli straffeforfulgt dersom man ikke
griper inn. Men til tross for en uttalt «nulltoleranse» mot
korrupsjon, er det enda ingen utstrakt bruk av foretaksstraff
eller straffeansvar for ledelse eller styremedlemmer i
Norge. Manglende retningslinjer, straffesaker og domfellelser i de nordiske landene har medført at det i noen
antikorrupsjonsmiljøer utenlands hersker en oppfatning
om at nordiske myndigheter er for passive og verner om
nordiske virksomheter. En slik «Nordic conspiracy» kan
representere en omdømmerisiko for norsk næringsliv.
Denne bør tas på alvor av myndighetene i arbeidet med
antikorrupsjon fremover.
Helge Kvamme avrundet debattseminaret med en erkjennelse av at nulltoleranse «er en drøm»; et godt antikorrupsjonsprogram vil generere saker, men nettopp det å avdekke
disse og håndtere dem er sentralt for antikorrupsjonsarbeidet; det behøves mer innsats fra myndighetene enn
bare verdens strengeste lover.
Innføring i
internrevisjon
På denne dagen vil du få en innføring i internrevisors roller og ansvar, begrepsavklaringer og
definisjoner, samt hvilke etiske regler og hvilke
krav som ligger i internrevisjonens standarder.
Formål med kurset:
Gi deltagerne de nødvendige grunnkunnskaper i
internrevisjon gjennom introduksjon til internrevisjonens rammeverk, spesielt rettet mot de
obligatoriske delene. Innholdet i kurset er nødvendig
basiskunnskaper for øvrige kurs.
www.iia.no
om hva som er et «godt nok» antikorrupsjonsprogram, men
internasjonalt har en beste praksis utviklet seg. Både
Transparency International og virksomhetene påpekte at det
må være forankret i toppledelsen og tydelig kommunisert ut
i organisasjonen. I det daglige arbeidet er risikovurderinger
og integritetsundersøkelser av tredjeparter kritisk viktig.
I følge Glenn Ware fra PwC Washington kan hele 80 % av
korrupsjonstilfellene tilskrives virksomhetens tredjeparter.
Statoil har ti heltidsansatte som kun jobber med IDD
(Integrity Due Dilligence) av tredjeparter, både leverandører og samarbeidspartnere – og da ser de kun på et utvalg
av disse, basert på risikovurdering. Mindre selskaper har
ikke mulighet til å mobilisere like store ressurser.
I Multiconsult, som har 1.450 ansatte mot Statoils 30.000,
utføres integritetsundersøkelser av tredjeparter av
Compliance Officer i samarbeid med ansatte fra linjen som
besitter erfaring og spesialkunnskap om enkelte aktører,
bransjer og regioner. De interne integritetsundersøkelsene
suppleres med ekstern bistand dersom det er behov for
ytterligere undersøkelser, da typisk tredjeparter i land med
høy korrupsjonsrisiko. Ut fra spørsmål fra salen var håndtering av tredjeparter, og da særlig i land med korrupsjon og
såkalte facilitation payments («tilretteleggingsbetalinger»)
som en del av forretningskulturen, et tema som opptok flere
organisasjoner.
Kurset dekker følgende:
■ Internrevisjon – roller og ansvar, definisjoner og
avgrensninger, eksempler
■ Governance: Hva ligger i begrepet og hvorfor er
dette relevant for oss
■ Internkontroll
■ Risikostyring
■ De etiske reglene
■ De faglige standardene
■ Veien videre; utdanning, diplomering og sertifisering
Hvem kurset er beregnet på:
Nyutdannede, personer som er nye i internrevisjonen,
internrevisorer som ønsker oppfriskning av basiskunnskaper, ansatte i stabsfunksjoner eller andre som
ønsker mer informasjon om hvilken nytteverdi internrevisjonen kan bidra med.
Krav til forkunnskaper:
Ingen.
Vedlikeholdspoeng (CPE):
Gjennomføring av kurset gir 8 CPE-poeng for CIA,
CCSA, CGAP, CFSA, CRMA og Diplomert Intern
Revisor.
Pris:
Medlemmer kr 3 500
Ikke-medlemmer kr 3 800
Tid: 5. februar 2014, 09.00 – 17.00
Sted: Oslo
Forelesere:
Ellen Brataas (CIA, CRMA, CISA), generalsekretær i
NIRF
Karl-Ludvig Mauland (siviløkonom), partner BDO
Påmelding:
www.iia.no eller telefon 932 37 912
SIRK nr 2. 2013
19
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
Risikostyring har aldri vært viktigere
Av: Are Jansrud (Partner) Eirik Øsebak (Director) og
Magnus Digernes (Manager), KPMG
En internasjonal undersøkelse i regi av KPMG forteller
oss at det vil være et økt fokus på risikostyring i tiden
fremover. Men for å lykkes med risikostyring er det viktig
å synliggjøre verdien. Dette er en av hovedutfordringene
med risikostyring som fremkommer i undersøkelsen.
Om undersøkelsen
Economist Intelligence Unit har på vegne av KPMG gjennomført en undersøkelse blant 1092 direktører over hele verden.
28 prosent av dem er adm. direktører eller konsernsjefer,
18 prosent er økonomidirektører, syv prosent er styremedlemmer og de øvrige er direktører innen drift, risikostyring, juridisk, IT, compliance eller internrevisjon.
Hovedtrekk i resultatene
De viktigste funnene fra undersøkelsen var som følger:
1. Risikostyring blir sett på som et viktig bidrag til virksomheten, men organisasjonene trenger å forbedre hvordan de
måler verdien av risikostyringen
2. Ledere sliter med å fastsette et helhetlig risikobilde
3. Få virksomheter har formulert en risikoappetitt
4. Regulatorisk press og endringer i regelverk er den typen
hendelse som de fleste ser på som den viktigste trusselen
5. Linjeledelsen er bedre til å identifisere og vurdere risiko enn
det funksjoner som risk management, compliance og internrevisjon er
6. Mangel på menneskelige ressurser og kompetanse hindrer
samhandling mellom risiko- og kontrollfunksjoner
7. Svake insentiver hindrer risikobasert beslutningstaking
Risikostyring er strategisk viktig
Undersøkelsen viser at risikostyring spiller en strategisk viktig
rolle for virksomheten. 47 % sier at risikostyring er avgjørende
for å nå virksomhetens mål. Undersøkelsen spør ikke om risikostyring har blitt viktigere enn før, men avdekker at investeringer i risikostyring har vokst i prosent av totale inntekter de
siste tre årene. Hele 65 % oppgir at denne andelen har steget,
og av disse svarer 18 % at den har vokst betydelig.
Ledere sliter med å vurdere risiko på tvers av virksomheten
Toppledere vurderer risikostyring å være svært viktig. Flertallet
av respondentene sier at risikovurderinger er inkludert i den
20
SIRK nr 2. 2013
strategiske planleggingen minst en gang årlig. En viktig del av
helhetlig risikostyring er å aggregere risiko på tvers av virksomheten, men 20 % av ledere oppgir at de ikke har etablert
noen prosess for aggregering av risikoer.
Source: Expectations of Risk Management
Outpacing Capabilities – It’s Time For Action, 2013
The business has a risk and
control self assessment
process in place
There is no
process in
place to
aggregate
risks
The risk management
function performs a
bottom-up risk assessment
process at least annually
The risk assessments of all
risk and control functions
are aligned to ensure a
complete risk profil
Illustrasjon: KPMG
For komplekse virksomheter er det avgjørende å ha en god
tilnærming til nedenfra og opp-risikovurdering for fullt ut å
forstå de operasjonelle risikoene. Nesten halvparten av ledere
sier at virksomheten utfører en nedenfra og opp-risikovurderingsprosess minst en gang årlig. Videre sier 38 % at virksomheten har en prosess for å gjøre en egenevaluering av sine
risikoer. Dette er et godt grep hvis virksomheten ønsker at de
ansatte skal få eierskap til risikoene. Etter å ha utført en
nedenfra og opp-vurdering, er neste skritt å sikre at alle risikovurderinger er justert for å lage en helhetlig risikoprofil for
virksomheten. Men bare 34 % av respondentene gjør dette.
Undersøkelsen illustrerer avstanden mellom teori og praksis.
Få virksomheter definerer sin risikoappetitt
Et overveldende flertall (86 %) av de spurte sa at risikostyring
er viktig i beslutninger knyttet til strategisk planlegging.
Virksomheter vil ha problemer med å utvikle en strategisk plan
uten å ha definert sin risikoappetitt, herunder om risikoeksponeringen i virksomheten er i samsvar med ønsket avkastningsnivå. Selv om mange toppledere tror de har intuitiv kjennskap
til virksomhetens risikoappetitt, er det en utfordring å få en
felles forståelse blant ledere og eventuelt styre om hva
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
virksomhetenes risikoappetitt faktisk er. Resultatene fra undersøkelsen viser at mindre enn en femtedel (19 %) av virksomhetene har fastsatt og kommunisert risikoappetitten for hele
virksomheten. 22 % sier at dette er under utvikling. Videre sier
om lag 40 % at en formell risikoappetitt er etablert, men ikke
kommunisert i hele virksomheten. 19 % sier dette ikke har blitt
utviklet i det hele tatt.
Source: Expectations of Risk Management
Outpacing Capabilities – It’s Time For Action, 2013
Fully developed and
implemented
Developed but has not been
communicated or vetted to the
organization
Not at all
74 % og 73 %), mens tredjelinjen (internrevisjon) ble vurdert
som effektiv av henholdsvis 67 % og 66 % av respondentene.
Dette samsvarer med den ønskede dynamikken i et linjeforsvar
– der førstelinjen har hovedansvaret for risikostyringen i virksomheten. Ideelt sett bør alle tre linjene integreres effektivt
med hverandre. Utfordringen er å sikre at det ikke finnes store
mangler i risikohåndteringen, eller ineffektivitet ved duplisert
innsats. Dette krever klare definisjoner av roller og ansvar av
de forskjellige funksjonene, samt tverrfaglig opplæring i
risikostyring for alle tre forsvarslinjer.
Source: Expectations of Risk Management
Outpacing Capabilities – It’s Time For Action, 2013
Very effective
Somewhat
effective
Slightly
ineffective
Very ineffective/
Not at all effective Not applicable
First line of
defense:
Identifying /
assesing risk
Communicated among the risk
management function but
not within the business
In process of
development
First line of
defense:
Managing risk
Illustrasjon: KPMG
Regulatorisk press blir sett på som den største trusselen mot
virksomhetene
Det var nesten uunngåelig at myndigheter rundt om i verden
ville stramme inn regelverkene etter finanskrisen. Det er ikke
kun finansnæringen som har merket regulatoriske innstramminger – også energisektoren og virksomheter i «andre næringer», som forbruksvare, bygg og kjemikalier, har merket det
regulatoriske trykket. Vi ser heller ikke noen signifikant forskjell mellom regionene. Regulatorisk press ble ansett som
nesten like stor trussel for de fleste næringer i Asia, som det
var for dem i Europa og Nord-Amerika.
Second line
of defense:
Identifying /
assessing risk
Second line
of defense:
Managing risk
Third line of
defense:
Identifying /
assessing risk
Third line of
defense:
Managing risk
Illustrasjon: KPMG
Linjen identifiserer risiko bedre enn andre- og tredjelinjefunksjoner
Det er vanlig å inndele virksomhetens system for risikostyring
og internkontroll i «tre forsvarslinjer». Her representerer
førstelinjen linjeledelsen i virksomheten – de som tar og eier
risikoen. Andrelinjen utgjøres av sentrale funksjoner som
compliance og risikostyring, med ansvaret for overvåking av
risiko samt eierskap til prosesser og verktøy for risikostyring.
Den tredje forsvarslinjen er ansvarlig for uavhengige vurderinger av virksomhetens system for risikostyring og internkontroll, og utgjøres ofte av internrevisjonen.
Mangel på menneskelige ressurser hindrer god risikostyring
Det er ingen tvil om at tekniske hjelpemidler og systemer
spiller en avgjørende rolle i å samle og analysere data for å
aggregere risiko, slik at ledere kan ta velinformerte beslutninger. Økende evne til å analysere store mengder data og kontinuerlig oppdatere ledere på interne og eksterne trender bør gi et
mer helhetlig bilde av risikoene i virksomheten. Derfor er det
ikke overraskende at 74 % av respondentene oppgir teknologi
som viktig eller svært viktig for å integrere risikostyring i
virksomheten. Teknologien er spesielt viktig for å integrere
risikoinformasjon på tvers av funksjoner.
Respondentene i undersøkelsen ga generelt sine egne virksomheter gode skussmål for sin evne til å identifisere, vurdere og
håndtere risiko i sammenheng med de «tre forsvarslinjer».
Den første linjen i forsvaret (linjeledelsen) blir regnet som den
sterkeste, hvor 78 % av respondentene sier denne funksjonen
er effektiv når det gjelder å vurdere risiko og 75 % av respondentene sier denne funksjonen er effektiv i håndtering av
risiko. For andre forsvarslinje (blant annet risikostyrings- og
compliance-funksjoner) falt vurderingen noe (til henholdsvis
Men undersøkelsen viser også en skepsis til tekniske løsninger;
26 % av respondentene sa at teknologi er heller marginalt
viktig eller ikke viktig i det hele tatt i risikostyringen. Deres
mangel på entusiasme deles av nesten en tredjedel av topplederne. Dette forteller oss at teknologi er viktig, men at teknologi alene ikke er løsningen. Menneskelige faktorer er avgjørende dersom selskapene skal håndtere kompleksiteten i risikostyringen. At 42 % av de spurte oppgir mangel på kompetanse
SIRK nr 2. 2013
21
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
som den viktigste hindringen for samhandling mellom risikoog kontrollfunksjoner i virksomheten kan gi grunn til
bekymring.
Lack of human
resources/expertise
Complexity of
convergence process
There are more
important priorities
Potential benefits
are not clear
Få tviler på at investeringer i risikostyring er verdifullt hvis
dette reduserer usikkerheten for å oppnå bedriftens mål. Men
unøyaktige eller mangelfulle målinger er en utfordring. For
bedre å kunne vurdere gevinster fra risikostyring bør virksomheter sikre etableringen av kvalitative og kvantitative KPI’er
med tydelig kobling til virksomhetens øvrige mål.
We use quantifiable measures
to value the risk management program (e.g., capital
costs, hedging or insurance
costs, etc)
Geographic
dispersion of our
organization
We have no
mechanism to
measure the ROI
of the risk
management
program
Stress testing of core business
processes against specific scenarios
Cost of convergence
process
Resistance to
change of Board
and executive level
Existing technology
is inadequate
Lack of financial
resources
Other
Illustrasjon: KPMG
Det kan være en stor utfordring å håndtere krav om bedre
risikostyring og kontroll, samtidig som risiko også skal håndteres mer effektivt. Ansatte må ha god kompetanse til å kunne
vurdere kompleksiteten i risikobildet, og de må ha evnen til å
kommunisere med resten av virksomheten og forstå virksomhetens behov. Samtidig er ansatte i risiko- og kontrollfunksjoner avgjørende når risikokulturen skal bygges.
Risikobasert beslutningstaking hemmes når det er en svak
kobling mellom incentiver og risiko.
De fleste respondentene innrømmer manglende bruk av risikobaserte metoder i beslutningstaking. En sannsynlig årsak er at
65 % av de spurte innrømmet at koblingen mellom risikostyring og insentivsystemer var svak eller ikke-eksisterende.
En god kobling mellom insentiver og risikostyring er viktig for
å gi ansatte motivasjon til å vurdere både risiko og muligheter i
beslutningene. 74 % av virksomhetene med en sterk kobling
mellom insentiver og risikostyring oppgir at de hadde en god
risikokultur, mens kun 42 % av virksomhetene med svak
kobling mente det samme.
Organisasjoner bør forbedre måling av gevinster fra
risikostyringen
En klar trend i undersøkelsen er at bedriftene bruker stadig mer
ressurser for å styrke risikostyringen sin.
Men selv i virksomhetene som svarte positivt på at de ønsket å
styrke risikostyringen i tiden fremover, var det bekymringer
rundt hvorvidt virksomheten oppnår merverdi som følge av
dette. Mer enn en fjerdedel av respondentene (28 %) sier de
ikke har noen mulighet til å vurdere gevinster fra investeringene i risikostyringen. Blant dem som oppgir at virksomheten
har en avansert form for risikostyring, svarte 52 % at de brukte
kvantiserbare teknikker for å måle risikostyringen.
We review past
results or risk events
to assess the
effectiveness of risk
management response
Illustrasjon: KPMG
Hva betyr funnene?
Rapporten viser tydelig at risikostyring tas på alvor. Med
stadig økende kompleksitet og regulatorisk trykk har risikostyring aldri vært viktigere. Likevel ser mange manglende
kompetanse til å håndtere risiko. Virksomheter sliter med å
bygge et helhetlig risikobilde, hvilket vanskeliggjør strategisk
planlegging. Mange selskaper har ikke utført nedenfra og opp
risikovurderinger eller utviklet en formell risikoappetitt.
Virksomheter øker sine investeringer i risikostyringsløsninger i
håp om at teknologi kan hjelpe, ikke minst med å bryte ned
barrierer mellom risiko- og kontrollfunksjoner – men opplever
vurdering av verdien av disse investeringene som en utfordring.
Ved å analysere fellestrekk blant virksomheter som vurderer
seg selv høyt i de ulike kategoriene kan vi trekke ut enkelte
suksessfaktorer. Disse virksomhetene har innarbeidet kontinuerlig forbedring av risikostyring – og stiller store krav til
denne. Virksomhetene innser at risikoene som skaper usikkerhet rundt deres fremtid er i stadig utvikling, og at deres
kompetanser og evner må følge denne utviklingen. Samtidig
ser disse virksomhetene at dokumentasjon av risikostyringens
verdi er påkrevd for å rettferdiggjøre investeringer.
Rapporten ”Expectations of Risk Management Outpacing
Capabilities – Its time for action”1 finner du på KPMGs
hjemmesider (kpmg.no). Her finnes også en rekke eksempler
på god praksis innen helhetlig risikostyring.
Expectations of Risk Management Outpacing Capabilities – Its time for action.
KPMG International, May 2013.
1
22
SIRK nr 2. 2013
We rely on the rating agency to
review our risk management program
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
Internrevisjonens rolle i kampen mot
økonomisk kriminalitet
Av Mads Blomfeldt og Kristian Thaysen,
BDOs granskingsavdeling.
Å forebygge økonomisk kriminalitet
handler ikke bare om å redusere
risiko, men også om å ta samfunnsansvar. I tillegg til å ramme den
enkelte virksomhet, påvirker ulike
former for kriminalitet både samfunnet og enkeltindivider på en
negativ måte. Korrupsjon, sosial
dumping, hvitvasking og miljøkriminalitet har åpenbare negative
konsekvenser for både samfunnsutviklingen og konkurransesituasjonen i
næringslivet, og det er de svakeste i
samfunnet som rammes hardest.
Forebygging av økonomisk kriminalitet skjer først og fremst gjennom
god internkontroll, og dette er
internrevisjonens kjernekompetanse.
Internrevisjonen bør derfor ha en
sentral rolle i arbeidet med å
vurdere virksomhetens rammeverk
for å forebygge.
De negative samfunnskonsekvensene av
korrupsjon og andre former for økonomisk kriminalitet bør være den viktigste
motivasjonen for norske virksomheters
forebyggende arbeid. Økonomisk kriminalitet og korrupsjon representerer
dessuten et betydelig risikobilde for den
enkelte virksomhet, herunder risiko for
straff, bøter, tap av omdømme og ikke
minst risikoen for å bli utestengt fra
anbudskonkurranser. I enkelte tilfeller
kan også de direkte økonomiske tapene
som følge av misligheter innebære
utfordringer for selskapets likviditet,
eller påvirke selskapets verdi i en salgsprosess.
I tillegg til anbefalinger fra Økokrim, og
organisasjoner som Transparency
International og OECD, har både
amerikanske og britiske myndigheter gitt
Kristian Thaysen og Mads Blomfeldt. Foto: BDO
retningslinjer for hvordan virksomheter
skal arbeide med å forebygge og avdekke
korrupsjon. Det er enkelte ulikheter både
i lovgivningen og hvilke krav som forventes, men de overordnede prinsipper er
langt på vei like. Det viktigste er imidlertid å forhindre korrupsjon i vid forstand,
og da blir nyansene mindre avgjørende.
Et godt utgangspunkt kan for eksempel
være å legge Transparency Internationals
definisjon til grunn: Korrupsjon er
misbruk av makt i betrodde stillinger for
personlig gevinst.
Økokrim har via Dagens Næringsliv
tidligere i år formidlet ni sjekkpunkter
både for å unngå foretaksstraff og eventuell unngå etterforskning i forbindelse
med korrupsjonshandlinger begått av
ansatte. Det vil således kunne være av
svært stor betydning om selskapet i sitt
arbeid med å forebygge korrupsjon har
på plass de elementer som Økokrim
fremhever. Økokrim sine ni sjekkpunkter
er i all hovedsak i tråd med den etablerte
beste praksis, men fortjener en nærmere
forklaring for at de som har ansvaret for
dette, styret og bedriftsledere, faktisk
skal ha mulighet til å vurdere om de er
rustet i den grad som forventes.
Korrupsjon er bare en av flere typer
økonomisk kriminalitet virksomhetene
kan rammes av. Annen type kriminalitet
som typisk rammer norske virksomheter
kan være miljøkriminalitet, underslag og
økonomisk utroskap, bedrageri, regnskapsmanipulasjon og ikke minst ulike
former for informasjonstyveri eller cyber
crime. Det er svært få virksomheter som
bare møter korrupsjonsrisikoen i sitt
risikobilde. Vi mener derfor at virksomheter bør ha en mer helhetlig tilnærming
til temaet og sette fokus på hele bildet
knyttet til økonomisk kriminalitet. Noen
virksomheter møter en større risiko for
☞
SIRK nr 2. 2013
23
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
Viktige elementer for å forebygge økonomisk kriminalitet
Illustrasjon: BDO
korrupsjon enn andre, og dette må da
selvsagt gjenspeiles i de kontrolltiltak
som etableres.
I bunn og grunn handler dette om god
internkontroll. Det handler om at toppledelsen må sette standarden, det må
gjennomføres risikovurderinger og ikke
minst er det essensielt at de kontrolltiltak
som etableres, adresserer virksomhetens
risiko.
Gjennom BDOs rammeverk for å forebygge misligheter og korrupsjon forklarer vi de ni sjekkpunktene på en enkel
måte som gjør at leseren kan vurdere om
ens foretak er tilstrekkelig rustet. Vårt
rammeverk er basert på COSO-rammeverket. Vårt rammeverk er illustrert
under, og de mest sentrale momentene er
nærmere redegjort for under illustrasjonen.
Kontrollmiljø handler om kultur,
prinsipper og prosedyrer og ikke minst
styret og toppledelsen sin kommunikasjon rundt forebygging av økonomisk
kriminalitet. Dette er helt avgjørende for
å etablere en kultur der korrupsjon blir
1
2
24
forhindret. Selskapet må etablere og
kommunisere prinsipper knyttet til hva
som er akseptabel adferd og, ikke minst,
konsekvenser dersom ansatte går ut over
akseptabel adferd. Virksomhetens risikobilde, herunder korrupsjonsrisikoen må
reflekteres i virksomhetens etiske regelverk.
Enkelte virksomheter opererer i bransjer
og i land der medarbeidere møter på
andre problemstillinger enn hva som
kanskje er vanlig i Norge. Dette kan for
eksempel være krav om betaling av 5000
dollar for å få havnesjefen til å sørge for
at skipet med viktige materialer får
anledning til å legge til kai umiddelbart.
Virksomheten vil kunne risikere å tape
betydelig beløp ved forsinkelser og er
avhengig av denne materialleveransen.
I slike tilfeller må den enkelte medarbeider være godt kjent med selskapets prinsipper og prosedyrer og være trygg på
ledelsens støtte i de valg som tas.
Gode systemer for varsling er ansett som
kanskje det aller viktigste tiltaket for å
avdekke misligheter og korrupsjon.
Virksomheten bør legge til rette for
Riksrevisjonens rapport om den årlige revisjon og kontroll for budsjettåret 2012
Kriminalitets- og sikkerhetsundersøkelsen utført av Næringslivets Sikkerhetsråd
SIRK nr 2. 2013
varsling både fra ansatte (i tråd med
arbeidsmiljølovens krav) og for eksterne.
Vi gjør her oppmerksom på personvernlovgivningen og at varslingsordning for
eksterne krever konsesjon fra Datatilsynet. Dette vil, i følge Datatilsynet, bli
vurdert endret. Varslingskanaler må
gjøres kjent på virksomhetens internett
og/eller intranett. Gode saksbehandlingsregler og varslervern er svært viktig i
denne sammenheng.
Vurdering av risikobildet - for å kunne
ha et velfungerende system for å forebygge økonomisk kriminalitet, herunder
korrupsjon er man avhengig av å kjenne
risikobildet. Risikobildet er varierende,
alt etter hvilke land man opererer i, hvordan man er organisert, hvilke bransjer
man opererer i osv. For å ha god oversikt
over hvilken risiko som må adresseres
må risikoen kartlegges. Risikoen for
korrupsjon bør kartlegges ved å involvere relevante deler av organisasjoner,
både i linje og i stab. Spesielt de ansatte
som kan være mest berørt, typisk selgere, innkjøpere og andre i tilsvarende
funksjoner, bør involveres. Krav til
gjennomføring av risikovurderinger bør
R i s i ko s t y ri n g / I n t e r n ko n t ro l l
være formalisert, herunder krav til
frekvens. Ved store endringer i virksomhetens omgivelser, f eks, inntreden på
nye markeder, ved store omorganiseringer mv., bør det vurderes å gjennomføres
særskilte og/eller nye risikovurderinger.
Undersøkelser, både Riksrevisjonens
undersøkelse1 og KRISINO-undersøkelsen 20132, viser at virksomheter i
både offentlig og privat sektor i alt for
liten grad gjennomfører risikovurderinger.
Kontrollaktiviteter - virksomheten må
etablere kontrollrutiner som adresserer
viktig risiko, spesielt korrupsjonsrisikoen. Kanskje noe av det viktigste er gode
rutiner for sikre at virksomheten har
tilstrekkelig kunnskap om sine ulike
samarbeidspartnere. Dette sikres
gjennom bakgrunnsundersøkelser, såkalte (Ethical) Integrity Due Diligence.
Spesielt ved bruk av agenter, salgs- og
markedsrepresentanter eller lignende er
dette viktig. Ved kjøp av virksomhet er
det også viktig å ha god innsikt i transaksjonens motpart. Virksomhetens
kontrollaktiviteter må ta utgangspunkt i
gjennomførte risikovurderinger. Det er
svært viktig at virksomheten har en
oversikt som viser sammenhengen
mellom identifisert risiko og etablerte
kontrollaktiviteter.
Informasjon og kommunikasjon ansatte må få tilstrekkelig opplæring og
ofte vil det være hensiktsmessig at ulike
kategorier ansatte får ulik opplæring.
Ansatte i stillinger som lett kan bli utsatt
for krav om bestikkelser, bør få særlig
opplæring, herunder dilemmatrening, for
å være rustet mot slike situasjoner.
Regnskapspersonell bør være trenet til å
avdekke faresignaler og indikasjoner på
korrupsjonsbetalinger og tilsvarende.
Virksomheten bør ha klare prosedyrer
for intern og ekstern kommunikasjon
med hendelser eller mistanke om hendelser og ikke minst tror vi det er viktig
at virksomhetens ansatte deler kunnskap
og erfaringer, også på dette området. Til
slutt minner vi om at virksomheten må
ha teknologi som understøtter virksomhetens arbeid med å forebygge økonomisk kriminalitet.
Kristian Thaysen. Foto: BDO
Kontinuerlig overvåking og forbedring av tiltak - virksomhetens arbeid
med å forebygge og avdekke økonomisk
kriminalitet og korrupsjon må løpende
overvåkes for å sikre at det i tilstrekkelig
grad adresserer virksomhetens risikobilde og er velfungerende. Tiltak, eksempelvis etablert varslingsordning, må
regelmessig evalueres. Både ledelse og
styre har ansvar for at virksomheten har
etablert et rammeverk som beskrevet i
denne artikkelen, dog tilpasset den
enkelte virksomhet og dens særegenheter.
Hva med internrevisjonens rolle?
Vi ligger til grunn at internrevisjonens
rolle er å støtte den daglige ledelsen og
virksomhetens styrende organer gjennom
uavhengige vurderinger av virksomhetens risikostyring og internkontroll.
Med en slik forutsetning synes det åpenbart at internrevisjonen både kan og bør
spille en svært viktig rolle for å sikre at
virksomheten nettopp har etablert et
program som vi har beskrevet. Vi anbefaler at virksomhetens rammeverk for å
forebygge, avdekke og håndtere økonomisk kriminalitet bør inn på internrevisjonens årsplan. En full og overordnet gjennomgang bør gjøres regelmessig, og dessuten bør det settes særlig
fokus på enkeltelementer som for
eksempel rutiner og prosedyrer for krav
til (Ethical) Integrity Due Diligence av
risikoutsatte tredjeparter og etterlevelse
av disse rutinene.
Kampen mot korrupsjon og økonomisk
kriminalitet vil neppe vinnes en gang for
alle. Men med et effektivt og helhetlig
program for å forebygge og avdekke
økonomisk kriminalitet, som er revidert
av virksomhetens internrevisjon, vil
virksomheten kunne bidra til å redusere
omfanget, og dermed også skadevirkningene av korrupsjon. Risikoen for
virksomheten blir betraktelig redusert,
og virksomheten vil, i følge Økokrim,
kunne unngå etterforskning og straff.
SIRK nr 2. 2013
25
BDO RISK ADVISORY SERVICES
SØKER MEDARBEIDERE
I BDO lever vi etter verdiene nær, åpen og modig. Kunder opplever oss som reaksjonsdyktige og initiativrike.
Åpenhet skal bidra til forbedring. Vi skal evne å tenke nytt og skape de gode løsningene. Vi skal stille de riktige og
viktige spørsmålene i jakten på å sikre og skape verdier for våre kunder. Vi står ikke stille, men søker alltid utvikling.
Det betyr at vi må ha mot til å utfordre både kundene, markedet og oss selv.
Risk Advisory Services i BDO består av spesialiserte og erfarne medarbeidere som jobber med IT-revisjon,
internrevisjon, risikostyring, internkontroll, informasjonssikkerhet samt gransking og mislighetsforebygging.
Vi søker løpende kandidater til alle disse tjenesteområdene.
For mer informasjon og for å søke på stillingen, kontakt:
Karl-Ludvig Mauland - tlf: 90 24 04 88 - karl-ludvig.mauland@bdo.no
www.bdo.no
BDOS VARSLINGSTJENESTE
DET VIKTIGSTE ENKELTTILTAKET
FOR GOD INTERNKONTROLL
Oppfyller din virksomhet lovbestemte krav til varsling?
BDOs varslingstjeneste sikrer at du overholder arbeidsmiljølovens krav til varsling (jf. AML §§ 2-4, 2-5, og 3-6), samt
Datatilsynets krav til personvern.
BDOs varslingstjeneste:
• Komplett løsning som kan tas i bruk umiddelbart
• Sikrer anonymitet
• Trygg, tillitsskapende og effektiv
Kontakt oss for mer informasjon:
Tlf: 97 09 01 00 | forensic@bdo.no | www.bdo.no
BDO - Et bevisst valg
26
SIRK nr 2. 2013
I n t e r n re v i s j o n
Bedre nattesøvn
Av Trine Skei Grande, leder i Venstre
Offentlig styring og kontroll handler på
mange måter om måloppnåelse. Gang på
gang løftes temaet i Kontroll- og konstitusjonskomiteen på Stortinget. Komiteens
jobb er å kontrollere om regjeringens
politikk er i overensstemmelse med
Stortingets vedtak og intensjoner. Under
en høring i komiteen i fjor stilte jeg
spørsmål om internrevisjon kan være et
nyttig verktøy for å bedre kontrollsystemene som skal sikre riktig bruk av offentlig midler. Jeg opplevde at flere igjennom
høringen ikke kunne gi et godt svar på
dette. Jeg skjønte også at internrevisjon
ikke engang var vurdert. Det er en tankevekker. Jeg mener det er viktig å vurdere
alle verktøy som kan bedre styring og
kontroll, og at internrevisjonen er et slikt
verktøy.
For å kunne vurdere hvorvidt virksomheter bør etablere internrevisjon, er det
essensielt å forstå hva det dreier seg om.
Det er ikke snakk om en form for «tallrevisjon», men handler om systemer og
prosesser. Definisjonen av internrevisjon
beskriver funksjonen som «en uavhengig,
objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift.
Den bidrar til organisasjonen oppnår sine
målsettinger ved å benytte en systematisk
og strukturert metode for å evaluere og
forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for
risikostyring, kontroll og governance.»
Dette høres både positivt og ganske
voldsomt ut.
å forbedre en organisasjon og for å bedre
måloppnåelsen. Nettopp i offentlig sektor
er det viktig at ledelsen jevnlig vurderer
om virksomheten er organisert slik at en
oppnår de målene en vil nå. Å se på organisasjonen utenfra kan være veldig nyttig.
OECD kom tidligere i år med en ny Value
for Money-rapport. I disse rapportene
søker man å identifisere positive utviklingstrekk i organiseringen av offentlig
sektor, og gi anbefalinger som skal, sagt
på godt norsk; gi valuta for pengene.
Med dette menes økt kvalitet (value) på
tjenester, med en mer effektiv (money)
offentlig sektor. I årets rapport anbefales
det blant annet å etablere små internrevisjonsenheter i departementene. Det er
en interessant anbefaling.
I dag har kun 12 statlige virksomheter og
ett departement etablert internrevisjonsenheter. I Sverige er det krav til at alle
større offentlige virksomheter skal ha en
internrevisjon. Det er finnes ingen felles
kriterier eller rammer for hvem som skal
ha internrevisjon i sin virksomhet.
Finansdepartementet har nedsatt et utvalg
som skal se nærmere på etableringen av
internrevisjon i offentlige virksomheter.
Utvalget skal vurdere hvordan best mulig
organisere en internrevisjonen i offentlig
sektor, ressurser og kompetanse, relasjonen til Riksrevisjonen, og rapporteringslinjer til overordnet departement.
Det jeg legger spesielt merke til er ordene
uavhengig og objektiv. Det må være
nyttig for toppledelsen i et departement å
motta uavhengige og objektive råd om
organisasjonen. Departementsråden er
ansvarlig for at departementet, underliggende etater og virksomheter drives på
en hensiktsmessig og god måte. Kan
internrevisjon bidra til at departementsråden kan sove litt bedre om natten?
Det er ledelsen ansvar å etablere mål og
treffe tiltak som skal sikre at målene
oppnås. Etablering av tiltak skal, i følge
økonomiregelverket for staten, baseres på
en risikovurdering. 22. juli-kommisjonens
analyse slo blant annet fast at ledelsen
evne og vilje til å etablere mål, iverksette
tiltak og organisere virksomheten på en
hensiktsmessig måte for å nå målene, har
vært mangelfull. Dette er trekk som
dessverre går igjen på flere områder i
offentlig sektor. En internrevisjon kan
vurdere og bekrefte en virksomhets
risikoforståelse og se etter at risikohåndteringen bidrar til måloppnåelse.
Jeg tror det er mange virkemidler som
kan bidra til mer effektiv styring av
offentlig sektor. Internrevisjon er en måte
I Gjørv-rapporten blir det også påpekt en
manglende forståelse av ansvar og roller,
og en såkalt «ansvarspulverisering».
Foto: Stortinget/Terje Heiestad
Internrevisjon ser etter hvorvidt tiltak faktisk blir gjennomført, at roller og ansvar
er forstått og fungerer hensiktsmessig.
Jeg tror det er viktig at vi får mer fokus
på styring, kontroll og effektivitet i
offentlig sektor, og at vi ser dette opp mot
fastsatte mål. Vi ser at gode tiltak kan bli
dyrere enn først planlagt, eller at
gjennomføringen uteblir med dårlig planlegging. Jeg vil påstå at Olje- og energidepartementets risikostyring med
Mongstad-anlegget i Hordaland hadde
svakheter. Mye tyder på at det også var
svakheter i Gassnovas internkontroll ved
CO2-håndtering på Mongstad-anlegget.
Dette har medført høyere kostnader og
lengere gjennomføringstid. Det er stor
variasjon i virksomheter organisering av
arbeidet med intern kontroll og styring
frem mot måloppnåelse. Dette resulterer
dessverre altfor ofte i sløsing av
offentlige ressurser.
Det er en økende internasjonal trend at
man ser verdien av en uavhengig,
objektiv vurdering av virksomheter.
Dette må vi også følge opp i offentlig
sektor. Klarer vi det, går vi en spennende
utvikling i møte.
SIRK nr 2. 2013
27
I n t e r n re v i s j o n
Knut Løken – en stor inspirator
Av Reidar Døli, Oslo Børs VPS
Knut Løken er et høyt skattet æresmedlem i Norges Interne Revisorers
Forening (NIRF) og er fortsatt en
ivrig støttespiller i revisjonsmiljøet.
Han ble tidligere i høst tildelt
Kongens Fortjenstmedalje for sitt
virke innen musikk og revisjon.
Redaksjonskomiteen fant dette som en
god anledning til å invitere Knut til en
markering med kaffe og kake. Knut ble
møtt i NIRFs lokaler av Reidar Døli,
Ellen Brataas, Hilde Tanggaard og Svein
Stabekk. Markeringen ble også benyttet
til å dele erfaringer om hvordan revisjonsfaget har utviklet seg over tid i
Norge.
Knut startet med revisjon i 1952, hvilket
betyr at han har fulgt med på utviklingen
innen faget i 50 år. Selv om han nå er
pensjonist følger han fortsatt med fra
sidelinjen.
Da Knut startet med revisjon, var
revisjonens arbeid ensbetydende med
kontroll av bilag, tall og summering av
journaler. Alle transaksjoner skulle
kontrolleres og kontrollene ble behørig
dokumentert. Den gang var ikke internkontroll et begrep, men det var noe som
en revisor gjorde.
Noe senere, slik Knut refererer til,
begynte man i revisjonen å arbeide med
noe som ble kalt for rutinerevisjon, dvs
med revisjon som skulle bekrefte at alle
rutiner og instrukser ble fulgt. Denne
typen revisjoner hadde selvfølgelig en
viss nytteverdi, men eventuelle vurderinger av om formålet med de forskrevne
rutinene ble oppnådd, kom først i neste
fase.
Parallelt med utviklingen innen revisjonsfaget skjedde store endringer i de
virksomhetene som revisorene var satt til
å revidere. I bankene var man tidlig ute
med moderne teknologi og ved at de tok
i bruk EDB. Nye produktområder som
vokste frem bidro ytterligere til å stille
krav til revisorene.
28
SIRK nr 2. 2013
Foto: Karl Braanaas/Budstikka.
Slike banebrytende endringer i omgivelsene skapte spenninger og diskusjoner
innen revisjonsmiljøet. Noen var fornøyd
med det bestående, mens andre stod for
nytenkning. Revisors rolle i forhold til
styret og administrasjonen, og hvorvidt
revisor skulle opptre som en rådgiver for
styret var temaer som ble diskutert. Et
annet aktuelt spørsmål fra den tiden var
om revisor skulle følge opp iverksettelsen av beslutninger. I denne utviklingen presset enkelte ressurser på for å
vinne terreng for revisjonen. Knut sto
som en eksponent for å fremme utvikling
innen revisjonsfaget. Selv om det kunne
forekomme opphetede diskusjoner og
steile fronter, hvor Knut fra tid til annen
befant seg i skuddlinjen for kritikk, har
han positive minner fra denne tiden.
Anekdotene kommer på løpende bånd.
I dag er det lett å dra på smilebåndet når
en hører om holdninger blant revisorer
og hvordan de arbeidet. Knut poengterer
at han fortsatt har stor respekt for revisorene fra tidligere tider. De gjennomførte
et samvittighetsfullt arbeid og for mange
var revisjonen noe mer enn en jobb, det
var nærmest et kall. Arbeidet de utførte
var viktig og samfunnsnyttig ut fra den
tid de levde i.
Et interessant spørsmål knytter seg til
revisors uavhengige stilling før og nå.
Knut viser til at det tidligere var til dels
stor avstand mellom revisor, ledelsen og
de ansatte i virksomheten. Revisor var
kledd i mørk dress og det var lite
kommunikasjon mellom de berørte
utover det som revisjonen krevde. I det
hele tatt var revisor avsondret fra den
øvrige virksomheten, også i lunsjpausen.
Revisorene var respektert, men respekten
gikk kanskje noen ganger over i frykt.
En følge av dette var at revisorene samtidig holdt godt på sin uavhengighet.
I dag inviteres revisor med i diskusjoner
og involveres i mye større grad løpende i
virksomhetenes arbeid. I spørsmålet om
dette er en ønsket utvikling, humrer Knut
og sier at der kommer alderen hans inn.
I n t e r n re v i s j o n
Han sier at han i utgangspunktet har en konservativ tilnærming
til dette spørsmålet, og mener at det ligger en form for
konflikt i det å skulle holde på den nødvendige avstanden og
samtidig ha muligheten til gi råd. Men Knut er likevel enig
om at det må være greit å spørre revisor som råd, men
revisor trenger ikke uttale seg eksakt om hvordan saken skal
løses. For Knut er det en stor forskjell i aktiv og passiv
rådgivning. Knut poengterer at den nødvendige autoritet og
avstand oppnår revisor i dag i kraft av sin faglige dyktighet.
Knut blir også fortsatt sitert på sitt utsagn: «intern revisjon er
et konsekvensfag – hva som gjøres og hvordan det utføres er
avhengig av forholdene det utføres under og hva formålet er».
Den utvikling i revisjonen som Knut har beskrevet er vel nettopp dette. Knuts kommenterer med et glimt i øyet at dette er
nok noe av det bedre han har sagt.
Knut konkluderer på at utviklingen innen internrevisjon har
vært udelt positiv. Både faglig sett og med det spekteret av
oppgaver som revisorene har og de metoder de legger til grunn.
Knut oppfatter det også som interessant at nye utdanningsretninger som samfunnsvitere tiltrekkes av revisjonsfaget og
nikker over til Hilde. Etter Knuts mening er mange av de
spørsmålene som revisorene tidligere håndterte selv i dag
besvart og regulert i standarder. Dette kan i sin tur medføre at
det ikke diskuteres nok innen faget. La oss håpe at det ikke
legger en demper for videre faglig utvikling.
Intervjueren har ikke unngått å registrere to begivenheter. Den
ene er Knuts 82 årsdag dagen i forveien. Den kommer for så
vidt av seg selv, men for det fortjener jubilanten blomster. Den
andre begivenheten kommer ikke av seg selv, nemlig at Knut
Løken er tildelt Kongens Fortjenstmedalje tidligere i høst. Det
må være en stor ære for Knut, og vi tolker det også som en
fjær i hatten til vår profesjon. Vi spør om det er greit at NIRF
får en liten aksje i denne fortjenestemedaljen. Som forventet
sier Knut at det selvfølgelig er greit og at det var veldig hyggelig å motta fortjenestemedaljen og at han setter pris på å bli satt
pris på.
Illustrasjon: Cappelen Damm Akademisk.
Knut forteller videre at musikk og revisjon har vært en stor del
av hans liv. Til spørsmål om hva som er fellesnevneren mellom
musikk og revisjon tenker Knut seg om et kort øyeblikk før
han svarer at er at begge deler er interessant, morsomt og man
blir glad i det. Det at det fortsatt blomstrer etter Knut på begge
arenaer er NIRF et bevis på. Det samme gjelder for musikken
der Knut for kort tid siden var på konsert i regi av Det Norske
Kammerorkester. Tre av ni musikere i ensemblet var tidligere
elever av Knut.
For det første ble han nødt til å tenke nøye gjennom faget og
lære seg det selv for i det hele tatt å kunne undervise. For den
andre var det gjennom undervisningen han traff representanter
for den neste generasjonen av revisorer. De var åpne, kritiske
og ville forstå. Dette var flinke mennesker som ville bidra og
Knut slapp disse unge til. For Knut ga dette yrket en mening.
Internrevisjon var et flott yrke, fortsetter han, det var mye opp
til deg selv å påvirke faget og man kunne jobbe selvstendig.
Revisjon har hele tiden vært hevet over konkurranse mellom
virksomhetene hvor man kunne dele kunnskap på et faglig
nivå, hvilket har vært veldig bra.
Intervjueren satt som ivrig tilhører på Knuts forelesninger på
NHH på 80-tallet. Senest for noen år tilbake holdt Knut en
utmerket takk for maten tale på foreningens konferanse.
Vi stiller oss spørsmålet hva disse egenskapene som kommunikator og kunnskapsformidler kan ha betydd i hans virke.
Knut forteller at han har vokst opp i en familie av pedagoger
og at han selv også var tidlig engasjert i undervisning.
For Knut medførte undervisningsaktiviteten to store fordeler.
Intervjueren påpeker avslutningsvis at felles for innsatsen på
musikkarenaen og innen internrevisjonen må være Knuts evne
til å inspirere andre til å bli gode. Han svarer at det har han
ikke tenkt på tidligere, men at han for så vidt kan si seg enig.
Knut ga til slutt uttrykk for at han er forbauset over at han
fortsatt er interessant og aktuell så mange år etter at han ga
seg som yrkesaktiv. Vi som delte ettermiddagen med Knut er
ikke det.
SIRK nr 2. 2013
29
I n t e r n re v i s j o n
Ny utredning om bruk av internrevisjon
i statlig sektor
Av Ola Otterdal,
Direktoratet for økonomistyring.
Finansdepartementet satte i september 2013 ned en arbeidsgruppe for å
utrede mer forutsigbare rammer for
bruk av internrevisjon i staten, ledet
av avdelingsdirektør Knut Klepsvik.
Utredningen kommer i kjølvannet av
OECDs rapport Value for Money in
Government (2013) som kommer
med anbefalinger til Norge om bruk
av internrevisjon i norsk statsforvaltning.
Målet med utredningen er å legge til rette
for beste praksis i innretning og bruk av
internrevisjon, og å etablere et grunnlag
for en mer effektiv arbeidsfordeling
mellom internrevisjon og ekstern revisjon. Prosjektet har som ambisjon å
vurdere og foreslå løsninger, herunder i
økonomiregelverket, for blant annet:
1. Behovet for forpliktende faglige
standarder som skal gjelde for internrevisjon i staten.
2. Rapportering og dialog med overordnet departement om internrevisjon.
3. Relasjonen til Riksrevisjonen.
4. Organisering av internrevisjon,
herunder eventuelt kjøp av internrevisjonstjenester fra andre.
5. Ressurser, kompetanse, rekruttering og
eventuell sertifisering.
Arbeidsgruppen vil også se på behovet
for mer utbredt bruk av internrevisjon i
staten og eventuelt foreslå kriterier for
hvilke statlige virksomheter som, i
samråd med sitt departement, bør vurdere
å etablere en internrevisjonsenhet.
Utredningen vil i stor grad bygge på
erfaringer fra norsk statsforvaltning og
enkeltvirksomheters bruk av internrevisjon. Arbeidsgruppen vil støtte seg på
30
SIRK nr 2. 2013
en referansegruppe med representanter fra
noen statlige virksomheter med internrevisjonsenheter: NAV, Skatteetaten,
Statens vegvesen og Universitetet i Oslo.
Arbeidsdepartementet, Finansdepartementet, Forsvarsdepartementet,
Kunnskapsdepartementet, NIRF og
Riksrevisjonen vil også delta i referansegruppen. Andre statlige virksomheter med
internrevisjonsenheter vil bli trukket inn
bl.a. gjennom seminarer.
I OECD-rapporten Value for Money in
Government ble det påpekt at Norge har
standarder for internkontroll, men ikke
for internrevisjon. Det anbefales at Norge
regulerer bruken av internrevisjon og at
man også vurderer å etablere små sentrale
internrevisjonsenheter i de viktigste
departementene. Eventuelle nye standarder for internrevisjon bør, i følge OECD,
også inkludere krav til bemanning,
rekruttering, opplæring og sertifisering av
internrevisorer. Arbeidsgruppens mandat
er ikke direkte knyttet til en oppfølging
av OECDs anbefalinger.
I Norge er det per i dag bare finansmarkedet som har krav om internrevisjon.
Kravene ble fastsatt i forskrift med virkning fra 1. januar 2003, etter at det i 1994
var kommet krav til internkontroll.
Bestemmelsene ble oppdatert senest i
2009.
Det har pågått en debatt om behovet for
internrevisjon i statlig sektor de siste
årene. I kontrollhøringen i Stortinget 1.
oktober 2012 og i stortingsbehandlingen
av saken om departementenes tilskuddsforvaltning 10. januar 2013, tok stortingsrepresentant Trine Skei Grande opp
behovet for internrevisjon. Det å ha
kloke, gode internrevisjoner som både har
fokus på varslingskultur og på at det er
lett å si fra om ting man stusser på, og
som gjør at man ikke nødvendigvis trenger å gå til Riksrevisjonen for å påpeke
ting, tror jeg hadde økt tilliten, skjerpet
kvaliteten og også ført til at du hadde fått
en bedre forvaltning generelt, uttalte Skei
Grande under stortingsbehandlingen.
Direktoratet for økonomistyring (DFØ)
kartla i 2009, på oppdrag fra
Finansdepartementet, bruken av internrevisjon og internkontroll i statlig sektor i
Norge. Praksisen for bruk av internrevisjon i Sverige og Danmark inngikk også
som en del av den samme kartleggingen.
I 2011 utga DFØ en veileder for statlige
virksomheter som vurderer å etablere en
internrevisjonsfunksjon. Utgangspunktet
var at statlige virksomheter, eventuelt i
samråd med overordnet departement, står
fritt til å vurdere etablering av internrevisjon og til å konkludere i en slik vurdering.
Kartleggingen i 2009 viste at 12 statlige
forvaltningsorganer hadde etablert en
internrevisjonsenhet. Etter dette har flere
vurdert etablering, og antallet internrevisjoner har økt. Det finnes ingen offisiell
oversikt over hvor mange som har kommet til, organisering, hvilke standarder de
følger osv. Selv om de fleste virksomhetene som har etablert internrevisjon er
både store og komplekse, er det ikke gitt
at det er nettopp de med størst behov
som faktisk ender opp med å etablere
internrevisjoner.
I Sverige har man en egen forskrift
(förordning) for internrevisjon i staten,
og det gjøres årlig en oppdatering av
hvilke virksomheter forskriften gjelder
for. I 2013 gjelder den for 66 virksomheter. I Danmark er internrevisjonenes
hovedfokus finansiell revisjon, og grensesnittet til Riksrevisjonen er mer formelt
og tydelig. Virksomheter som oppretter
en internrevisjon inngår en avtale med
Riksrevisjonen, og man ser
Riksrevisjonens og eventuell internrevisjons ressursbruk i sammenheng.
Grunnen til dette er at Riksrevisjonen kan
basere seg på arbeidet fra internrevisjonen. I tillegg til Sverige og Danmark,
vil arbeidsgruppen også se på erfaringene
fra land som Storbritannia og Nederland.
Det er ventet at arbeidsgruppen avgir sin
rapport i løpet av 2014.
Job type:
Permanent
1HWVLVRQHRIQRUWKHUQ(XURSH¶VOHDGLQJFRPSDQLHVIRUSD\PHQWVROXWLRQV
information services and digital security solutions, with one of the most
extensive and innovative product portfolios in Europe. Our ambition is to
become an even stronger partner to our customers by supporting their
business nationally as well as internationally. We want to make the handling
of both financial and information assets easier and more secure.
Working hours:
Full-time
Nets employs over 2,600 people and has its registered office in Copenhagen,
as well as competence and commercial centres in Oslo, Stockholm, Helsinki
and Tallinn.
Working days:
Day
Find out more about us at www.nets.eu.
Application
deadline:
31.12.2013
Expected Start
Date:
Contacts:
to be agreed
Peder
Toft
Internal Systems Audits vision is to create internal value in Nets through consultancy
Mobile:
+45 2948
and recommendations, and to create external value and trust for Nets through audits of
2766 Location:
controls and processes of relevance for our customers. We are 11 people in internal
Systems Audit in Oslo, Copenhagen and Helsinki. We work closely together with our
Oslo
Internal auditor
external IT-auditor KPMG in accordance with Danish legislation.
Key responsibilities and tasks
x
x
x
x
x
x
Audit and consultancy regarding applications and processes.
Audit and consultancy regarding critical projects.
Audit and consultancy regarding general IT controls, including outsourced IT
operation etc. You will have a close cooperation with the external systems
auditor, as your work often will be part of external reporting (ISAE 3402).
Participate in audits in Denmark and Finland in areas where you have special
competences.
Act as point of contact in Norway for the external audit firms, that Nets use to
perform part of the audit.
Act as point of contact in Norway, when other members of the audit team
participate in audits in Norway.
Send application to
petof@nets.eu
Contacts:
Peder Toft
Mobile: +45 2948
2766
Home page:
http://www.nets.eu
Preferred background and qualifications
x
x
x
x
Strong process audit skills, preferably with experience from external audit or
consultancy firm
Experience with IT audit of applications, general IT controls, processes and
projects.
Relevant certifications (CISA, CIA or other).
Language: Scandinavian (NO/DK/SWE) and English.
Preferred personal qualities
x
x
x
x
x
You are persistent and sharp on details without losing the overview.
Analytical and structured.
You can formulate yourself in writing and it is natural for you to document
your work.
You like to interact with colleagues across different areas and organisational
levels.
You are a teamplayer, but can also work alone.
SIRK nr 2. 2013
31
I n t e r n re v i s j o n
Internrevisjonsfunksjonen
Intervju med Heidi Holwech og Morten Thorbjørnsen i Finanstilsynet
Av Randi Almås, Norges Bank, og Reidar Døli, Oslo Børs.
Et hovedtema i første nummer av SIRK i 2013 var internrevisjonens rolle og organisering. Vi så på insourcing og outsourcing
og publiserte en spørreundersøkelse med ansatte internrevisjonsledere. I tillegg presenterte vi enkelte intervjuer med personer i
virksomheter der det nylig har skjedd endringer i modell.
SIRK ønsker også å få et innblikk i hva Finanstilsynet, som
regulatorisk myndighet, mener om internrevisjonsfunksjonen.
Vi møtte Heidi Holwech og Morten Thorbjørnsen fra Seksjon
for banktilsyn, som delte sine tanker med oss.
De to rådgiverne fra Finanstilsynet er aktive bidragsytere til
kompetanseutvikling for NIRFs medlemmer. I år har de holdt
foredrag om Basel III / Solvency II, arrangert av NIRFs nettverk
for finanssektoren 11. april. Under det årlige seminaret i NIRFs
nettverk for revisjonsledere i finans den 2. september snakket de
også om Internrevisors rolle i Basel III / Solvency II og
Internrevisjonsfunksjonen i norske banker.
Finanstilsynets representanter kunne fortelle at det gjennom
Solvency II i EU vil komme krav om internrevisjon i alle forsikringsselskaper. Selskaper som er en del av finanskonsern vil
også bli regulert og vil være omfattet av både Solvency II og
internkontrollforskriften.
Noen betraktninger om internrevisjonsfunksjonen
I forbindelse med Finanstilsynets høringsbrev om revisjon av
Internkontrollforskriften i 2002 var det drøftinger om innføring
av krav om internrevisjon i finansnæringen. Kravet ble diskutert
med bakgrunn i behov for bedre risikostyring og som følge av
nytt kapitaldekningsregelverk. Flere andre land hadde allerede
innført et slikt krav. Temaet ble oppfattet som svært viktig både
hos daværende Revisjonssjefkretsen (nå Nettverk for revisjons-
Heidi Holwech
Morten Thorbjørnsen
ledere i finans) og Norsk Finansrevisorforening (som senere er
gått inn i NIRF) i deres høringsuttalelser.
Kredittilsynet (Finanstilsynet) gjorde i 2005 en vurdering av
internrevisjonsfunksjonen i 12 større finansinstitusjoner.
En rapport om dette kom 28. juni 2005. Noen interessante
observasjoner og kommentarer i rapporten fra dette tematilsynet
var:
– Der en har valgt utkontraktering synes det å ha vært grundige
og ryddige beslutningsprosesser.
– Det er svært varierende praksis mht. internrevisors deltakelse i
styremøter og annen kontakt med styrets leder.
– I enkelte av institusjonene ble det påpekt at styrets bekymring
for omkostningene ved internrevisjon synes å ha ført til at en
legger seg på et slags minimumskrav, men da ikke oppnår
«kritisk masse» i revisjonsarbeidet etter Kredittilsynets vurdering.
Internkontrollforskriftens § 4-2 utelukker ikke at internrevisjonsfunksjonen helt eller delvis kan utkontrakteres. I sin rapport
framhevet Kredittilsynet gjeldende rammer for ekstern og intern
revisor, avtaleregulering og styrets rolle som internrevisjonens
oppdragsgiver.
Pliktig internrevisjon innenfor finansnæringen:
En oversikt fra Finanstilsynets årsmelding for 2012 viser noen tall. Innen bank og forsikring var antallet foretak under tilsyn pr 31.12.2012:
• 109 Sparebanker
• 17 Forretningsbanker
• 12 Livforsikringsselskaper
• 43 Skadeforsikringsselskaper
Forskrift om risikostyring og internkontroll sier at dersom et slikt foretak i mer enn 12 måneder har hatt en samlet
forvaltningskapital for egen og kunders regning på mer enn 10 milliarder kroner - eller inngår i finanskonsern med samlet
forvaltningskapital som overstiger dette - er foretaket pålagt å ha internrevisjon.
Regelen omfatter nå 28 av bankene, 7 av livselskapene og 3 av skadeselskapene.
Oslo Børs ASA, Verdipapirsentralen ASA og Oslo Clearing ASA samt alle verdipapirforetak er også pålagt å ha internrevisjon gjennom denne forskriften og er samtidig underlagt tilsyn fra Finanstilsynet.
32
SIRK nr 2. 2013
I n t e r n re v i s j o n
– Kredittilsynet presiserte at uansett utkontraktering må det
være intern kompetanse til å vurdere om internrevisjonsleveransen er tilfredsstillende. Foretaket bør vurdere
å utpeke en egen oppdragsansvarlig som skal ha ansvaret for
oppfølging av at avtalen overholdes. Det var på dette tidspunktet ikke etablert ordninger med co-sourcing i de bankene
som inngikk i tematilsynet.
– I institusjoner hvor man ikke tidligere har hatt internrevisjon
eller har skiftet fra en internt ansatt til outsourcing, kan det
være en problemstilling hvordan en kan opparbeide eller vedlikeholde kompetanse til å følge opp outsourcingsavtalen.
Vi er nysgjerrige på om Finanstilsynet har gjort nye erfaringer
eller endret syn på disse temaene.
– Det må understrekes at Finanstilsynet ikke har gjort noen
undersøkelse eller uttalt en offisiell holdning, spesifikt når det
gjelder spørsmålet om intern internrevisjon eller outsourcet
løsning.
Med utgangspunkt i undersøkelsen, artiklene og intervjuene i
SIRK nr. 1/2013, og basert på egne erfaringer fra tilsyn med
banker, har dere gjort dere noen tanker for eller mot utkontraktering av internrevisjonen?
– Det er vanskelig å gi et klart svar på dette. IIAs Standarder
for utøvelse av internrevisjon ligger som grunnlag for metodikk og arbeid enten det er internt ansatte eller en ekstern
leverandør av internrevisjon. Når det gjelder kontinuitet i
arbeidet og kjennskap til virksomhetens organisasjon og
kultur, vil vel en intern internrevisjon ha et fortrinn. Men en
ekstern konsulent vil kanskje lettere kunne ha oppdatert eller
spisset kompetanse på ulike fagfelt, og også ha større tilgang
til ulike typer fagressurser. Det siste gjelder kanskje spesielt
for de større revisjonsselskapene. Det er store krav til kompetanse på mange områder, f.eks. innenfor IKT, og det kan være
vanskelig å ha nok interne ressurser. Virksomhetens størrelse
og kompleksitet, internrevisjonens størrelse og personlige
egenskaper spiller også inn. Det gjelder å finne en modell
som passer den enkelte institusjon.
De to rådgiverne vil ikke være bombastiske i sitt svar, men foretrekker nok modellen med fast ansatt internrevisor.
– En kjerne med ansatt internrevisor supplert med kjøp av tilleggsressurser kan også være en god modell.
Hva er etter Finanstilsynets observasjoner status for outsourcing
av internrevisjon i norske virksomheter i dag?
– Finanstilsynet har ikke gjort noen formalisert undersøkelse
eller datainnsamling om dette. Det er lenge siden det er
gjennomført spesifikt tilsyn med internrevisjonsfunksjonen. De
største nordiske bankkonsernene har store interne revisjonsavdelinger. I mellomstore banker er co-sourcing mer vanlig,
med en eller få internt ansatte og samarbeidsavtale med et
eksternt revisjonsselskap.
Er alle outsuorcingsavtaler gitt til de store revisjonsselskapene?
– Vi har ikke kjennskap til om andre enn de fire store revisjonsselskapene benyttes i Norge.
Hvilken trend ser dere for utvikling av krav til internrevisjon og
kontrollfunksjoner innenfor finansvirksomhet?
– Grensen på 10 milliarder i forvaltningskapital for finanskonsern er mange år gammel. En mulig høyning av denne grensen
er uavklart. Den inngår for eksempel ikke i banklovkommisjonens utredning om ny lovgivning. Det er enda større fokus
på helhetlig risikostyring og krav til kapital i forhold til risikonivå nå.
I de senere årene har det dukket opp andre interne kontroll/etterlevelse/compliance – funksjoner og risikostyringsfunksjoner
som rapporterer til administrerende direktør, men som også kan
ha rapporteringslinje til styret. Hvordan er Finanstilsynets rolle
ved reguleringen av disse?
– Vi ser at det er økt fokus på risikostyringsfunksjoner med
bakgrunn i Basel II. Med CRD IV (Basel III) vil det stilles
krav om risikostyringsfunksjon i alle banker. I større banker
er det i dag vanlig å ha kontrollfunksjoner som har complianceoppgaver. Dessuten er det krav til slike funksjoner i Verdipapirhandelloven og Fondsforvaltningsloven.
– Sverige kommer etter planen med en ny forskrift om risikostyring og intern kontroll fra 2014. Endringer i forskriften
har sammenheng med Basel III og det nye kapitaldekningsregimet. Man går langt i krav til internrevisjonen og i tillegg
skal det etableres risikostyrings- og compliancefunksjoner.
Hvordan ser Finanstilsynet på om slike funksjoner overlapper
(fortrenger) internrevisjonens arbeid eller bidrar i tillegg til
internrevisjon?
– IIA utøvelsesstandarder sier noe om internrevisjonens vurdering av og forhold til virksomhetens styrings-, risiko- og
kontrollfunksjoner. Vi forventer at profesjonelle internrevisorer følger standardene også på dette området.
I tillegg har enkelte virksomheter andre avdelinger som skal
ivareta for eksempel sikkerhet og kvalitetssikring. Kostnader
ved å ha flere kontrollfunksjoner er synlige for styret, og det
kan føre til konkurranse mellom dem. Dette kan gjøre det mer
utfordrende for internrevisjonen å få tilstrekkelig ressurser.
Bør internrevisjonen på vegne av styret også «overvåke» disse
funksjonene?
– Det kan kanskje være en utfordring. Risk management og
compliance er 2. linje kontrollfunksjoner, og de rapporterer
som regel direkte til administrerende direktør. Vi vil tro at det
f. eks. kan være utfordrende for internrevisjonen å ha tilstrekkelig kompetanse til å vurdere risikofunksjonens arbeid, som
gjerne er ganske «teknisk» lagt opp.
– Det er også et interessant tema i hvor stor grad internrevisjonen kan «lene seg på» de to andre kontrollfunksjonenes
arbeid. Det er sterke krav i IIA standardene til uavhengighet,
integritet osv. Dette skal også rapporteres årlig til styret fra
internrevisor. Internrevisjonen har uansett krav om å gjøre
selvstendige vurderinger.
Avslutningsvis ga de to rådgiverne uttrykk for at de ulike
organiseringene av internrevisjonsfunksjonen er et viktig og
interessant tema. Kanskje burde Finanstilsynet gjøre en ny
evaluering som den de gjorde i 2005? Det observeres å være
økende interesse i Europa for tilsyn med internrevisjonsfunksjoner. EBA (The European Banking Authority) gjør undersøkelser og kartlegginger om dette innenfor EU.
SIRK nr 2. 2013
33
I n t e r n re v i s j o n
Overordnet uttalelse som et alternativt verktøy
for å forbedre virksomhetens styring og kontroll
Av Esa Leporanta, Nets Norway AS (ansatt i Forsvarsdepartementet frem til 1. november)
Internrevisjonen i Forsvarsdepartementet (heretter kalt FD Led IR) har hele forsvarssektoren som sitt revisjonsunivers, det vil si FD og de fire etatene som er underlagt FD1.
Utover å være departementsrådens verktøy leverer FD Led IR også internrevisjonsfunksjonen til de tre minste etatene etter egne leveranseavtaler. Den store etaten, Forsvaret,
har i tillegg sin egen internrevisjon.
I henhold til FD Led IRs strategidokument skal årsrapporter for 2013 fra
internrevisjonen i de tre minste etatene
inkludere en overordnet uttalelse om
kvaliteten på den enkelte etats virksomhetsstyring, risikostyring og internkontroll. Uttalelsen skal bidra til forbedret
evne til måloppnåelse gjennom å gi innsikt i styring og kontroll, og å skape et
effektivt og hensiktsmessig grunnlag for
kort- og langsiktig forbedring.
For å kunne utarbeide et gjennomtenkt
grunnlag for uttalelsene, ble det besluttet
å gjennomføre et pilotprosjekt i Forsvarsbygg.
Utarbeidelsen av internrevisjonens
verktøy
Ved vurderingen av utgangspunkt for
bedriftens styring og kontroll, som
brukes her som et samlebegrep for
virksomhetsstyring, risikostyring og
internkontroll, startet vi med COSO2
som har utviklet globale rammeverk
både for internkontroll (COSO IK) og
helhetlig risikostyring (COSO ERM3).
Markedet har også utviklet modenhetsmodeller til begge rammeverkene.
Det finnes også flere rammeverk som
omhandler governance. Markedet har
imidlertid utviklet betydelig færre
modenhetsmodeller på virksomhetsstyringen i forhold til internkontroll og
risikostyring.
For å evaluere modenheten i Forsvarsbyggs styring og kontroll, valgte FD Led
IR å benytte CoCo-rapportens4 fire
hovedkategorier:
Hensikt - Vet hva som skal gjøres,
Engasjement og forpliktelse - Vilje til å
gjøre det, Dyktighet og evne - Klarer å
gjøre det og Lederoppfølging og læring For å forbedre seg.
CoCo-rapporten kom i 1995 og har i tillegg 20 delkategorier som er dokumentert i den norske oversettelsen av de to
veiledningene, som er utgitt av The
Canadian Institute of Chartered
Accountants.
For å oppdatere CoCo-rapporten til
dagens forhold, ble det i tillegg hentet
inspirasjon fra andre relevante kilder5.
Bilde 1: FDs modell med tre forsvarslinjer og eksternrevisjon.
1
Forsvaret, Forsvarsbygg (FB), Nasjonal sikkerhetsmyndighet (NSM) og Forsvarets forskningsinstitutt (FFI).
2
http://www.coso.org/
3
http://www.coso.org/-erm.htm
4
Forvaltning, styring og kontroll - CoCo-rapporten (1995)
5
DFØ (Direktoratet for Økonomistyring), COSO, OCEG (Open Compliance and Ethics Group),
COBIT, King III samt IIA (Institute of Internal Auditors)
34
SIRK nr 2. 2013
I n t e r n re v i s j o n
arbeidsmøter med forretningsområdenes
ledergrupper. Disse og de innledende
arbeidsmøtene med forretningsområdedirektørene la grunnlaget for en oversiktsrapport for hvert forretningsområde i
Forsvarsbygg – slik ledelsen selv vurderer modenheten.
FD Led IRs evaluering av
Forsvarsbyggs styring og kontroll
For å ferdigstille internrevisjonens overordnede uttalelse om kvaliteten i
Forsvarsbyggs styring og kontroll,
gjennomgikk og sammenstilte internrevisjonen informasjonen fra cirka 100
eksisterende dokumenter som tidligere
hadde blitt utarbeidet av ulike interne og
eksterne kilder og som omhandlet
Forsvarsbyggs styring og kontroll.
Bilde 2: Coco-rapportens fire hovedkategorier.
Etter en samlet vurdering av disse kildene
ble det utarbeidet en modell med fem
modenhetsnivåer som støtter seg på disse
rammeverkene. Modellen ble til slutt
avstemt med Forsvaret i forhold til
relevans over hele forsvarssektoren.
Bruk av selvevalueringer som et ledd i
en overordnet uttalelse
For å øke sannsynligheten for at revisjonens eventuelle funn ikke skaper motsetninger i virksomheten, og at modellen blir
godt nok forankret hos toppledelsen, ble
Forsvarsbyggs ledelse direkte involvert i
evalueringen av virksomhetens styring og
kontroll. Dette skjedde gjennom at alle
ledere for Forsvarsbyggs forretningsområder selv skulle evaluere sitt eget
forretningsområde i begynnelsen av
prosjektet.
Etter at internrevisjonen hadde bearbeidet
og sammenstilt informasjonen fra de innledende arbeidsmøtene, ble det holdt nye
Denne dokumentasjonen ble deretter
kategorisert i henhold til NIRFs modell
med tre forsvarslinjer for å skape en oversikt over hvilke styrings- og kontrollelementer de ulike kontrollfunksjonene har
gjennomgått. Deretter ble det faglige innholdet i de eksisterende dokumentene
vurdert på en skala fra 1-5.
For å evaluere virksomhetens styring og
kontroll per delkategorier i CoComodellen, ble dokumentene deretter fordelt mellom de ulike delkategoriene.
Denne tilnærmingen gjorde det mulig å se
om flere av kontrollfunksjonene har
evaluert de samme delkategoriene eller
om noen av delkategoriene ikke har blitt
vurdert overhodet.
Dersom vi bruker kvaliteten i informasjonssystemer som et eksempel på et slik
delområde, kunne det for eksempel
konkluderes, etter at internrevisjonens
revisjonsoversikt er ferdigstilt, at
Forsvarsbyggs internkontrollfunksjon har
evaluert delområdet i fjor, mens internrevisor og eksternrevisor ikke har gjort
noen tilsvarende vurderinger hverken i år
eller i fjor. Dette kan være verdifull informasjon ved planleggingen av fremtidige
revisjonsaktiviteter.
Til slutt ble karakterene fra de ulike
delområdene presentert grafisk etter
CoCo-rapportens fire hovedkategorier og
sammenlignet med toppledelsens og
Bilde 3: Practice Guides for Reliance by Internal Audit on other Assurance
Providers og Formulating and Expressing Internal Audit Opinions – IIA desember
2011 & mars 2009.
SIRK nr 2. 2013
35
I n t e r n re v i s j o n
Bilde 4: Illustrasjon av modellen med tre forsvarslinjer.
deres ledergruppers selvevalueringer.
Hensikten med å fokusere på disse fire
hovedkategorier var å forenkle fremstillingen og derigjennom kommunikasjonen
på tvers av forretningsområder og videre
på tvers av virksomhetene i sektoren.
Avslutningsvis ble de mest alvorlige
observasjonene fra de gjennomgåtte
dokumentene sammenstilt i en overordnet
uttalelse med anbefalte forbedringer.
Gjennom å delta i modenhetsprosjektet,
fikk Forsvarsbyggs ledelse større innsikt i
virksomhetens styring og kontroll. I tillegg kunne ledelsen etter hvert sammenligne sin egenevaluering med internrevisjonens observasjoner, som kunne dokumenteres med henvisninger til skriftlige
kilder. Bruk av henvisninger muliggjorde
36
SIRK nr 2. 2013
også at andre uavhengige interessenter
kan vurdere kvaliteten i internrevisjonens
arbeid.
Avsluttende kommentarer
1. april 2013 ble nye krav til internrevisjonen offentlig sektor i UK innført.
Internrevisjonen skal nå gi en overordnet
uttalelse om kvaliteten i virksomhetens
styring, risikostyring og internkontroll.
Dette kravet vises også i IIAs Internal
Audit Capability Model, som kan anvendes for å evaluere internrevisjonens
modenhet.
Dette viser at fokuset på overordnede
uttalelser antageligvis vil bli mer dominerende fremover. Det finnes flere hypoteser nedenfor som støtter denne antagelsen.
Hypotese 1: For å øke effektiviteten i
kontrollfunksjonene, må arbeidet mellom
1. 2. og 3. linjeforsvaret koordineres i
større grad. En vel fundamentert uttalelse
forutsetter normalt også at internrevisjonen støtter seg til andres arbeid, så lenge
kvaliteten i dette arbeidet tilfredsstiller
kriteriene som er beskrevet i IIAs
retningslinjer.
Hypotese 2: Kravet til effektivitet og
hensiktsmessighet i internrevisjonens
arbeid forventes å øke fremover. Det er
som oftest ikke nok å kunne gjennomføre
enkeltrevisjoner som kun dekker mindre
deler av toppledelsens styrings- og kontrollbehov. De fleste virksomhetsledere er
etter hvert mer opptatt av å sikre at
bedriftens samlede virksomhetsstyring,
risikostyring og internkontroll dekker
I n t e r n re v i s j o n
bestemte minimumsbehov, og at dette kan
dokumenteres.
Hypotese 3: En prosess med selvevalueringer og en overordnet uttalelse,
som beskrevet her, gir ledelsen en mye
bredere, og ved behov også dypere,
innsikt i hvor det reelt sett eksisterer
utfordringer på virksomhetens styring og
kontroll.
Bilde 5: Public Sector Internal Audit Standards for UK issued by IIA UK 1. April
2013 og Practice Guide for Selecting, Using and Creating Maturity Models – IIA juni
2013.
Hvis resultatet av gjennomgangen skulle
vise at virksomhetens dyktighet og evne
er blitt karakterisert til å ligge på nivå 3
(Dokumentert design og etterlevelse) av
5, sier det seg selv at dette ikke kan heves
til nivå 4 (Systematisk design og etterlevelse) året etter uten å entydig kunne
dokumentere hvilke forbedringstiltak som
er implementert, og hvor systematisk
tiltakene er etterlevd i løpet av de siste 12
månedene.
Bilde 6: Internal Audit Capability Model - For the Public Sector. - IIA, 2009. Level 4: Overall Assurance on Governance,
Risk Management and Control
SIRK nr 2. 2013
37
I n t e r n re v i s j o n
Effektiv internrevisjon i finanssektoren
- Økte krav til internrevisor
Ny global trend innenfor
internrevisjon i finansbransjen
syklus. Noen av de mer betydelige utfordringene vil bli oppsummert i denne
artikkelen.
1. Regulatoriske krav
Internrevisjon har lenge blitt sett på som
et sentralt element i risikohåndteringen
til selskaper i finansiell sektor. The
Chartered Institute of Internal Auditors
(CIIA) presenterte i juli 2013 sine nye
anbefalinger for effektiv internrevisjon i
den finansielle sektoren. Deloitte i
Norge har tolket disse og i denne artikkelen gir vi vårt syn på anbefalingene.
Anbefalingene er banebryterne og fremkommer som en ny og forbedret måte å
organisere selskapenes internkontroll på.
Det er forventet at anbefalingene vil
påvirke de fremtidige kravene for internrevisjon i den finansielle sektoren.
2. Reposisjonering
De nye anbefalingene søker å reposisjonere fokuset i internrevisjon, fra testing
og rapportering av det interne kontrollmiljøet, til å støtte ledelsen i en mer
effektiv håndtering av sentrale risikoer.
«Økte krav til internrevisor vil kreve mer
av selskapet»
Veiledningene er viktige da årsakene til
finanskrisen og nyere governance, risikohåndtering og svikt i internkontroll innad
i finansnæringen understreker at en mer
innflytelsesrik internrevisjon kan spille
en mer viktig rolle i å støtte ledelsen i
organisasjoner i finansbransjen.
Veiledningen er eksplisitt i å ta prinsippene som har eksistert lenge til et nytt
nivå- fra posisjoneringen av revisjonsfunksjonen innad i organisasjonen (f.eks.
rapporteringslinjer og godtgjørelser) til
områder som kultur, styring og selskapshendelser.
Veiledningene bygger på et sett av
prinsipper, som vil kreve en vurdering av
konteksten i organisasjonen. Den spesifikke implementeringen er forventet å
variere i forhold til organisasjonen, men
det ventes at alle organisasjoner tar i
bruk «ånden av veiledningen».
Veiledningen er vidstrakt og setter en
standard gjennom hele internrevisjonens
38
SIRK nr 2. 2013
• Ansvarlig internrevisor bør rapportere
direkte til leder av revisjonsutvalget
• Revisjonsutvalget bør delta i utformingen og støtte styrets og ledelsens
utarbeidelse av «tone from the top»,
som fronter aksept og forståelse for
selskapets internrevisjon i organisasjonen
• Revisjonsutvalget er forventet å
evaluere samarbeidet og informasjonsutvekslingen mellom organisasjonen og selskapets internrevisorfunksjon for å støtte internrevisor i
de økte krav og ansvar
Erik Andersson
Senior Manager i Deloitte
3. Ressurser og planlegging
• Revisjonsutvalget bør godkjenne
internrevisors plan og alle vesentlige
endringer som eventuelt vil oppstå.
Forslaget spesifiserer at følgende
punkter skal vurderes i revisjonsplanleggingen:
✓ Intern governance
✓ Informasjon presentert til styret
og ledelsen
✓ Bakgrunn for selskapets risikoappetitt og hvordan denne overholdes
✓ Selskapets risiko- og kontrollkultur
✓ Risikoen for at redusert kundetilfredshet vil svekke selskapets
omdømme/renommé
✓ Kapital og likviditetsrisiko
✓ Nøkkelhendelser i selskapet
• Den ansvarlige internrevisor bør
jevnlig oppdatere revisjonsutvalget
med den kompetansen som kreves for
å fullføre revisjonsplanen og status på
budsjettet. Budsjettet bør være satt
opp med en nødvendig fleksibilitet
slik at internrevisjon har mulighet til å
håndtere risikoer etter hvert som de
utvikler seg. På bakgrunn av den nye
veiledningen vil det være påkrevet for
internrevisjonsenheten å vurdere om
de har de nødvendige ressursene,
inkludert tekniske spesialister, til å
utføre revisjonen etter sin art.
• Den nye veiledningen kan ha betydelige effekter på ressursbruk i internrevisjonen da det kreves en økt
sammensetning av ferdigheter og
ekspertise. Behovet for denne type
ressurser vil bli bestemt av risikoprofilen i hver organisasjon. Det
fremheves at disse ressursene bør bli
bestemt ut fra risikovurdering og
revisjonsplan og ikke vice versa.
• Revisjonsutvalget bør godkjenne
internrevisjonens budsjett og dokumentere i selskapets årsrapport at
handlingene utført av selskapets
internrevisjon er hensiktsmessige og
tilstrekkelige.
• Er internrevisjonen utført av en tredjepart, bør leder av revisjonsutvalget
stille til rådighet en ressurs som er
ansvarlig for at tilstrekkelig dokumentasjon er tilgjengelig for en effektiv
og tilstrekkelig internrevisjon.
4. Evaluering av resultat
• Leder av revisjonsutvalget bør være
ansvarlig for å innstille aktuell person
til stillingen som selskapets ansvarlige internrevisor, samt sette kriteriene
for utførelsen. Den ansvarlige revisor
bør deretter bli målt mot disse kriteriene.
• Leder av revisjonsutvalget bør anbefale en lønnsstruktur for internrevisor.
Lønnsbetingelsene bør ikke være
korrelert med kortsiktige lønnsomhetsmål i organisasjonen.
• Revisjonsutvalget trenger regelmessig
å evaluere internrevisor med hensyn
I n t e r n re v i s j o n
til progresjon i kriteriene som er satt i
planen.
• Revisjonsutvalget bør ta ansvar for å
oppnå en uavhengig ekstern vurdering
av internrevisors arbeid mot de
gjeldende standardene på området,
inkludert veiledninger.
• Økte krav vil trolig øke tidsbehovet
for revisjonsutvalget.
5. Interaksjon med Risikostyring,
Compliance og Finans
• Internrevisjonen bør være uavhengig
av og uten ansvar for effektiv risikostyring, compliance og finansfunksjoner da dette er en essensiell del av et
selskaps corporate governance struktur.
• I hvilken grad internrevisjonen kan
basere sitt arbeide på det som gjøres i
Risikostyring, Compliance eller
Finans må bestemmes utfra en evaluering av effektiviteten i nevnte områder
For mer informasjon kontakt Deloitte
Denne artikkelen gir en oppsummering
av hovedelementene som selskaper i
finanssektoren burde tenke på i forhold
til de nye kravene og retningslinjene som
fremgår av veiledningen publisert av
CIIA. Vi mener at disse krav og retningslinjer også vil være relevant for selskaper
utenfor finansbransjen.
Eivind Skaug
Partner og leder internrevisjonsavdelingen
innen finansbransjen
Mobil: 915 18 997
eskaug@deloitte.no
Erik Andersson
Senior manager i internrevisjonsavdelingen
innen finansbransjen
Mobil: 909 10 450
erandersson@deloitte.no
Register for CIA training course
NIRF offers for the first time courses held in English for
candidates who want to achieve the CIA designation. The
courses will be led by highly qualified members with in-depth
knowledge of the different parts of the CIA that they will be
teaching.
In addition there will be a one-day Tactic Preparation course
teaching you how to pass multiple choice exams with
Richard Minogue that we highly recommend you to
attend. Richard Minogue holds a CPA, CIA (with Certificate of
Excellence) and is a lecturer, author and advisor at Corporate
Integrity & Fraud Risk Management.
CIA consists of three parts, with an exam covering each part.
The exam is a computer based multiple choice test.
CIA exam Part 1: topics tested include aspects of
mandatory guidance from the IPPF; internal control and risk
concepts; as well as tools and techniques for conducting
internal audit engagements.
CIA exam Part 2: topics tested include managing the
internal audit function via the strategic and operational role of
internal audit and establishing a risk-based plan; the steps to
manage individual engagements (planning, supervision,
communicating results, and monitoring outcomes); as well as
fraud risks and controls.
February 13th – 14th 2014 in Oslo
Price: NOK 6 900,-
CIA exam Part 3: topics tested include governance and
business ethics; risk management; organizational structure,
including business processes and risks; communication;
management and leadership principles; information technology
and business continuity; financial management; and the global
business environment.
TBA. Probably in April/May 2014
Price: NOK 6 900,-
www.iia.no
The CIA designation is the only globally accepted certification
for internal auditors and remains the standard by which
individuals demonstrate their competency and professionalism
in the internal auditing field.
CIA Tactic Preparation course: The purpose of this
course is to help you develop a test technique and a understanding of the language related to the test. It is not enough to be
knowable about the content, but also be able to quickly understand the question and identify the right answer. The course
provides an efficient and systematic method for approaching a
complex test, including how to address multiple chose questions. We analysis different types of questions that illustrate different ways a question can be asked in the test. We discuss how
to interpret hundreds of English key word in relation to the
test. Examples of good study technique will also be provided.
February 12th 2014 in Oslo
Price: 3 500,Register for 2 or more CIA courses and get a discount on the
registration fee. Great price is offered for the CIA Learning
System.
This is also an opportunity to form study groups.
Materials for the Tactic Preparation course will be provided. It
is recommended that you read the study material for the CIA
exams before the courses.
Read more about requirements and the practical on IIA global
website https://global.theiia.org/certification/CIA-Certification/
Pages/CIA-Certification.aspx
SIRK nr 2. 2013
39
I n t e r n re v i s j o n
The ECIIA
An interview of Martin Stevens, Vice President of IIA Norway,
who currently acts as Nordic & Baltic representative on the
ECIIA Board.
What is ECIIA and why is its work important to me?
ECIIA’s full name is the European Confederation of Institutes
of Internal Auditing. It is organized under Belgian law and its
members are the national IIA institutes. As of today it has 34
member institutes, which means it has 6 more members than
there are member states in the EU and apart from EEA
(European Economic Area) states and Switzerland it includes
members from countries such as Serbia and Turkey as well as
“extended” European states such as Azerbaijan and Morocco –
not unlike the “Europe” of the Eurovision Song Contest. The
ECIIA is recognized by IIA global as a voice representing the
IIA in its region along with similar organizations for Africa
and Asia. The recently retired Chairman of IIA, Phil Tarling,
progressed to this position from a former role as Chairman of
ECIIA.
Three years ago following a major discussion of the mission of
ECIIA it was agreed by the General Assembly that the sole
mission of IIA is to promote the internal auditing profession at
the European level. Primarily ECIIA wishes to ensure that
those involved in setting the rules for Europe be it in the
commission, parliament or NGO’s such as EBA (banking) and
EIOPA (insurance) understand better the role and purpose of
the modern internal audit function. This is an important
mission for you and me as internal auditors in the EU if we
wish to operate within an intelligent framework and utilize to
the full the potential of internal audit for the organizations in
which we are employed.
What has the ECIIA achieved over the latest period?
One tangible result of work of the ECIIA are the guidelines
produced on the subject of internal audit’s role in good
governance. The validity of these guidelines is further
Internal Audit Oversight - The top 10 practices
1. Evaluating the need for the Internal Audit function
2. Assessing and approving the Internal Audit charter
3. Ensuring effective communication lines between the CAE
and the Board
4. Evaluating the Internal Audit plan
5. Assessing staffing of the Internal Audit function
6. Gaining assurance over the quality of Internal Audit work
7. Overseeing the relationship between Internal Audit and
Risk Management
8. Coordination between the Internal Audit and External Auditor
9. Assessing Internal Audit reporting
10. Monitoring management follow up of Internal Audit
recommendations
From “Making the Most of the Internal Audit Function” –
ECIIA/ecoDa 2012
40
SIRK nr 2. 2013
© ECIIA.
enhanced by the fact that they are generally produced in
collaboration with representatives outside internal audit.
The first of these guidelines was produced together with
FERMA (the European Federation of Risk Management
Associations) and bears the title “Guidance on the 8th EU
Company Law Directive”. The guidance is built around the
three lines of defence model, under which line management
has the primary responsibility for risk management, the risk
management function has a facilitating and monitoring role as
the second line of defence and internal audit has the third line
defence role to provide assurance over the effectiveness of risk
management and its performance. In this role internal audit
should take into account the activities of both line management
and the risk management function. The guidance has been
produced in two volumes, the first is aimed primarily at audit
committee members and the second is formed as a Question
and Answer checklist for Executive Committees (Top
Management). In some countries, after having obtained the
permission of ECIIA, translations have been made into the
local language (for example Norway has translated volume 1).
These documents can be used in explaining and supporting the
I n t e r n re v i s j o n
role of internal audit in relation to the Board, Top management
and the Risk Management. At the same time they can be used
at a more general level to increase the understanding of internal audit’s role amongst law makers, supervisors and society in
general.
The second document issued in late 2012 was prepared by
ECIIA in conjunction with ecoDa (the European organization
representing national institutes of directors) and has a more
catchy title of “Making the most of the Internal Audit
Function”. This guideline is aimed at Boards of Directors and
Audit/Risk Committees. It lists the top 10 practices directors
should focus on in their oversight of the internal audit
function. Again this is a document that can be used as a door
opener for a dialogue with the Board. The document was first
presented at a joint meeting with ecoDa in Brussels and is an
excellent “excuse” for local institutes to contact their local
Directors’ Institute. One may consider arranging a members
meeting of the Directors’ Institute using this document as a
basis for a discussion on realizing the value of internal audit
with speakers representing both sides of the internal audit
profession and board of directors.
In June 2013 a third document was released with specific
relevance to insurance companies. Under the so-called
Solvency II directive, Insurance companies are required to
strengthen their governance and risk management systems as
well as the reporting to the supervisory authorities and the
general public. Internal audit is allocated an important role as
one of the four named essential functions role in the governance system. However there is little practical guidance as to
the exact nature of this role. The aim of this document was
therefore to describe a common understanding and view of the
internal audit function that may carry some weight with the
standards setting body EIOPA as well as to explore whether
these requirements are satisfied by IIA standards. Not surprisingly the answer to this latter question was a resounding yes.
It also includes a helpful illustration of those tasks which
should and those which should not be performed by internal
audit based on the reflections in the IIA’s position paper
“The Role of Internal Auditing in Enterprise Risk
Management” published in January 2009.
ECIIA task force / Solvency 11 / position paper / Internal audit
Finally in November 2013 a position paper was published with
the title "Improving cooperation between internal and external
audit". The background for this paper is that, although in general internal and external audit have well-defined roles, effective coordination between the two functions should be promoted
and is indeed essential. A good relationship between internal
audit and external audit facilitates the work of both sets of
auditors, avoids duplication, and ensures the maximum
☞
SIRK nr 2. 2013
41
I n t e r n re v i s j o n
coverage of the risks faced by the entity. It also helps the
governing body obtain a comprehensive view of the entity’s
controls and risks.
A member of the working group which developed the paper is
IIA Norway member and state authorised auditor Bente
Sverdrup, CAE of Gjensidige. She comments that "my experience from having worked in the position of both external and
internal auditor is that even though both types of auditors are
themselves aware of their respective remits, it is important that
board members (and especially audit committees) as well as
management understand the roles and responsibilities of both
forms of audit. Internal audit is the tool to assist the board and
management to monitor controls in the entity, whilst the
external auditor has an independent responsibility to provide
an audit opinion on the financial statements."
2012 under the headline of “Not one size, but fit for all”.
A year later as the European Commission attempts to clarify
the role of auditors and introducing more stringent rules for the
audit sector with the aim of strengthening the independence of
auditors and increasing diversity in the audit market, it was
considered appropriate to focus a new round table discussion
on "the added value for coordination between internal and
external auditing for European business". This discussion
forum held on 12 November 2013 coincided with the release of
the position paper on the same subject.
In addition there is a regular exchange of views with other
European bodies such as FERMA, ecoDa, EBA and EIOPA.
”Not one size, but fit for all” ECIIA hosted
Round Table at The European Parliament
on the subject of Corporate Governance.
What new projects is ECIIA working on?
Apart from the round tables and general networking mentioned
above the ECIIA has sent to its member institutions a request
for a further topic to issue guidance on as a part of promoting a
better understanding of the role of internal audit. Amongst
topics currently being discussed are risk management and
control in smaller entities
In addition to these documents promoting the role of internal
audit at a “European” level, members of the Public Affairs
committee of ECIIA have held and hold meetings with EU
officials and parliamentarians. ECIIA took the initiative to hold
a round table discussion on Corporate Governance in June
42
SIRK nr 2. 2013
How can I find more information about ECIIA’s initiatives
and the documents that ECIIA has published?
ECIIA has its own website http://www.eciia.eu where you will
find more information on the ongoing activities in promoting
the internal audit profession as well as pdf versions of the
above-mentioned documents. Furthermore NIRF intends to
make new ECIIA papers and guidelines available on its website
www.iia.no and will announce publication via news blog.
I n t e r n re v i s j o n
The Sound of Audit
Av Reidar Døli, Oslo Børs VPS
Vi var en gruppe på ca 20 nordmenn
som tok turen til Wien for å delta på
ECIIA`s Conference Vienna 2.- 4.
oktober 2013. Konferansen ble holdt på
Hofburg i svært så historiske omgivelser.
Tittelen på konferansen var «The Sound
of Audit» og vi forventet alle at Julie
Andrews skulle entre scenen og ønske
oss velkommen og at all revisjon skulle
klinge som musikk i våre ører etter dette.
Vi så ikke noe til Dame Andrews, men
det ble kompensert ved at konferansen
inneholdt en rekke interessante foredrag.
Mange tok for seg internrevisors rolle i
et Europa som er skadeskutt etter finanskrisen.
Andreas Trechl er CEO i Erste Bank og
presenterte sitt syn nøkternt og begrunnet, og uttalte at internrevisor må ta sin
del av skylden for finanskrisen. De
skulle sagt fra: «Don`t do it!».
Internrevisor må i fremtiden spille en
mye mer aktiv rolle og bidra med å
identifisere risiko. Han fortsatte med å
trekke linjene fra banker i 1980- og 90årene frem til 2020. Tidligere kunne
bankene overleve selv om det de leverte
var av middelmådig kvalitet. Disse dager
er over. Fra nå av vil kun de beste overleve. Internrevisjon i 2020 blir krevende
og spennende. Internrevisorene må være
mer eller minst like kunnskapsrike og
kompetente som ledelsen i virksomhetene, var hans konklusjon.
Øverste leder av internrevisjonsavdelingen i European Central Bank (ECB)
Klaus Gressenbauer, var inne på noe av
det samme. Hvor var revisorene før
finanskrisen og var de til noe som helst
hjelp? Svaret hans var «no». Typisk nok
er det ikke de komplekse forholdene
som er problemet. Det er oftest kombinasjonen av de enklere forhold, eller
«basic things» som han kalte det, som
leder oss inn i vanskeligheter. Han
fortsatte med å dele sine tanker om hva
internrevisjonen bør ha lært. Hans
innspill gikk på kompetanseutvikling,
prosessrevisjoner på tvers av avdelinger,
synliggjøring og involvering av internrevisjonen, et godt 3. linjes forsvarsverk
og at også internrevisorene må lære av
sine feil.
IIA Chairman Paul Sobels foredrag
hadde tittelen «Imagine the possibilities». Jeg merket meg spesielt hans vektlegging av at revisor må sikre seg ved å
være til stede der det skjer, «securing a
seat at the table». Dette gjelder i diskusjoner så vel om operasjonelle som
strategiske forhold. Vi blir derved i stand
til å kunne uttale oss om hvor godt forberedt virksomheten er i forhold til å nå
sine strategiske mål.
Richard Chambers, IIA President og
CEO, så også frem mot 2020. Han vektla
hvilke strategiske risikoer som kan føre
utviklingen for internrevisorene inn på et
sidespor:
• Risiko for at vi ikke lykkes med å
ivareta våre profesjonelle standarder.
• Risiko i fremveksten av andre risiko-,
kontroll- og styringsfunksjoner som
utkonkurrerer oss.
• Risiko for at leveransene våre ikke er
i tråd med forventingene fra oppdragsgivere/interessenter.
• Risiko for at vi ikke konsentrerer oss
om høyrisiko-områdene.
• Risiko relatert til internrevisors
integritet.
Han avsluttet med 7 etikkrelaterte
egenskaper hos en leder innen internrevisjonen. Hun/han skal være ærlig,
modig, ansvarlig, empatisk, til å stole på,
respektert og proaktiv.
Det var imidlertid ett av foredragene
som ble holdt for en mindre gruppe på
dag 2 som var litt annerledes, og som jeg
festet meg ved. Dette gikk tettere inn på
internrevisjonens og internrevisors egen
risiko. Selv om foredragsholderen nok
stilte flere spørsmål enn han ga svar, så
ønsker jeg å bringe videre noe av budskapet.
Foredraget ble holdt av Christopher
Schneck, revisjonssjef (CAE) i Telecom
Austria Group. Jeg har fått vite at han er
invitert til NIRFs årskonferanse i Oslo i
mai neste år, så da blir det mulighet for
alle interesserte til å møte han der.
☞
Hofburg. Foto: HatschiKa / Wikimedia Commons.
SIRK nr 2. 2013
43
I n t e r n re v i s j o n
Han hadde tydeligvis egne og dyptfølte
erfaringer og stilte først følgende spørsmål: Intern revisor har ekspertkompetanse på å vurdere risiko. Hvor god er
internrevisor til å håndtere sine egne
forretningsrisikoer? På hvilke områder
finnes slik risiko og hva kan skje hvis
intern revisor neglisjerer disse?
Han provoserte videre med å uttale:
Generelt sett ser profesjonelle yrkesutøvere bort fra sine egne råd. Er det en
mulighet for at dette gjelder også for
revisorer?
Han stilte så spørsmål om hvorfor vi
jobber i internrevisjonen? Hva er vårt
formål? Vi kan selvfølgelig gå til
definisjonen av internrevisjon slik IIA
fastsetter den. Men vi har også noen
personlige mål om en karriere, en god
jobb, å oppnå anerkjennelse, få spennende utfordringer, eller mål rettet mot
personlig økonomi som å betale ned lån
og forsørge familien.
Med et slikt bakteppe er det spørsmål
som hvor sikker er min jobb? Hva skjer
hvis det oppstår en situasjon med en stor
mislighet eller andre skandaler? Hvilket
spørsmål dukker da opp – jo, hvor var
revisor? Dette kan føre til rettssaker og
krav der revisjonen plutselig er i skuddlinjen.
Internrevisjonen er altså ikke immun mot
risiko. Revisorer kommer noen ganger
med følgende utsagn:
• Jeg skulle gjerne revidert område x
men ledelsen lar meg ikke få gjøre det.
• Ledelsen er helt enig i mine konklusjoner men ønsker at rapporten blir
håndtert utenfor den etablerte
revisjonsprosessen.
• Ledelsen krever at mine rapporter ikke
er lenger enn 2 sider.
• Lederen min krever at jeg skal gå
videre med undersøkelsene uten at de
nødvendige tillatelser med hensyn til
personvern er innhentet.
• Med de kutt som er gjennomført i
bemanningen det siste året kan jeg
ikke lenger garantere tilstrekkelig revisjonsdekning.
• Jeg har ikke tilstrekkelig IT kompetanse til å gjennomføre oppdraget og
foreslår å leie inn ressurser. Men min
sjef sier at jeg sikkert klarer det – bare
kjør på.
44
SIRK nr 2. 2013
Rådhuset, der konferansens festmiddag ble holdt. Foto: Steve Evans / Wikimedia
Commons.
Hva kan vi gjøre med dette? Skal vi
bruke varslingskanalen? Neppe, og bare
i ekstraordinære situasjoner og da vil
det ha sin pris.
På et mer realistisk nivå kan/bør vi:
• Innse at intern revisjon er forbundet
med risiko.
• Vær oppmerksom, revisjonsrisiko er
ikke en teoretisk risiko, de er personlige risikoer – så vær egoistisk.
• Å følge standardene er en måte å
oppnå suksess på, men livet er ikke
alltid sort eller hvitt.
• Vær modig, og vær sikker på deg
selv – det krever energi og utholdenhet. Si NEI, – nei er ikke et forbudt
ord. Det kan medføre at du mister
jobben, men det å ikke si nei, vil øke
risikoen enda mer.
Oppsummert vil jeg si at forventningene til konferansen ble innfridd og
at innholdet i foredragene på nytt vitnet
om at vi har sluppet billig unna her
hjemme.
F o re n i n g s n y t t
Nyheter fra sekretariatet, IIA
og andre samarbeidspartnere
Av Ellen Brataas, generalsekretær
Tillitsvalgtsamlingen, oktober 2013
Hver høst inviterer NIRF sine tillitsvalgte og andre bidragsytere gjennom året til en sosial kveld hvor formålet, foruten
å ha det hyggelig og å bli bedre kjent, er å få vite mer om
hva som skjer på tvers av komiteer og nettverk. I år forsøkte
vi oss med en ny vri; en world-café, der de tillitsvalgte ble
delt inn i grupper som skulle innom fire forskjellige stasjoner for å diskutere følgende temaer (som for øvrig er en del
av foreningens strategiske mål de neste to årene):
• Internrevisjonen anerkjennes som profesjon
• NIRF oppfattes som foretrukket fagmiljø for kunnskapsdeling
• NIRF bidrar til at internrevisjon skjer i samsvar med
fastsatte internasjonale standarder, som skal bidra til
kvalitetssikring og sertifisering
• SWOT-analyse og hva foreningen kan gjøre mer/mindre
av
For en engasjert og kreativ gjeng vi har i NIRF! Det er ikke
forslag til tiltak det står på, heller den vanskelige oppgaven
med å prioritere, gitt ressursene foreningen har til rådighet.
Noen av de lavthengende fruktene kan vi plukke med det
samme, mens listen for å lage apper og Youtube-snutter nok
ligger litt høyere. Godt jobbet – og takk til alle som bidrog!
Audit Director Roundtable i Frankfurt,
november 2013
I november møttes 20 revisjonssjefer fra Europa til et nytt
Audit Director Roundtable, hvor tre hovedtemaer ble diskutert: Corporate Governance, International Cooperation og
IT-audit. Fra Norge deltok en revisjonssjef denne gangen.
Det var en vellykket dag med mange gode diskusjoner som
vil bli oppsummert i en artikkel som distribueres på neste
ADR-arrangementet i Brüssel, mai 2014.
CIA – endringer i eksamensstruktur
IIA har gjort om på eksamensstrukturen for CIA og fra og
med 1. juli 2013 skal CIA-kandidater bestå tre, ikke fire,
eksamener som tidligere. CIA del 1 består av 125 spørsmål,
mens del 2 og 3 er på 100 spørsmål hver. Hvilke områder
som testes på den enkelte eksamen, finner du en detaljert
oversikt over på www.globaliia.org. Kravet til to års praksis
er ikke endret. Selv om du ikke har tilstrekkelig praksis, kan
du avlegge eksamene og får automatisk tildelt CIA-tittelen
hvis du oppfyller kravet til praksis innen fire år.
Certification in Risk Management Assurance
(CRMA)
Det er nå muligheter for å avlegge CRMA-eksamen som
består av 100 mulitiple-choice spørsmål fra følgende
områder:
Domain I: Organizational governance related to risk
management (25-30 percent)
Domain II: Principles of risk management processes
(25-30 percent)
Domain III: Assurance role of the Internal Auditor
(20-25 percent)
Domain IV: Consulting role of the Internal Auditor
(20-25 percent)
I tillegg må du også ha bestått del 1 av CIA eksamen og
kravet til praksis for å oppnå tittelen CRMA. Les mer på
www.gobaliia.org.
Ny rutine for innrapportering av CPE-poeng
Fra og med i år skal alle som innehar en global sertifisering,
selv rapportere poengene direkte inn i IIAs CCMS-system.
Poeng for 2013 må rapporteres innen 31.12.2013. Det
holder å rapportere at man har nok poeng, så man trenger
ikke føre opp alle kurs eller poenggivende aktiviteter.
Dokumentasjonen skal ikke sendes inn til IIA, men må tas
vare på som bevis dersom du blir trukket ut for tilfeldig
kontroll fra IIA. NIRF har besluttet å dekke innrapporteringsgebyret fra IIA for alle sine medlemmer. Medlemmer
velger derfor skjemaet «FORM-FEE WAIVED» for å unngå
gebyr.
☞
SIRK nr 2. 2013
45
F o re n i n g s n y t t
Denne prosedyren gjelder dessverre ikke for Diplomert
Intern Revisor. Dere må derfor som tidligere år rapportere
denne direkte til NIRF på post@iia.no.
Ny Guidance fra IIA og ECIIA siden forrige
nummer av SIRK:
Practice Advisory 2320-4: Continuous Assurance
Practice Advisory 2120-3: Internal Audit Coverage of Risks
to Achieving Strategic Objectives
Practice Guide: Selecting, Using, and Creating Maturity
Models: A Tool for Assurance and Consulting Engagements
Nye veiledninger fra ECIIA:
“The role of Internal Audit under Solvency II”
“Improving cooperation between internal and external
audit”
auditing and in the public sector, IIA President and CEO
Richard Chambers met with officials representing the
International Organisation of Supreme Audit Institutions
(INTOSAI), an umbrella organisation for government audit
organizations.
“It provided us an opportunity to build awareness of the
Standards throughout the global government auditing
community, as well as foster relationships our Institutes
have with Auditor Generals in their respective countries,”
said Chambers. The IIA also hopes to leverage its relationship with government auditors to advocate for the Certified
Government Audit Professional designation more broadly.
Kilde: www.globaliia.org
Etablere en internrevisjonsfunksjon? Trenger du
bistand med å forklare hva internrevisjon er?
Vil du vite mer om kravene til ekstern kvalitetskontroll?
NIRF kommer gjerne til din virksomhet for å presentere hva
internrevisjon er og hvordan den kan være et nyttig verktøy
for ledelsen og styret i god virksomhetsstyring. Eller trenger
ledelsen og andre interessenter mer informasjon om hva en
ekstern kvalitetskontroll innebærer, ta kontakt med oss.
Vi kommer gjerne til din virksomhet og holder en presentasjon! Ring Ellen på 976 20 565 eller send en e-post til
post@iia.no.
Konferansedatoer verdt å merke seg
NIRFs årskonferanse, 25. – 27. mai 2014, Holmenkollen,
Oslo
IIAs International Conference, 6. – 9. juli
2014, London, UK
ECIIA Event, 18. – 19. september 2014,
Budapest, Ungarn
IIA Meets with INTOSAI Officials, October 2013
In its continued advocacy efforts to create an understanding
of internal auditing at the highest levels of government
46
SIRK nr 2. 2013
Dr. Josef Moser, Secretary General of INTOSAI and
President of the Austrian Court of Audit, meets with IIA
President and CEO Richard Chambers to discuss government audit issues.
IFAC signs Strategic Agreement with The IIA, July 2013
The International Federation of Accountants (IFAC) and
The Institute of Internal Auditors (The IIA) have signed a
Memorandum of Understanding (MoU) to create a formal
basis for the advancement of risk management and internal
controls toward a common goal of enhanced governance.
“This Memorandum of Understanding further strengthens
the important relationship between The IIA and IFAC. It
represents our united commitment to serve the public
interest and restore the confidence of the general public in
business reporting,” said Richard Chambers, President and
Chief Executive Officer of The IIA.
As outlined in the MoU, IFAC and IIA recognize that the
following are fundamental to an organization fulfilling its
objectives, implementing reliable financial management
and reporting, and serving its stakeholders and the public
interest.
F o re n i n g s n y t t
På tampen
Det var vel julegløggen som har skylden, eller var det
kanskje kakene? Jeg lå og vred meg i sengen og tenkte på
neste dag. Da ville jeg ikke ha noe annet valg enn å ta fatt i
årsrapporten. Jeg hadde lovet både meg selv og revisjonsutvalget at den skulle være en kort og konsis oppsummering
av året som gikk, men det er jo lettere sagt enn gjort. Det er
mange nyanser som kan bli ofret på kortfattethetens alter.
I hodet svirret fortsatt barnesangen om nissefar og julegrøten. Plutselig, i halvsøvnen, fikk jeg opp et annet bilde i
stedet for nissefar på låven. Det var meg, revisoren, på
kontoret foran skjermen – «På kontoret satt revisoren med
sin årsrapport». Men hva kan rime med «rapport»? «Dritt og
lort»? Nei, det går ikke – men hva med «vintersport»? Det
kunne passe. Årsrapportering er tross alt revisorens form for
vintersport. Men det enkleste går best: «fort», «det går så
fort»…
Nå var jeg lys våken og visste jeg ville ikke få fred før
oppgaven var ferdig. Jeg gikk inn på stua fant penn og papir
og begynte å rable ned:
PÅ KONTORET SATT REVISOREN
På kontoret satt revisoren med sin årsrapport
det går så fort, det går så fort.
Han nikker, og han smiler, og han er så glad,
for årsrapporten vil han gjerne ha.
Ingen oppdragsrapporter vil han miste,
og de frister, og de frister.
De vil så gjerne med på lange lister,
for vedlegg ønsker ikke de å bli.
Men revisoren, han vil ikke utgi mange bind:
«Tenk på trærne som kan gjøre blind,
for årsrapporten er en oppsummering,
knapt og kortfattet skal det bli.»
Men oppdragsrapportene ja de lokker,
med grønne, røde og gule blokker
oppmerksomhet det vil de ha for pokker,
og med «Ctrl V» vips så er de med.
Se revisoren han blir nå både svett og matt,
og slettetasten tar han fatt.
Han kutter og han skjærer til rapporten satt
og bedre kunne den vel neppe bli.
Han gledet seg til møtet nå med styret sitt
flott var den blitt, flott var den blitt
og lovord forventet han å høste, gitt,
og nå kjente han at han var helt utslitt.
Arkivbilde, kilde: Bee Line.
Med det sist ordet «utslitt» kjente jeg at jeg endelig
hadde fått det ute av hodet mitt og følte meg plutselig
stuptrøtt. Og da jeg la meg ned kom søvnen over meg
med en gang.
Det var et par dager senere at jeg kom igjen over det
håndskrevne arket gjemt under avisene på stuebordet. Da
var årsrapporten alt skrevet (i hvert fall første utkast), og
var på kun ti sider. Jeg måtte smile – kanskje dette hadde
ubevisst rettledet meg i arbeidet, tenkte jeg, mens jeg
krøllet sammen arket og kastet det i ovnen. «Da er vi
snart klare for et nytt revisjonsår», tenkte jeg.
SIRK nr 2. 2013
47
Returadresse: NIRF, Postboks 1417 Vika, 0115 Oslo
Med ønske om
en god jul og et
godt nytt år!
ISSN 1892-9370