SIRK Styring – Internrevisjon Risiko – Kontroll Nummer 2, vinter 2013, 21. årgang Bransjen hyller en hedersmann – Knut Løken Trine S. Grande om internrevisjon Fokus på mislighets- og korrupsjonsrisiko Intervju med Deanna Sullivan fra IAA om de nye COSO prinsippene. I dette nummeret har vi valgt å organisere temaene etter de hovedområdene til SIRK – Virksomhetsstyring, Risikostyring / Internkontroll og Internrevisjon. I seksjonen om internrevisjon deler Knut Løken sine erfaringer og refleksjoner etter et langt liv som internrevisor. Han er æresmedlem i Norges Interne Revisorers Forening (NIRF) og ble tidligere i år hedret med Kongens REDAKTØRENS fortjenstmedalje i gull for sitt virke innen musikk og revisjon. I seksjonen kan dere også få innsikt i Stortingsrepresentant og Venstres leder Trine Skei Grandes tanker om internrevisjon i offentlig sektor. SPALTE I delen om virksomhetsstyring ser vi nærmere på et av de fremvoksende områdene innenfor virksomhetsstyring, nemlig samfunnsansvar. Pål Brun fra revisjons- og rådgivningsselskapet EY skriver om finansinstitusjoners samfunnsansvar og internrevisors rolle. Nettopp samfunnsansvar er et område som i Norge har blitt satt tydeligere på agendaen gjennom en endring i regnskapslovens § 3-c) som pålegger store foretak å redegjøre for sitt samfunnsansvarsarbeid. I tillegg reflekterer NIRFs tidligere president Martin Stevens over lærdommer fra tillitssvikten i det engelske bankvesenet. En kartlegging gjennomført av konsulentselskapet CEB (Risk Intelligence Quarterly) viser viktige endringer blant de fem viktigste fremvoksende risikoene ledende internasjonale selskap fokuserer på: cyber-sikkerhet, vedvarende svak økonomisk utvikling, misligheter, skattereformer og avtakende vekst i utviklingsmarkeder. I seksjonen om risikostyring og internkontroll setter revisjons- og rådgivningsselskapet BDO fokus på forebygging av misligheter og bruk av risikoanalyser for å forebygge misligheter og korrupsjon. I tillegg har NIRFs egen Ellen Brataas intervjuet Deanna REDAKSJONS KOMITEEN Ansvarlig for dette nummeret av SIRK Mari Vonen Schibsted ASA M: 95 26 01 60 sirk.redaksjon@gmail.com Jan Wilhelm Kavli, Utlendingsdirektoratet jaka@udi.no SIRK nr 2. 2013 Vi lever i en verden som blir stadig mer digital og øyeblikkelig, der vi kontinuerlig bombarderes med nyhetsbrev, tweeter og kursinvitasjoner. SIRK-redaksjonen presenterer derfor noen publikasjoner som har vært spesielt verdifulle for oss i arbeidshverdagen. Vi oppfordrer alle lesere til å gjøre det samme – i tråd med IIAs eget motto «Progress Through Sharing». Personlig har jeg endret arbeidsgiver, og gått over fra konsulentsiden til rollen som Compliance Officer. I den forbindelse har jeg tre refleksjoner jeg gjerne vil dele med dere: • Som ny i rollen har jeg fått oppleve hvor verdifull bakgrunnen og tankesettet jeg har med meg fra internrevisjonsyrket faktisk er. Dette er noe man til stadig vekk hører, men det er en glede å oppleve selv at det stemmer. • Som fagnerd er det selvsagt en glede å vite at det finnes mengder med publikasjoner i ulike kanaler å støtte seg på, og er spesielt takknemlig for de som har gode oppsummeringer. • Den største positive overraskelsen i ny jobb har absolutt vært erfaringsutveksling med fagkollegaer innenfor virksomhetsstyring, risikostyring og internkontroll. Jeg opplever fagmiljøet i Norge som særdeles åpent og villig til å dele – en styrke det er viktig at vi tar godt vare på. Som redaktør oppfordrer jeg alle lesere til å komme med innspill på tema som opptar dere, og gjerne bidra med artikler basert på egne erfaringer. Retter også en takk til alle som har bidratt til dette nummeret, og ikke minst til vårt æresmedlem Knut Løken. Da er det bare å finne frem ballkjolen, CIA-pinsen og glede seg til julehøytiden. Ønsker dere alle en fredelig høytid. Alt godt Mari Reidar Døli Oslo Børs reidar.doli@oslobors.no Kristoffer Igdun NAV Kristoffer.igdun@nav.no Esa Leporanta Nets Norway AS elepo@nets.eu Martin Stevens Gjensidige Forsikring M: 957 50 192 martin.stevens@gjensidige.no Se mer info på www.iia.no 2 Sullivan fra IIA – den verdensomspennende foreningen for internrevisorer – som var i Oslo i oktober for å presentere de 17 nye prinsippene i internkontrollrammeverket COSO. Innhold 2 4 Redaktørens spalte Styrets leder har ordet Virksomhetsstyring 5 8 12 En bærekraftig og samfunnsansvarlig internrevisor? Bærekraftig investerings- og finansieringsvirksomhet Changing Banking for good Risikostyring / Internkontroll 14 15 18 20 23 SIRK-redaksjonens favorittpublikasjoner i 2013 Intern kontroll – et integrert rammeverk, COSO-rapporten 2013. Intervju med Deanna Sullivan PwCs 2013 seminar om antikorrupsjon Risikostyring har aldri vært viktigere Internrevisjonens rolle i kampen mot økonomisk kriminalitet Internrevisjon 27 28 30 32 34 38 40 43 Bedre nattesøvn Knut Løken – en stor inspirator Ny utredning om bruk av internrevisjon i statlig sektor Internrevisjonsfunksjonen Overordnet uttalelse som et alternativt verktøy for å forbedre virksomhetens styring og kontroll Effektiv internrevisjon i finanssektoren – Økte krav til internrevisor The ECIIA The Sound of Audit Foreningsnytt 45 47 Nyheter fra sekretariatet, IIA og andre samarbeidspartnere På tampen NORGES INTERNE REVISORERS FORENING President Jørgen Bock NAV Internrevisjon Postboks 5 St. Olavs plass 0130 Oslo M: 410 04 211 jorgen.bock@nav.no PROGRAMKOMITÉEN Hans Oskar Hansen Skattedirektoratet Postboks 9200 Grønland 0134 Oslo M: 908 84 092 hansoskar.hansen@skatteetaten.no INFORMASJONS- OG PROMOTERINGSKOMITÉEN Einar Døssland Faktum NOR AS Postboks 95 0411 Oslo M: 909 82 756 einar@faktum.no REDAKSJONSKOMITÉEN Mari Vonen Schibsted ASA Postboks 490 Sentrum 0105 Oslo M: 916 86 626 mari.vonen@schibsted.no KONFERANSEKOMITÉEN Carl Gunnar Lunde SG Finans AS Postboks 105 1325 Lysaker M: 416 09 245 carl.gunnar.lunde@sgfinans.no NOMINASJONSKOMITÉEN Petra Liset PricewaterhouseCoopers AS Postboks 748 Sentrum 0106 Oslo J: 952 60 152 petra.liset@no.pwc.com FORENINGSSEKRETARIAT Ellen Brataas Generalsekretær Tlf: 976 20 565 ellen.brataas@iia.no Svein Stabekk Foreningssekretær Tlf.: 932 37 912 svein.stabekk@iia.no Hilde Tanggaard Rådgiver Tlf: 411 07 296 hilde.tanggaard@iia.no Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika, 0115 Oslo post@iia.no Besøksadresse: Munkedamsveien 3 B, 3. etg. 0161 Oslo SIRK: Publikasjon fra Norges Interne Revisorers Forening, NIRF Antall utgivelser pr. år: 2 Opplag: 1.300 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: Juni 2014 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.m. Årsabonnement: Kr. 150 Annonsepriser: Kr. 5.000 for en helside Kr. 3.000 for en halvside (mva. tilkommer) Grafisk produksjon: Dalby Grafisk Forsidebilde: Foto: Anette Andresen/Budstikka Styreleder HAR ORDET Virksomhetsstyring Trendene innen virksomhetsstyring (Governance) fra USA, Europa og kanskje særlig Storbritannia har også nådd Norge. Internrevisjonen har kommet på radaren til myndighetene. Vår rolle innen virksomhetsstyring er i ferd med å bli ytterligere anerkjent også i Norge. Modellen med de såkalte «3 forsvarslinjer» har vunnet aksept som beste praksis og plasserer som kjent internrevisjonen i 3. linjen. Vi er en uavhengig og objektiv aktør som skal bidra til måloppnåelse og kontinuerlig forbedring. Styret1 har ansvaret for at styringssystemet er etablert og fungerer tilfredsstillende. Administrasjonen rapporterer til styret om systemene for styring og kontroll er tilfredsstillende for å nå målene i virksomheten. En uavhengig internrevisjon (3. linje) gir styret en vurdering av dette og kommer med forslag til forbedringer. Privat sektor I høst ble NIRF kontaktet av Nærings- og handelsdepartementet (NHD) for å delta i en undersøkelse om Risk Management and Corporate Governance i regi av OECDs komité for Corporate Governance. Undersøkelsen gjøres i forbindelse med OECDs arbeid med å oppdatere rammeverket for virksomhetsstyring. (OECDs Corporate Governance Principles). NHD inviterte relevante myndighetsorganer samt organisasjoner med detaljert kunnskap om risikostyring i børsnoterte selskaper inn til diskusjon sammen med representanter fra OECD. Øvrige deltagere er Norsk utvalg for eierstyring og selskapsledelse (NUES), Næringslivets hovedorganisasjon, Næringslivets aksjemarkedsutvalg, Revisorforeningen, Oslo Børs, Norsk styreinstitutt, Finansdepartementet, Finanstilsynet og Justisdepartementet. Bakgrunnen for arbeidet er at risikostyring i liten grad er utdypet i rammeverket til OECD. Risikostyring i statlige børsnoterte selskaper er særlig omtalt i undersøkelsen. Det er ventet at dette vil få en større plass i den nye versjonen av prinsippene som komiteen vil arbeide med de neste par årene. Det er krav om at selskaper på New York Stock Exchange har en internrevisjon. Også de fleste EU landenes governance koder, enten anbefaler eller stiller krav til at styrene må vurdere å etablere internrevisjon. Landene Portugal, Polen og Litauen stiller ikke slike krav. Dessverre stiller heller ikke den norske NUES koden krav til internrevisjon eller at styret skal vurdere funksjonen. Offentlig sektor Et annet OECD arbeid, rapporten Value for Money in Government Norway 2013, er også interessant for alle som er opptatt av god, hensiktsmessig og effektiv styring og kontroll i statlig virksomhet. Rapporten anbefaler å styrke regulatoriske policyer, tilsyn med departementene og en bedre koordinering mellom departementene, slik at skattebetalerne får «mest valuta for pengene» og opprettholder tillit til den offentlige forvaltningen. 1 Svært interessant for vår bransje er også OECDs forslag om at departementene i Norge bør opprette mindre uavhengige internrevisjonsenheter under ledelse av toppkvalifisert og erfaren revisjonssjef. I Norge har forsvarssektoren etablert denne modellen. Internrevisjonen bør fokusere på risikostyring i departementene og i underliggende enheter. Funksjonen bør motta internrevisjonsrapportene fra de underliggende enhetenes internrevisjon, heter det i anbefalingene. I dette nummeret av SIRK kommenterer også Trine Skei Grande, leder i Venstre, denne rapporten. I Storbritannia er det krav om revisjonsutvalg og internrevisjon i offentlig sektor. HM Treasury har engasjert seg i betydelig grad for å styrke ordningen fordi man anser at internrevisjonen gir viktig bidrag til målet om «value for money» for offentlige tjenester. Det har i lengre tid vært krav om at virksomhetsledelsen skal redegjøre for internkontroll og at internrevisjonen skal avgi en uttalelse om dette. I 2013 ble det krav om at virksomhetsledelsen i årsrapporten skal avgi et «Governance statement» istedenfor. Internrevisjonen skal avgi uttalelse til virksomhetens Governance statement. I kjølevannet av Value for Money rapporten har Finansdepartementet i Norge startet et arbeid for å utrede internrevisjon i staten. NIRF deltar i en referansegruppe i dette arbeidet sammen med flere internrevisjonsenheter i offentlig sektor. Vi må være bevisst denne utviklingen og vårt ansvar med å bidra til måloppnåelse og forbedring hos våre respektive virksomheter. Vi trenger alle med jevne mellomrom å løfte blikket og stille oss selv disse spørsmålene: • Reviderer vi de riktige områdene og er vi opptatt av de viktigste risikoene og mulighetene for virksomhetens måloppnåelse? • Er vårt arbeid avstemt med toppledelsen og interessentene i virksomheten? • Hvilke uttalelser gir vi til ledelsen? • Har vi tilstrekkelig kompetanse og kapasitet til å møte forventninger og krav? Vår profesjon går en meget spennende tid i møte. Kontinuerlig videreutdannelse er en av nøklene for å være med på denne viktige og spennende reisen. Jeg ønsker dere alle en God Jul og et Godt Nytt År. Jørgen Bock Styrets leder NB: NIRF er i utvikling! Følg oss på • www.iia.no • Facebook • LinkedIn • Twitter @IIA_Norge og @jorgeniia og få daglig siste nytt fra bransjen og fagområdet styring og kontroll. Styret defineres av IIA som den øverste myndighet med ansvar for overvåking av organisasjonens virksomhet og ledelse. Dette vil typisk inkludere en uavhengig gruppe medlemmer (eksempelvis et styre, et tilsynsstyre, «board of governors or trustees».) Hvis en slik gruppe ikke eksisterer, kan «styret» vise til virksomhetsleder. «Styret» kan også referere til et revisjonsutvalg eller til andre funksjoner de med styringsansvaret har delegert visse funksjoner til. 4 SIRK nr 2. 2013 V i r ks o m h e t s s t y ri n g En bærekraftig og samfunnsansvarlig internrevisor? Av Mari Vonen, Compliance Officer Schibsted og redaktør SIRK Som tradisjonell internrevisor1 er det enkelt å tenke at samfunnsansvar og bærekraft er forbeholdt Blekkulf-klubben og velmenende «do-gooders». To artikler fra COSO og IIA avfeier dette synet, og belyser internrevisors rolle med hensyn til virksomhetenes samfunnsansvar. Disse miljøgreiene angår da ikke meg? Som tradisjonell internrevisor har man kanskje tenkt at samfunnsansvar og bærekraft er forbeholdt Blekkulf-klubben og velmenende «do-gooders». Heldigvis har trenden snudd, og samfunnsansvar og bærekraftig forretningsdrift løftes i økende grad til et strategisk plan. Akkurat som innenfor virksomhetsstyring (også kjent som foretaksstyring, corporate governance, osv.) finnes det en minst like stor begrepsjungel for samfunnsansvar (sustainability, corporate social responsibility, bærekraftig forretningsdrift, forretningsnært samfunnsansvar, corporate responsibility…). Også investor og Ferd-eier Johan H. Andresen har meninger på feltet og ytret seg på Twitter den 17. oktober i år: «CSR is a very dead set of letters. If you insist on keeping them, rearrange them into SRC, Socially responsible companies». Siden SIRK ikke er en språkpublikasjon, slår vi fast at uavhengig av hvilke betegnelse man bruker, er sannheten at norske bedrifter ikke lenger kan ignorere samfunnets forventinger og de nye lovkravene i regnskapsloven. Spesielt innføring av regnskapslovens paragraf 3-3 c)2 gjør samfunnsansvar mer relevant for internrevisor. Dette er et område som kanskje ikke ligger de fleste internrevisors hjerte nærmest, men NIRF har identifisert to nyttige publikasjoner som hjelper oss å navigere i et hittil ukjent farvann. I det følgende vil begrepet samfunnsansvar benyttes som oversettelse av ordet sustainability. Kilde: COSO Risikostyring og samfunnsansvar Den 25. juni 2013 ga COSO ut et thought leadership paper i serien Risk Rewards. Publikasjonen “Demystifying sustainability risks” med den fengende (?) undertittelen: «Demystifying the triple bottom line into an enterprise risk management program» ser på hvordan og hvorfor samfunnsansvar kan integreres i COSO ERM. Publikasjonen er tilgjengelig for alle på COSOs hjemmesider3. Forfatterne slår innledningsvis fast at verden har endret seg. Sustainability eller samfunnsansvar har tvunget seg frem som et strategisk imperativ for bedrifter som står overfor både risiko og muligheter relatert til områdene miljø, sosiale forhold og økonomi/finansielle fordeler (såkalt triple bottom line). Denne trenden speiles også i virksomheters markedsverdi. I 1975 utgjorde fysiske og finansielle eiendeler hele 83 % av S&P 500 virksomheters markedsverdi. I 2010 sank dette tallet til bare 20 %. Resten består av immaterielle (intangible) elementer som menneskelig kapital, intellektuell kapital, merkevare, omdømme og forholdet til lovgivende organer, NGOs, kunder, leverandører og andre eksterne stakeholders. Et hvert styremedlem som hører denne analysen burde stille seg to spørsmål: 1) Hvordan er vår profil for markedsansvar? 2) Har vi strategier, prosesser og metoder som sikrer at vi styrer (manage) denne profilen på en måleffektiv/hensiktsmessig måte? ☞ Merk at den tradisjonelle internrevisor og internrevisor i artikkelen speiler forfatterens fordommer og er å oppfatte som en fiktiv person. 1 Regnskapslovens § 3-3 c pålegger store foretak å gi informasjon om sin håndtering av samfunnsansvar i årsberetningen eller i annet offentlig tilgjengelig dokument. 2 3 http://www.coso.org/documents/COSO-ERM%20Demystifying%20Sustainability%20Risk_Full%20WEB.pdf SIRK nr 2. 2013 5 V i r ks o m h e t s s t y ri n g Forfatterne fremholder at en virksomhets suksess er avhengig av mer enn bare policier og prosedyrer. Publikasjonen tar for seg de ulike COSO-komponentene sett med samfunnsansvarsbriller. Selv om etterlevelses- (compliance) og rapporteringsrisiko er best beskrevet, gir publikasjonen også interessante eksempler innenfor strategiske og operasjonelle risiko. Social • Public policy and advocacy • Community investmenst • Working conditions • Health/nutrition • Driversity • Human rights • Socially responsible investing • Anticorruption and bribery • Safety Environmental • Energy-fuel, oil, alternative • Water • Greenhouse gases • Emissions • Waste reduction: medical; hazardous, non-hazardous, construction • Recycling • Reprocessing/re-use • Green cleaning • Agriculture/organic foods • Packaging • Product content • Biodiversity Economic • Accountability/transparency • Corporate governance • Stakeholder value • Economic performance • Financial objectives Kilde: COSO thought paper Videre tar publikasjonen for seg COSOkomponentene internt miljø, etablering av målsettinger, identifisering av risikohendelser, risikovurdering, risikohåndtering, kontrollaktiviteter, informasjon og kommunikasjon og oppfølging. 7 tips for å øke bevissthet om samfunnsansvar i organisasjoner: 1. Involver ledelsen 2. Engasjer interessentene 3. Integrer samfunnsansvar i virksomhetens strategi 4. Identifiser og vurder vesentligheten av risiko 5. Identifiser quick-wins 6. Vær åpen og transparent 7. Velg riktige ledelsesverktøy 6 SIRK nr 2. 2013 • Bedre evne til å håndtere strategisk og operasjonell ytelse Organisasjoner kan skape komparative fortrinn ved å håndtere samfunnsansvarsrisiko for å forbedre resultater, øke innovasjon og styrke bunnlinjen. Selskap som skaper produkter og tjenester i et samfunnsansvarsperspektiv vil tiltrekke seg kapital fra eksterne investorer og øke interessentenes tillit. • Bedre allokering av kapital Forfatterne argumenterer at virksomheter som velger å integrere samfunnsansvar i et risikostyringsprogram basert på COSO kan oppnå følgende komparative fortrinn: • Samsvar mellom virksomhetens risikoappetitt for samfunnsansvar og organisasjonens strategi En helhetlig tilnærming til samfunnsansvarsrisiko for å vurdere samfunnsansvar på tvers av hele virksomheten, ruster virksomheten til å bedre forutse og reagere på utfordringer når de oppstår. • Økt synlighet og innsikt i forhold til/sammenlignet med kompleksiteten i dagens forretningsmiljø Gjennom å inkludere samfunnsansvar i virksomhetens rammeverk for risikostyring, kan de ansvarlige for samfunnsansvar få verdifull innsikt i samfunnsansvarsrisiko virksomheten står overfor, samt vesentligheten av disse risikoene. Dette er innsikt som kan deles med ledelse og styre slik at disse har en klar forståelse av virksomhetens samfunnsansvarsrisiko. • Sterkere kobling av selskapets markedsverdi og ikke-finansielle konsekvenser for virksomhetens risikostyring Kilde: COSO bedre rustet for å forstå påvirkning/ konsekvenser på virksomheten på ikkefinansielle måter. Det kan være utfordrende å identifisere muligheter og risiko knyttet til samfunnsansvar. Derimot kan organisasjoner som skjønner hvordan disse relaterer seg til virksomhetens verdidrivere være Organisasjoner som bruker COSO ERM rammeverket i sitt arbeid med samfunnsansvar er bedre rustet til å allokere kapital på en bedre og mer effektiv måte. Organisasjonen kan derfor maksimere utnyttelse av kapitalen og samtidig sende «riktig» signal til interessenter basert på virksomhetens verdier og strategi. Sjansen for å nå både virksomhetens målsettinger innenfor samfunnsansvar og enda viktigere - forretningsmessige mål øker altså. Et strategisk imperativ Kunder og aksjonærer forventer det og ansatte krever det. På noen få år har samfunnsansvar gått fra å være et «feelgood» initiativ til et strategisk imperativ. Vi ser nå et økende momentum for å bygge en mer integrert tilnærming til samfunnsansvar og tilhørende risiko. Virksomheter som integrerer samfunnsansvarsrisikoene i COSO ERM rammeverket, får et mer fullstendig bilde av hvordan de ligger an i forhold til sin samfunnsansvarsagenda – og ikke minst hvordan de best kan omsette dette til markedsverdi. Hvordan revidere samfunnsansvar? Den andre publikasjonen som er nyttig for en søkende internrevisor er IIAs egen practice guide Evaluating Corporate Social Responsibility/Sustainable development fra februar 2010. Publikasjonen er tilgjengelig for NIRF medlemmer på de internasjonale IIA hjemmesidene. Practiceguiden understreker at Chief Audit Executives har et ansvar for å V i r ks o m h e t s s t y ri n g Eksempel på CSRrisiko: • Omdømme • Compliance • Forpliktelser • Operasjonell • Aksjemarked • Ansatte • Salg • Eksterne forretningsforhold Kilde: IIA forstå hvordan de kan støtte ledelsen med hensyn til samfunnsansvar. En internrevisjon som aktivt bekrefter at de opererer i henhold til IPPF (International Professional Practices Framework) er kvalifisert til å revidere og gi assurance til styret og ledelsen på virksomhetens samfunnsansvarsprogrammer og rapportering. Practiceguiden er designet med formål å støtte planlegging og implementering av internrevisjonens revisjonsstrategi og programmer innenfor samfunnsansvar. Internrevisor må altså forstå virksomhetens risiko og kontroller knyttet til virksomhetens CSR-mål. Når hensiktsmessig, skal CAE planlegge å revidere, fasilitere control self-assessments, undersøke resultater og konsultere innenfor ulike områder. Internrevisor må vedlikeholde den kompetanse og kunnskap som er påkrevd for å forstå og evaluere governance, risiko og kontroller relatert til CSR-strategier. Publikasjonen tar for seg ulike CSR forretningsaktiviteter: 1. Definere policies og prosedyrer for områder innenfor corporate governance, etikk, HR, verdikjede, interessentrelasjoner, miljø, helse og sikkerhet 2. Definere målsettinger, målekriterier og strategier som for eksempel: • Redusere CO2-utslipp • Etterleve lover og regler • Redusere sikkerhetsrelaterte hendelser • Redusere avfall • Skape en kultur for åpenhet 3. Kommunisere og integrere CSRprinsipper i den forretningsmessige beslutningsprosess • CSR inkludert i prosjektbeslutninger • Kultur basert på å gjøre de riktige beslutningene for den riktige grunnen • Livssyklus verdivurdering for å vurdere påvirkning av virksomhetens produkter og drift 4. Måle, følge opp resultater og analysere trender og gjennomføre benchmarking av bl.a.: • Utslipp • Helse- og sikkerhetsrelaterte hendelser • Korrupsjonshendelser • Veldedighet og sponsing • Medarbeidertilfredshet • Lovbrudd • Forpliktelser overfor interessenter 5. Dialog med interessenter: • Referanse- eller fokusgrupper som en del av forskning og utvikling • Engasjement i politikkutforming og tilbakemeldinger (lobby-aktiviteter) • Tilfredshetsundersøkelser • Styringsprosesser for varsling (inkludert beskyttelse av klagere fra represalier eller skremsler) 6. Revisjon: • Opplysninger i offentlige rapporter • Interne kontroller og styringssystemer • Overholdelse av avtalefestede CSR vilkår og betingelser (både internt og med eksterne forretningsforbindelser). 7. Rapportering av resultater internt og eksternt, sammen med styringsprosesser for rapportering: Publikasjonen gir også ulike vinklinger for revisjonsstrategi for å evaluere CSR som er detaljert beskrevet. I tillegg gir den gode innspill på bruk av audit opinions, uavhengighets- og objektivitetshensyn og et forsøk på en CSR modenhetsmodell. I mine øyne er dette verdifull lesning og en nyttig verktøykasse – ikke bare for internrevisorer, men også de som sitter med ansvaret for samfunnsansvar. Hva er internrevisjon? Og hvordan kan det være et nyttig verktøy for ledelsen og styret i god virksomhetsstyring? Ta kontakt med Norges Interne Revisors Forening. Vi kommer gjerne til din virksomhet og holder en presentasjon! Ring 976 20 565 eller send oss en e-post til post@iia.no SIRK nr 2. 2013 7 V i r ks o m h e t s s t y ri n g Bærekraftig investerings- og finansieringsvirksomhet – hvordan bør internrevisjonen forholde seg til nye forventninger og risikoer? Av Pål Brun, Executice Director/Sustainability Services Leader EY og Tine Fossland, Senior Konsulent Sustainability Services EY Finansinstitusjoner er utsatt for en rekke nye lovkrav og reguleringer. De møter også press og nye forventninger fra viktige interessentgrupper. Samtidig opplever finansinstitusjonene at deres evne til å integrere faktorer knyttet til miljø, sosiale forhold og foretaksstyring (ESG)1 i måten de driver sin investerings- og kredittvirksomhet på, blir viktigere for å redusere risikoeksponering og sikre god avkastning på lang sikt. Hvordan bør internrevisjonene i disse institusjonene forholde seg til disse utfordringene? I kjølvannet av finanskrisen og etterfølgende skandaler har finansinstitusjoner møtt et stadig økende press for å endre sitt fokus fra kortsiktige resultater til å ha et lengre tidsperspektiv. Presset er drevet av interessenter som myndigheter, institusjonelle investorer og kunder. Disse interessentgruppene krever større åpenhet og ansvarliggjøring av finansbransjens rolle for å skape velfungerende markeder og stabile økonomiske rammebetingelser for selskaper og individer. 8 I det følgende vil vi peke på tre områder som vi mener kan utgjøre vesentlige risikoer for finansforetak, og som vi derfor mener det blir spesielt viktig for internrevisjonene i disse selskapene å ha et økt fokus på fremover: • Åpenhet om produkter og ansvarlig kunderådgivning • ESG integrering i investeringsvirksomheten • ESG integrering i kredittvirksomheten Åpenhet om produkter og ansvarlig kunderådgivning Finansinstitusjoner er involvert når enkeltmennesker skal ta viktige beslutninger, enten det er kjøp av bolig eller investering av sparepenger eller pensjoner. De er avhengig av rådene som blir gitt av finansforetaket, og det er derfor viktig at disse rådene har høy integritet. I kjølvannet av finanskrisen har forholdet mellom finansinstitusjoner og allmenheten gjennom flere enkeltsaker blitt satt på prøve, noe som har økt betydningen av åpenhet om produkter og ansvarlig kunderådgivning. I Norge har den såkalte Røeggen-saken2 bidratt til økt publisitet og bevissthet om betydningen av ansvarlig kunderådgivning. For internrevisjonen i et finansforetak vil dette på sikt medføre at styre og ledelse forventer at internrevisjonen kan gi relevant støtte og inneha kompetanse også innenfor disse områdene. Dette handler dels om evne til å identifisere de mest vesentlige risikoområdene og dels om å identifisere de riktige revisjonsprosjektene. I tillegg handler det også – i alle fall i en overgangsfase inntil man har bygget opp tilstrekkelig intern kompetanse - om å tilknytte seg riktig ekstern spisskompetanse og å sørge for utvikle hensiktsmessige og tilpassede revisjonskriterier innenfor et fagfelt i rask utvikling. Reguleringsmessig skjer det mye på området. Stadig flere produkter og tjeneste-/ produktleverandører vil omfattes av kommende regelverk som PRIPs (Package Retail Investment Products), MiFID II (Markets in Financial Instruments Directive) og IMD II (Insurance Mediation Directice). Overordnet formål med alle disse er å sikre at investeringsrådgivning gjennomføres i samsvar med kundenes interesser. Det stilles krav både til rådgiver og til informasjonen kunden skal motta i forkant av forretningsutførelse. Hvilke bærekraftrisikoområder er mest vesentlige for finansbransjen? Et vesentlig bærekraftsområde kjennetegnes ved at det er viktig for foretakets strategioppnåelse og interessenters informasjonsbehov og beslutninger. For et finansforetak vil det derfor i liten grad være selve driften av kontorvirksomheten som er mest vesentlig i et bærekraftperspektiv. Det er ikke gjennom den operasjonelle driften at de har sin største miljø- og samfunnspåvirkning. Der finansforetak derimot har stor samfunnspåvirkning er gjennom sin kjernevirksomhet – og da spesielt hvordan de tar hensyn til miljø og samfunnspåvirkning – i finansierings- og investeringsprosesser. ESG integrering i investeringsvirksomhet ESG integrering i investeringsvirksomhet ble for alvor satt på dagsorden gjennom etableringen av FNs prinsipper for ansvarlige investeringer (PRI3) i 2006. PRI er et investorinitiativ hvor medlemmene har forpliktet seg til å implementere og etterleve PRIs prinsipper for ansvarlig investeringsvirksomhet. En rekke norske institusjonelle investorer har signert prinsippene, deriblant DNB, Folketrygdfondet, NBIM, KLP og Storebrand. På globalt nivå er det nå mer enn 1000 institusjonelle investorer som står bak prinsippene, og til sammen har disse en samlet forvaltningskapital på nærmere 35 000 mrd. USD. SIRK nr 2. 2013 V i r ks o m h e t s s t y ri n g • Ekvatorprinsipper Bærekraftig • ESG kredittverktøy finansierings- • Retningslinjer virksomhet • ESG risikovurderinger Åpenhet om produkter og ansvarlig kunderådgivning • Risikoprofil • Kostnadsstruktur • Incentiver for kunderådgivere. Bærekraftig investeringsvirksomhet • • • • Utelukkelse Negativ screening Positiv screening Aktivt eierskap Figur 1: Eksempler på bærekraftområder som kan være vesentlige for et finansforetak.Illustrasjon: EY. Utgangspunktet for PRI er den forpliktelsen institusjonelle investorer har til å handle i tråd med de langsiktige interessene til de som eier eller tilgodesees av kapitalen som forvaltes. Dette ansvarliggjør kapitalforvaltere i å ta hensyn til ESG faktorer fordi disse kan påvirke avkastningen på investeringsporteføljer (i varierende grad på tvers av selskaper, bransjer, regioner, aktivaklasser og tidsperspektiv). Hva gjør de ledende finansforetakene? Praksis utvikler seg raskt innenfor alle de tre nevnte områdene og det finnes få kodifiserte standarder som kan legges til grunn for internrevisjonens arbeid. Det er derfor viktig at internrevisor har god innsikt i internasjonal god praksis og et forhold til hvordan de ledende aktørene internasjonalt håndterer de vesentlige risikoområdene. Siden PRI ble lansert i 2006 har det skjedd en betydelig utvikling i praksis innenfor ansvarlige investeringer. Fokus har beveget seg fra utelukkelse av uetiske selskaper til hvordan ESG faktorer kan vektlegges i investeringsanalyser og i investeringsbeslutningsprosessen (PRI prinsipp 1). I det følgende vil vi synliggjøre noen konkrete eksempler på tiltak innenfor hvert av de tre utvalgte områdene som ledende internasjonale finansinstitusjoner har iverksatt. Hovedpoenget er å belyse tiltak som også vil kunne få betydning for hvilke forventninger som vil bli stilt til andre finansforetak i fremtiden. ESG integrering i kredittvirksomhet ESG faktorer kan innebære vesentlige risikoer og muligheter som kan påvirke selskaper, aktiva og prosjekter på tvers av bransjer. Ved vurdering av kredittrisiko og beslutninger om långivning blir det derfor i økende grad viktig å hensynta disse faktorene. Banker kan også indirekte bidra til negative eksternaliteter, for eksempel når de gir lån til prosjekter som genererer betydelige klimagassutslipp eller har betydelig negativ påvirkning på biomangfold. En slik praksis vil også medføre en betydelig omdømmerisiko for bankene. Åpenhet om produkter og ansvarlig kunderådgivning RBS er eksempel på en bank som prøver å endre kulturen i banken gjennom å endre insentivstrukturen. Bakteppet for initiativet er at banken har blitt kritisert for sin rolle som rådgiver, både i markedet for privatpersoner og små- og mellomstore bedrifter. RBS ønsker å bygge opp en bærekraftig bank hvor kundeservice er et grunnelement og å endre kulturen for å sikre at de ansatte er fokusert på de rette behovene til kundene. Dette gjennomføres ved en endring i insentivordningene. De ansatte blir ikke lenger belønnet på grunnlag av produktsalg, men heller for å møte høy standard for kundeservice, samt deres bidrag til økonomiske resultater for den samlede virksomheten. Banker som integrerer ESG hensyn i sin kredittvirksomhet bruker gjerne ekvatorprinsippene, et sett med retningslinjer knyttet til miljømessige og sosiale risikoer ved prosjektfinansiering, i dette arbeidet. Hensikten med prinsippene er å unngå og/eller minimere prosjekters negative påvirkning på miljø og samfunn. Et annet eksempel er SEB, som har tatt et bevisst valg om å være åpne om fundingkostnadenes innvirkning på prising av boliglån. Banken oppdaterer daglig sine fundingkostnader i en graf som er tilgjengelig på SEB sine hjemmesider samt i nettbank. SEB vurderer å innføre større åpenhet rundt andre produkter på lik linje som det de har for boliglån. ☞ SIRK nr 2. 2013 9 V i r ks o m h e t s s t y ri n g ESG integrering i investeringsvirksomhet Som et ledd i å videreutvikle Société Générales tilnærming til ESG integrering i sin investeringsvirksomhet jobber teamet for Cross Asset Research med å tilby integrerte investeringsanbefalinger. Bakgrunnen for bankens integrerte investeringsanbefalinger er analyse av tradisjonelle finansielle drivere, vesentlige ESG aspekter og makroøkonomiske drivere. Société Générale benytter seg av en fire-stegs evalueringsmetode for å bestemme kvaliteten på selskapers ESG arbeid og tilnærming. Først identifiseres vesentlige ESG aspekt og den relative vektingen av E, S og G dimensjonen per sektor. Deretter bestemmes relevante prestasjonskriterier per vesentlige aspekt. Basert på dette utarbeides det en kvantitativ ESG rangering. Denne rangeringen utarbeides på bakgrunn av selskapenes arbeid og rapportering på de forhåndsbestemte prestasjonskriteriene. Det fjerde punktet i evalueringen er tradisjonell finansiell analyse. Prosessen resulterer i at det identifiseres «top picks» innen de 26 sektorene som dekkes. Société Générale har utviklet integrerte investeringsanbefalinger som et virkemiddel for å i større grad kunne vektlegge ESG i sine investeringsanbefalinger. ESG integrering i kredittvirksomhet Nordea har utviklet to verktøy for å måle miljømessig- og sosiopolitisk risiko for innvilgelse av kreditt til bedriftskunder, henholdsvis Environmental Risk Assessment Tool (ERAT) og Social and Political Risk Assessment Tool (SPRAT). Nordea benytter seg av ERAT og SPRAT parallelt. Hensikten er å analysere hvordan bedrifter håndterer miljø- og sosiopolitisk risiko og krav knyttet til disse aspektene. ERAT gir den enkelte bedrift en overordnet miljømessig risiko- profil mens SPRAT bygger tre risikoprofiler knyttet til land/ geografisk eksponering, sektor og sosiopolitisk eksponering. Hovedformålet med SPRAT er å kartlegge hvilke sosiopolitiske risikoer hos den enkelte bedrift som potensielt kan påvirke selskapets evne til å møte sine betalingsforpliktelser hos banken. I tillegg er verktøyet laget for å bestemme sannsynlighet for at finansiering av selskapet kan påføre Nordea skade, eksempelvis gjennom forverret omdømme. Resultatene fra ERAT og SPRAT inntas i den generelle kredittvurderingen av den enkelte bedrift. Det er obligatorisk å bruke ERAT på bedrifter med kredittgrense fra 500 000 EUR. For bedrifter med kredittgrense fra fem millioner euro og oppover er også SPRAT obligatorisk. Verktøyene benyttes også for bedrifter med lavere kredittgrense dersom bedriftens karakteristika indikerer at bedriften kan være eksponert for betydelig miljøeller sosiopolitisk risiko. Hvordan bør internrevisjonen forholde seg til forventninger og risiko knyttet til bærekraft i finansinstitusjoner? Finanskrisen og etterfølgende skandaler har ført til at viktige interessenter, som investorer og myndigheter, krever større åpenhet og ansvarliggjøring av finansbransjens rolle for å skape velfungerende markeder og stabile økonomiske rammebetingelser for selskaper og individer. Det er derfor aspekt knyttet til kjernevirksomheten, ikke den operasjonelle driften, som er kjernen i finansforetakenes samfunnsansvar. I denne sammenheng har internrevisjonen en viktig oppgave i å bidra til å identifisere de mest vesentlige risikoområdene knyttet til ESG integrering i kjernevirksomheten og tilhørende revisjonsprosjekter. Environmental, social and governance Småsparer Ivar Petter Røeggen vant i 2013 sin mangeårige kamp mot DNB i Høyesterett. DNB ble dømt til å erstatte Røeggens tap etter at de hadde solgt ham et spareprodukt som han ble anbefalt å lånefinansiere kjøpet av. 3 The United Nations-supported Principles for Responsible Investment. 1 2 Foreningen gratulerer følgende medlemmer med ny tittel siden forrige nummer av SIRK: CIA Anette Strømsnes, Det Norske Veritas AS Thomas Hager, Statoil ASA Annalena Baer, Deloitte AS Cecelie Lyngnes, KPMG AS CGAP Knut Blikeng, Forsvarsdepartementet CRMA Annalena Baer, Deloitte AS Tove Albrektsen, Ernst & Young AS Berge Johan Graf von Rothenburg, Deutsche Bahn AG 10 SIRK nr 2. 2013 Dipl.I.R. Merete Skjelsbæk, Kirkens Nødhjelp Mette D. Storvestre, BKK AS Lisa Jensen, BDO AS Siw-Hilde Holmen, Norsk Tipping AS Elisabeth Aaserud, Avinor AS Leif Erik Dahl, Forsvarssjefen Anita Kleppe Sivertsen, Statens vegvesen Cecelie Lyngnes, KPMG AS Øystein J. Hoff, PwC AS Anders Tautra, PwC AS Anders Tømmerås, Riksrevisjonen Kristin Tengs Grundy, Arbeids- og velferdsdirektoratet Daniel Heggelund, Riksrevisjonen Izabella Salicath, AbbVie AS Vi vokser! Deloitte er et av de ledende internrevisjonsmiljøene i Norge. Vi bidrar til å skape resultater for våre kunder gjennom en strategisk tilnærming til utfordringer, men også gjennom praktiske handlinger og gjennomføringsevne. Vi har i dag over 100 rådgivere som leverer tjenester innenfor internrevisjon, strategisk og taktisk risikostyring, intern kontroll, corporate governance, compliance, informasjonssikkerhet og granskning. Deloitte er verdens største leverandør av profesjonelle tjenester med over 200.000 medarbeidere i over 150 land, hvorav ca. 1.200 i Norge. Ønsker du å vite mer om våre tjenester eller være del av et dynamisk og innovativt miljø, kontakt oss gjerne for en hyggelig samtale. Stein Ove Songstad, Partner ssongstad@deloitte.no Tlf. 915 56 161 Eivind Skaug, Partner eskaug@deloitte.no Tlf. 915 18 997 Helene Raa Bamrud, Partner hbamrud@deloitte.no Tlf. 974 23 678 © 2013 Deloitte AS SIRK nr 2. 2013 11 V i r ks o m h e t s s t y ri n g Changing Banking for Good Av Martin Stevens, Gjensidige Forsikring Bakgrunn I juni 2013 ga det britiske parlamentet ut en rapport om banketikk under tittelen «Changing Banking for Good». Denne tittelen har en dobbel betydning, og viser både til at bankvesenet må forandres til det bedre og til at det må forandres for godt.1 Rapporten ble utarbeidet på bakgrunn av en alvorlig og allmenn svikt i tilliten til det britiske bankvesenet etter bankkrisen i 2008. Denne krisen krevde statlige utbetalinger på ufattelige NOK 1200 mrd. Banklederne slapp unna ansvaret for fiaskoen, og fortsatte til og med å være generøst belønnet. Dette skurret mot den alminnelige rettferdighetsfølelsen. På toppen av dette ble det påvist at banker hadde lurt sine kunder til å kjøpe låneforsikring de ikke hadde bruk for, og derivater med risikoer som de ikke forsto. Senere er det blitt kjent at storbankene over mange år har manipulert fastsettelsen av markedsrenten LIBOR, samt bistått kriminelle og sanksjonsbelastede regimer med å hvitvaske sine skitne penger. I rapporten prøver kommisjonen å identifisere hva som hindret de mange som så eller burde ha sett farene, fra å si ifra. Under har jeg valgt ut seks av temaene kommisjonen har identifisert, og presenterer hva den mener kan og bør gjøres for å hindre at denne situasjonen gjentar seg. I håp om at bankvesenet skal lære av sine feil «Banking history is littered with examples of manipulative conduct driven by misaligned incentives, of bank failures born of reckless, hubristic expansion and of unsustainable asset price bubbles cheered on by a consensus of self-interest or selfdelusion. An important lesson of history is that bankers, regulators and politicians alike repeatedly fail to learn the lessons of history: this time, they say, it is different. Had the warnings of past failures been heeded, this Commission may not have been necessary.» todelt. I første omgang kunne de si at ingen hadde meldt fra til dem om disse problemene. Dette var delvis forklart med komplekse organisasjoner og en kultur om kun å gi gode nyheter oppover. Hvis presset likevel var for stort, ble den andre unnskyldningen brukt: «Alle var med på den beslutningen». På denne måten var det ikke mulig å holde noen bestemt person ansvarlig. Den foreslåtte løsningen Kommisjonen foreslår å opprette et opplegg der ansvar tildeles bestemte personer for hver vesentlig forretningsaktivitet og risiko. På den måten vil man opprette et system der det er klart hvem som har apekatten (som man sier i London) hvis det går galt. Er oppførselen i forbindelse med arbeidsutførelsen for dårlig, er riset bak speilet at man skal kunne miste sin ”lisens” til å være ansatt i bankvesenet i Storbritannia. 2. Svikt i kontrollansvar De fleste banker opererte med en modell med tre forsvarslinjer for sin internkontroll. Rapporten kritiserer ikke selve modellen, men peker på tre svakheter ved hvordan modellen har blitt praktisert. For det første: Dersom Compliance tok på seg en rolle der de godkjente alle nye forretningstyper, kunne første linjen fraskrive seg sitt ansvar for oppfølging av lover og forskrifter. For det andre: Risikostyring og Compliance har hatt for lav status, slik at de ikke har blitt hørt som motvekt til sterke krefter på forretningssiden. Funksjonene kunne også være fragmenterte, med noe ansvar lokalt og noe sentralt. For det tredje: Hele organisasjonen har vært preget av at kritikk tolkes som tegn på manglende solidaritet. Svikt i kontrollansvar Første forsvarslinje Andre forsvarslinje Linjeledelse Internkontroll 1. Ansvarsfraskrivelse Den amerikanske artisten Shaggy hadde en hit med sangen «It wasn’t me». I sangen holder han fast på sin uskyld og forlanger å bli trodd, på tross av åpenbare bevis for at han har bedratt sin kjæreste med andre kvinner. Dette kan minne om bankenes holdning etter avsløringene i kjølvannet av krisen. Da toppledelsen ble konfrontert med at de måtte ha skjønt og godtatt disse store risikoer og uregelmessigheter, var forsvaret 1 Etterlevelse (Compliance) 1 Annet SIRK nr 2. 2013 Tredje forsvarslinje 1 Compliance tar på seg en første linje rolle. Risikostyring og Compliance har for lav status 2 og er fragmentert 3 Kulturproblemer Modell - ECIIA «Guidance on the 8th EU Company Law Directive» Rapporten kan hentes ned gratis fra http://www.parliament.uk/business/committees/committees-a-z/joint-select/ professional-standards-in-the-banking-industry/news/changing-banking-for-good-report/ 12 2 Ekstern revisjon Risikostyring Internrevisjon Parlamentsrapportens sammendrag, punkt 9 V i r ks o m h e t s s t y ri n g Den foreslåtte løsningen Kommisjonen foreslår at rollene til andrelinjen må styrkes og rendyrkes. For å sikre «standing» til andrelinjefunksjonens ledere skal de beskyttes gjennom rapportering til uavhengige styremedlemmer. På denne måten håper man at det blir sikkerhetsventiler både i andre- og tredjelinjer, som vil varsle når fare er på ferde. 3. Uhensiktsmessig organisering De fleste bankvirksomheter ble av kommisjonen beskrevet som et forbund av småkongedømmer, der overblikk og strategisk kontroll var så godt som umulig. Utover dette var den ansattes lojalitet til teamet (motivert av ønsket om å beholde jobb og bonus) sterkere enn sin lojalitet til firmaet. Den foreslåtte løsningen Kommisjonen håper at dette vil løses gjennom forslaget i det første punktet ovenfor om å allokere et unikt og personlig ansvar, sammen med forslaget i det andre punktet om å styrke kontrollfunksjoner i andre og tredje linje. 4. Feil insentiver Hensynet til at forretningene var i kundens og selskapets beste interesse ble svekket av fokuset på kortsiktige mål, herunder spesielt salgsmål og egenkapitalavkastning, ved fastsettelse av lønn og godtgjørelse. Den foreslåtte løsningen Kommisjonen fremhever at det er ønskelig at banker utvikler en kultur der man er åpen for å utfordre beslutninger og strategien uten å bli stemplet som illojal. De uavhengige styremedlemmene har her en viktig rolle å spille, som korreksjon til gruppetenkning og flokkmentalitet. Avslutning Kommisjonen er ikke udelt optimistisk hva gjelder om at fremtiden blir bedre enn fortiden, jamfør sitatet i tekstboksen. Mye av løsningen ligger i å endre holdninger til det bedre, og det er ikke noe som vil skje over natten. Og dette arbeidet kan kreve at man må takke nei til «gode» forretninger på kort sikt. Gevinsten ligger i at man overlever på lang sikt, men det vil være uvant å måtte prioritere slik. Uavhengige styremedlemmer og compliance-, risikostyringsog internrevisjonsfunksjoner med høy faglig integritet har en viktig rolle å spille for å sørge for at firmaets langsiktige overlevelse ikke settes på spill i jakten på kortsiktige gevinster. Forretningsledelse må tåle å bli utfordret. Dette kan, etter min mening, innebære at de nevnte funksjoner ikke vil være de mest populære i virksomheten, men til gjengjeld vil de forhåpentligvis oppnå respekt over tid. Den foreslåtte løsningen Kommisjonens hovedtiltak for å få et sunnere fokus og mer langsiktig tenkning, er å låse bonusutbetalinger opp til ti år, samtidig som uavhengige styremedlemmer ikke skal motta noen lønn eller annen godtgjørelse som er resultatbasert. 5. Manglende etterlevelse av etiske verdier Uetiske handlinger ble ikke stoppet av de fine etiske retningslinjer som organisasjonene opererte under. Delvis var dette et bevisst valg fordi insentivene om å tjene penger på kort sikt var sterkere. Varslingskanalene fungerte ikke som de skulle, på grunn av at det å si fra ble oppfattet av de ansatte som karriereselvmord. Den foreslåtte løsningen Kommisjonen mener at varslere må sikres en større trygghet ved å sørge for beskyttelse fra et uavhengig styremedlem. Generelt ønsker man å oppnå en større samstemmighet i kulturen fra toppen til midten og bunnen av organisasjonen, men man mangler konkrete anbefalinger på hvordan man skal få dette til. Kommisjonen erkjenner at det å endre kultur er vanskelig og vil ta tid. En liten, men interessant, detalj er forslaget om å øke kvinneandelen i meglerrommene for å få bukt med den ekstremt macho-kulturen som ellers råder. 6. For dårlig risikofokus Banken hadde ekstrem tro på matematiske modeller skulle gi det hele og sanne bildet av risikoeksponeringen. I virkeligheten var det store og viktige risikoer (eksempelvis gearing- og likviditetsrisiko) som ikke ble ivaretatt i disse modellene. Slike risikoer holdt på å ta knekken på flere banker. Med andre ord så man ikke skogen for bare trær. SIRK nr 2. 2013 13 R i s i ko s t y ri n g / I n t e r n ko n t ro l l SIRK-redaksjonens favorittpublikasjoner i 2013 CEB Risk Intelligence Quarterly Publikasjonen utgis av Legal, Risk & Compliance Practice i CEB. Den første utgaven ser blant annet nærmere på top 5 fremvoksende risikoer, compliance risiko i vekstøkonomier (emerging markets). Her er det konkrete eksempler, tall og grafer som gir gode argumenter i interne diskusjoner. http://ceb.uberflip.com/i/192608 PwC Risk Resilience serie PwCs US’risk resilience rapporter tar for seg ulike dimensjoner av risikostyring. Her finner man blant annet modenhetsmodeller for å vurdere egen risikostyring, og flere av artiklene har «5 questions for the Board» som enhver internrevisor, risk manager eller compliance officer burde tenke gjennom. www.pwc.com/resilience Deloitte Audit Committee Resource Guide IIA Practice Guidance Sustainability Usikker på hvordan du skal revidere virksomhetens satsning på samfunnsansvar? Da gir IIAs practice guide deg gode tips og triks. 14 SIRK nr 2. 2013 Mange internrevisorer sitter som sekretær i revisjonsutvalg. Da er Deloitte US’ oppdaterte versjon av god praksis for revisjonsutvalg god å ha. Veiledningen inneholder flere ulike problemstillinger og gjeldende reguleringer basert på det amerikanske lovverket, men er likevel interessant for norske lesere. www.foretaksstyring.no R i s i ko s t y ri n g / I n t e r n ko n t ro l l Intern kontroll – et integrert rammeverk, COSO-rapporten 2013 Intervju med Deanna Sullivan Av Ellen Brataas, generalsekretær i NIRF I de 20 årene som har gått siden COSO (Committee of Sponsoring Organizations of the Treadway Commission) gav ut «Intern kontroll – et integrert rammeverk, COSO-rapporten», har forretningsmiljø og rammebetingelser endret seg drastisk. Denne våren kom COSO ut med en oppdatert utgave av rammeverket. Tidligere brukere av COSO-rapporten vil finne mye kjent i den oppdaterte utgaven. Definisjon av intern kontroll og de fem komponentene1 er de samme som i forrige versjon. Kravet om å ta hensyn til alle de fem komponentene når man skal vurdere effektiviteten i et internkontrollsystem, er i det store og hele uendret. Den oppdaterte utgaven beskriver 17 prinsipper som knyttes til de fem komponentene. Prinsippene skal tydeliggjøre hvordan komponentene skal vurderes, men gir samtidig mulighet for at brukerne selv finner den beste måten å gjøre det på. Målsettinger knyttet til finansiell rapportering har blitt utvidet til å omfatte andre viktige former for rapportering, herunder ikke-finansiell og intern rapportering. Rammeverket reflekterer også de siste tiårenes mange endringer i forretningsmiljø og rammebetingelser, som: • forventninger til virksomhetsstyring • globalisering av markeder og virksomheter • endringer og større kompleksitet i forretningslivet (herunder outsourcing) • krav fra myndigheter og andre standarder • kompetanse og ansvarlighet • ny teknologi • forebygging og avdekking av misligheter Ved utgangen av 2014 vil ikke lenger rammeverket fra 1992 være gyldig, og det forutsettes at alle som anvender COSOrapporten har konvertert til den oppdaterte utgaven innen den tid. Om det er en stor jobb å konvertere spørs på hvor godt systemet som er etablert for intern kontroll fungerer i dag. Til hjelp for implementering og oppfølging har COSO laget et «Illustrative Tools», Volume II. På tampen av oktober var NIRF så heldige å få Deanna Sullivan fra IIA til Oslo for å holde et todagers kurs: «COSO Internal Control – Integrated Framework: Turning Lecturer: Deanna Sullivan, CIA, CRMA, CPA, CGMA, CFE Deanna Sullivan has a diverse background ranging from auditing and accounting to consulting and training. She is an experienced facilitator and motivational speaker. Formerly a partner with Arthur Andersen’s Risk Consulting Practice, Deanna led the development effort for the firm’s Business Self-Assessment methodology, Quality Assurance Review methodology and Global Best Practices for Internal Audit. She is an active member of the Institute of Internal Auditors (IIA) and was Chairman of the IIA’s 2006 International Conference held in Houston, Texas. Deanna delivers a highly-rated ethics course certified by the Texas State Board. She is a frequent speaker at conferences and events around the globe and has been a top rated speaker at the last six IIA International Conferences. Principles Into Positive Action». Tittelen er hentet fra tidligere styreleder i COSO, Larry Rittenberg, sin bok. Kurset ble avholdt på BI slik at studentene på Flemming Ruuds Master of Management-program også fikk mulighet til å delta. På to intensive dager gjennomgikk vi de 17 prinsippene og fikk de demonstrert i praksis gjennom en kombinasjon av engasjerte forelesninger og gruppeoppgaver. Samtidig benyttet jeg anledningen til å spørre Deanna nærmere om enkelte detaljer i rammeverket, hvilke fordeler det nye rammeverket bringer og om hun har noen tips til internrevisorer: Ellen: In your opinion, what is the most value given by the changes and why is this so? ☞ SIRK nr 2. 2013 15 R i s i ko s t y ri n g / I n t e r n ko n t ro l l Kilde: Privat Deanna: First I believe that just by releasing a new version of COSO, the committee has called attention to the framework and caused us to consider the components of the framework and its function. After 21 years, people tend to take things for granted if they haven't changed or evolved. So just adding a new focus to a great framework is worthwhile in itself. Ellen: Which changes do you feel are most important? “Management demonstrates a commitment to ethics and integrity.” Deanna: I think the addition of the 17 principles provides for a more detailed, comprehensive approach to evaluating an organization's internal controls. The wording of the principles, e.g. “Management demonstrates a commitment to ethics and integrity”, makes it very clear that management must take ownership for each of the principles. I also like the addition of the fraud risk principle and evaluating potential pressures or incentives within the organization which could promote fraud. Ellen: In what way has the COSO Framework become a better tool for implementing and evaluating internal control? Deanna: I like the change from factors to principles and the assessment tool. The principles are written so it is very clear 16 SIRK nr 2. 2013 what the organization should be doing to have an effective system of internal controls and what management's responsibilities are. Also with the previous version, people struggled with how to actually implement the concepts. The assessment templates in Volume II provide specific examples on how to use the framework at various levels within the entity and how to handle deficiencies. The prepopulated template which is available makes it very easy for organizations to immediately begin using the new framework. Ellen: In the seminar you mentioned the previous version was read and put on a shelf because there were no incentives for implementing and monitoring. In what way does this new COSO Framework contribute or give incentives to the use of the framework, if any? Deanna: Management will always push back on "implementing" things without having a strong stick or a tasty carrot. Implementing means resources, time, people and money so the pressure or desire needs to be great. So we do have to be prepared with a marketing pitch to demonstrate where other organizations have suffered because they didn't address one or more of the 17 principles. Management has to want to improve and we have to be able to articulate the value proposition. You can start slow; try the framework on one process or one entity. Just getting management up to R i s i ko s t y ri n g / I n t e r n ko n t ro l l speed on the principles and having them think about the concepts, is a step in the right direction. Ellen: In what way does the updated Framework present leadership opportunities for internal auditors? Deanna: This is a great opportunity for internal audit to take the lead in educating the organization on the new framework. The organization can take a fresh look at the five components and ensure that they have adequately implemented them. Internal audit is perfectly positioned to make the board and the audit committee, as well as management, aware of the new framework and the opportunities for enhancing the organization's system of internal controls in the achievement of business objectives. Ellen: Do you have any tip to internal auditors on how to get started using the Framework? Deanna: Internal audit can use the framework to perform their audits, even if management hasn't implemented COSO. The five components and 17 principles provide a good roadmap for evaluating a process or an entity. And the framework is a great tool for determining the root cause of an issue within an area. Ellen: According to Larry Rittenberg’s book: "Although it does not happen now, I believe that future reporting will require more transparency and users will be interested in the amount of risk that an organization accepts. It may take more than a decade, but the time may come when the amount of risk and the risk appetite of the organization will be communicated in external reports." What is your perspective on this? Kilde: Privat ”Internal audit can use the framework to perform their audits, even if management hasn't implemented COSO.” Deanna: I believe organizations will always push back on sharing their risk assessments. The press tends to take this information and distort it. I gave the example of the hospital who determined through their risk assessment process that they could save more patients in a disaster if they moved the healthiest patients first. The press was quick to publish that the hospital was leaving the elderly and disabled to die. The hospital was trying to save more lives and the press turned the information around to make them look as if they were deliberately destroying patients. So organizations will never be keen on sharing some details of their risk assessment. Will this be a requirement in the future? I couldn't say. I'm not very good with a crystal ball. Ellen: And lastly; this seminar emphasizes “turning principle into positive action”. Do you believe we are capable after the seminar…? Deanna: This seminar and Larry Rittenberg’s book focus on taking theory and making it reality. Turn the 17 COSO principles into action within the organization. Hopefully everyone left the seminar motivated to take a stab at making this a reality within their organizations. 1 Kontrollkomponenter: Kontrollmiljø, Risikovurdering, Kontrollaktiviteter, Informasjon og kommunikasjon, Oppfølging SIRK nr 2. 2013 17 R i s i ko s t y ri n g / I n t e r n ko n t ro l l PwCs 2013 seminar om antikorrupsjon: Hva er myndighetenes forventninger til norske virksomheters arbeid med antikorrupsjon? Av Janne Britt Saltkjel, Compliance Officer i Multiconsult PwCs årlige seminar om antikorrupsjon gikk 13. juni av stabelen for 6. gang. Tema i år var myndighetens forventninger til virksomheters arbeid med antikorrupsjon. Arrangement var i år lagt opp som et debattseminar, med tre panel bestående av generalsekretær Guro Slettemark i Transparency International, Group Compliance Officer Carine Smith Ihenacho i Statoil, Compliance officer Janne Britt Saltkjel i Multiconsult, førstestatsadvokat Arnt Angell fra Økokrim og forsker Tina Søreide fra Christian Michelsens Institutt/ Universitetet i Bergen som deltakere. Debatten ble ledet av Helge Kvamme, daværende og mangeårig partner i PwC Norges granskningsenhet. I tillegg holdt Glenn Ware fra PwC i Washington og Keith McCarthy fra PwC UK et innlegg om retningslinjer fra myndighetene i hhv USA og UK og de erfaringene man hadde gjort seg. ”Det nytter ikke med verdens strengeste lover om ikke de håndheves.” - Helge Kvamme, korrupsjonsjeger og tidligere partner i PwC / partner i Selmer. Helge Kvamme med Arnt Angell fra Økokrim, Tina Søreide fra Christian Michelsens Institutt/UiB og Carina Smith Ihenacho fra Statoil. Fotograf: Tania W. Leporowski Blant de over 60 deltakerne var representanter fra Aker Solutions, Statoil, PGS, Wilhelmsen Ship Service, NORAD, Oljefondet, DNB m.fl. Ingen av de inviterte representantene fra Stortinget eller regjeringen kunne stille, noe som i og for seg understreket temaets aktualitet; behovet for proaktive tiltak fra myndighetene for bedre samarbeid med virksomhetene i kampen mot korrupsjon. Det ble i tillegg debattert hva som kjennetegner et godt antikorrupsjonsprogram og hvordan dette kan tillegges vekt i en eventuell straffe- eller sanksjonsprosess. Kvamme innledet med at selv «verdens strengeste korrupsjonslov» er nytteløs om den ikke håndheves og at 18 SIRK nr 2. 2013 det er uklart hva norske myndigheter forventer av virksomhetene. Britiske og amerikanske myndigheter har laget retningslinjer for hvordan virksomheter bør arbeide med antikorrupsjon, herunder hvordan håndtere konkrete situasjoner der man er eksponert for korrupsjonsrisiko, samt etablert organer for å håndtere henvendelser fra virksomhetene. Liknende tiltak bør vurderes i Norge, men er p.t. ikke på agendaen til norske myndigheter. Både Multiconsult og Statoil og andre virksomheter støtter seg derfor til retningslinjer fra USA og Storbritannia, som gir en pragmatisk og praktisk tilnærming til håndtering av konkrete korrupsjonsforsøk, men uten å vite om dette kan være i konflikt med forventningene til norske myndigheter. Det foreligger altså ikke signaler eller anbefalinger fra norske myndigheter R i s i ko s t y ri n g / I n t e r n ko n t ro l l Risikovurderinger, integritetsundersøkelser og bakgrunnssjekker er altså helt klart et arbeid som flere virksomheter må fortsette å prioritere. Prinsipper og rutiner for dette må være nedfelt i skriftlige styringsdokumenter – policyer og prosedyrer – og operasjonalisert gjennom opplæring og bevisstgjøring av medarbeidere, og fulgt opp og monitorert av Compliance-funksjoner. Når det gjelder straffeansvar, utfordrer foretaksstraff norsk rettspraksis, som baserer seg på å plassere skyld og straff på personer. Tina Søreide støttet av Arnt Angell fremholdt at i verste fall kan alle som har en kontrollfunksjon som skal forhindre korrupsjon, bli straffeforfulgt dersom man ikke griper inn. Men til tross for en uttalt «nulltoleranse» mot korrupsjon, er det enda ingen utstrakt bruk av foretaksstraff eller straffeansvar for ledelse eller styremedlemmer i Norge. Manglende retningslinjer, straffesaker og domfellelser i de nordiske landene har medført at det i noen antikorrupsjonsmiljøer utenlands hersker en oppfatning om at nordiske myndigheter er for passive og verner om nordiske virksomheter. En slik «Nordic conspiracy» kan representere en omdømmerisiko for norsk næringsliv. Denne bør tas på alvor av myndighetene i arbeidet med antikorrupsjon fremover. Helge Kvamme avrundet debattseminaret med en erkjennelse av at nulltoleranse «er en drøm»; et godt antikorrupsjonsprogram vil generere saker, men nettopp det å avdekke disse og håndtere dem er sentralt for antikorrupsjonsarbeidet; det behøves mer innsats fra myndighetene enn bare verdens strengeste lover. Innføring i internrevisjon På denne dagen vil du få en innføring i internrevisors roller og ansvar, begrepsavklaringer og definisjoner, samt hvilke etiske regler og hvilke krav som ligger i internrevisjonens standarder. Formål med kurset: Gi deltagerne de nødvendige grunnkunnskaper i internrevisjon gjennom introduksjon til internrevisjonens rammeverk, spesielt rettet mot de obligatoriske delene. Innholdet i kurset er nødvendig basiskunnskaper for øvrige kurs. www.iia.no om hva som er et «godt nok» antikorrupsjonsprogram, men internasjonalt har en beste praksis utviklet seg. Både Transparency International og virksomhetene påpekte at det må være forankret i toppledelsen og tydelig kommunisert ut i organisasjonen. I det daglige arbeidet er risikovurderinger og integritetsundersøkelser av tredjeparter kritisk viktig. I følge Glenn Ware fra PwC Washington kan hele 80 % av korrupsjonstilfellene tilskrives virksomhetens tredjeparter. Statoil har ti heltidsansatte som kun jobber med IDD (Integrity Due Dilligence) av tredjeparter, både leverandører og samarbeidspartnere – og da ser de kun på et utvalg av disse, basert på risikovurdering. Mindre selskaper har ikke mulighet til å mobilisere like store ressurser. I Multiconsult, som har 1.450 ansatte mot Statoils 30.000, utføres integritetsundersøkelser av tredjeparter av Compliance Officer i samarbeid med ansatte fra linjen som besitter erfaring og spesialkunnskap om enkelte aktører, bransjer og regioner. De interne integritetsundersøkelsene suppleres med ekstern bistand dersom det er behov for ytterligere undersøkelser, da typisk tredjeparter i land med høy korrupsjonsrisiko. Ut fra spørsmål fra salen var håndtering av tredjeparter, og da særlig i land med korrupsjon og såkalte facilitation payments («tilretteleggingsbetalinger») som en del av forretningskulturen, et tema som opptok flere organisasjoner. Kurset dekker følgende: ■ Internrevisjon – roller og ansvar, definisjoner og avgrensninger, eksempler ■ Governance: Hva ligger i begrepet og hvorfor er dette relevant for oss ■ Internkontroll ■ Risikostyring ■ De etiske reglene ■ De faglige standardene ■ Veien videre; utdanning, diplomering og sertifisering Hvem kurset er beregnet på: Nyutdannede, personer som er nye i internrevisjonen, internrevisorer som ønsker oppfriskning av basiskunnskaper, ansatte i stabsfunksjoner eller andre som ønsker mer informasjon om hvilken nytteverdi internrevisjonen kan bidra med. Krav til forkunnskaper: Ingen. Vedlikeholdspoeng (CPE): Gjennomføring av kurset gir 8 CPE-poeng for CIA, CCSA, CGAP, CFSA, CRMA og Diplomert Intern Revisor. Pris: Medlemmer kr 3 500 Ikke-medlemmer kr 3 800 Tid: 5. februar 2014, 09.00 – 17.00 Sted: Oslo Forelesere: Ellen Brataas (CIA, CRMA, CISA), generalsekretær i NIRF Karl-Ludvig Mauland (siviløkonom), partner BDO Påmelding: www.iia.no eller telefon 932 37 912 SIRK nr 2. 2013 19 R i s i ko s t y ri n g / I n t e r n ko n t ro l l Risikostyring har aldri vært viktigere Av: Are Jansrud (Partner) Eirik Øsebak (Director) og Magnus Digernes (Manager), KPMG En internasjonal undersøkelse i regi av KPMG forteller oss at det vil være et økt fokus på risikostyring i tiden fremover. Men for å lykkes med risikostyring er det viktig å synliggjøre verdien. Dette er en av hovedutfordringene med risikostyring som fremkommer i undersøkelsen. Om undersøkelsen Economist Intelligence Unit har på vegne av KPMG gjennomført en undersøkelse blant 1092 direktører over hele verden. 28 prosent av dem er adm. direktører eller konsernsjefer, 18 prosent er økonomidirektører, syv prosent er styremedlemmer og de øvrige er direktører innen drift, risikostyring, juridisk, IT, compliance eller internrevisjon. Hovedtrekk i resultatene De viktigste funnene fra undersøkelsen var som følger: 1. Risikostyring blir sett på som et viktig bidrag til virksomheten, men organisasjonene trenger å forbedre hvordan de måler verdien av risikostyringen 2. Ledere sliter med å fastsette et helhetlig risikobilde 3. Få virksomheter har formulert en risikoappetitt 4. Regulatorisk press og endringer i regelverk er den typen hendelse som de fleste ser på som den viktigste trusselen 5. Linjeledelsen er bedre til å identifisere og vurdere risiko enn det funksjoner som risk management, compliance og internrevisjon er 6. Mangel på menneskelige ressurser og kompetanse hindrer samhandling mellom risiko- og kontrollfunksjoner 7. Svake insentiver hindrer risikobasert beslutningstaking Risikostyring er strategisk viktig Undersøkelsen viser at risikostyring spiller en strategisk viktig rolle for virksomheten. 47 % sier at risikostyring er avgjørende for å nå virksomhetens mål. Undersøkelsen spør ikke om risikostyring har blitt viktigere enn før, men avdekker at investeringer i risikostyring har vokst i prosent av totale inntekter de siste tre årene. Hele 65 % oppgir at denne andelen har steget, og av disse svarer 18 % at den har vokst betydelig. Ledere sliter med å vurdere risiko på tvers av virksomheten Toppledere vurderer risikostyring å være svært viktig. Flertallet av respondentene sier at risikovurderinger er inkludert i den 20 SIRK nr 2. 2013 strategiske planleggingen minst en gang årlig. En viktig del av helhetlig risikostyring er å aggregere risiko på tvers av virksomheten, men 20 % av ledere oppgir at de ikke har etablert noen prosess for aggregering av risikoer. Source: Expectations of Risk Management Outpacing Capabilities – It’s Time For Action, 2013 The business has a risk and control self assessment process in place There is no process in place to aggregate risks The risk management function performs a bottom-up risk assessment process at least annually The risk assessments of all risk and control functions are aligned to ensure a complete risk profil Illustrasjon: KPMG For komplekse virksomheter er det avgjørende å ha en god tilnærming til nedenfra og opp-risikovurdering for fullt ut å forstå de operasjonelle risikoene. Nesten halvparten av ledere sier at virksomheten utfører en nedenfra og opp-risikovurderingsprosess minst en gang årlig. Videre sier 38 % at virksomheten har en prosess for å gjøre en egenevaluering av sine risikoer. Dette er et godt grep hvis virksomheten ønsker at de ansatte skal få eierskap til risikoene. Etter å ha utført en nedenfra og opp-vurdering, er neste skritt å sikre at alle risikovurderinger er justert for å lage en helhetlig risikoprofil for virksomheten. Men bare 34 % av respondentene gjør dette. Undersøkelsen illustrerer avstanden mellom teori og praksis. Få virksomheter definerer sin risikoappetitt Et overveldende flertall (86 %) av de spurte sa at risikostyring er viktig i beslutninger knyttet til strategisk planlegging. Virksomheter vil ha problemer med å utvikle en strategisk plan uten å ha definert sin risikoappetitt, herunder om risikoeksponeringen i virksomheten er i samsvar med ønsket avkastningsnivå. Selv om mange toppledere tror de har intuitiv kjennskap til virksomhetens risikoappetitt, er det en utfordring å få en felles forståelse blant ledere og eventuelt styre om hva R i s i ko s t y ri n g / I n t e r n ko n t ro l l virksomhetenes risikoappetitt faktisk er. Resultatene fra undersøkelsen viser at mindre enn en femtedel (19 %) av virksomhetene har fastsatt og kommunisert risikoappetitten for hele virksomheten. 22 % sier at dette er under utvikling. Videre sier om lag 40 % at en formell risikoappetitt er etablert, men ikke kommunisert i hele virksomheten. 19 % sier dette ikke har blitt utviklet i det hele tatt. Source: Expectations of Risk Management Outpacing Capabilities – It’s Time For Action, 2013 Fully developed and implemented Developed but has not been communicated or vetted to the organization Not at all 74 % og 73 %), mens tredjelinjen (internrevisjon) ble vurdert som effektiv av henholdsvis 67 % og 66 % av respondentene. Dette samsvarer med den ønskede dynamikken i et linjeforsvar – der førstelinjen har hovedansvaret for risikostyringen i virksomheten. Ideelt sett bør alle tre linjene integreres effektivt med hverandre. Utfordringen er å sikre at det ikke finnes store mangler i risikohåndteringen, eller ineffektivitet ved duplisert innsats. Dette krever klare definisjoner av roller og ansvar av de forskjellige funksjonene, samt tverrfaglig opplæring i risikostyring for alle tre forsvarslinjer. Source: Expectations of Risk Management Outpacing Capabilities – It’s Time For Action, 2013 Very effective Somewhat effective Slightly ineffective Very ineffective/ Not at all effective Not applicable First line of defense: Identifying / assesing risk Communicated among the risk management function but not within the business In process of development First line of defense: Managing risk Illustrasjon: KPMG Regulatorisk press blir sett på som den største trusselen mot virksomhetene Det var nesten uunngåelig at myndigheter rundt om i verden ville stramme inn regelverkene etter finanskrisen. Det er ikke kun finansnæringen som har merket regulatoriske innstramminger – også energisektoren og virksomheter i «andre næringer», som forbruksvare, bygg og kjemikalier, har merket det regulatoriske trykket. Vi ser heller ikke noen signifikant forskjell mellom regionene. Regulatorisk press ble ansett som nesten like stor trussel for de fleste næringer i Asia, som det var for dem i Europa og Nord-Amerika. Second line of defense: Identifying / assessing risk Second line of defense: Managing risk Third line of defense: Identifying / assessing risk Third line of defense: Managing risk Illustrasjon: KPMG Linjen identifiserer risiko bedre enn andre- og tredjelinjefunksjoner Det er vanlig å inndele virksomhetens system for risikostyring og internkontroll i «tre forsvarslinjer». Her representerer førstelinjen linjeledelsen i virksomheten – de som tar og eier risikoen. Andrelinjen utgjøres av sentrale funksjoner som compliance og risikostyring, med ansvaret for overvåking av risiko samt eierskap til prosesser og verktøy for risikostyring. Den tredje forsvarslinjen er ansvarlig for uavhengige vurderinger av virksomhetens system for risikostyring og internkontroll, og utgjøres ofte av internrevisjonen. Mangel på menneskelige ressurser hindrer god risikostyring Det er ingen tvil om at tekniske hjelpemidler og systemer spiller en avgjørende rolle i å samle og analysere data for å aggregere risiko, slik at ledere kan ta velinformerte beslutninger. Økende evne til å analysere store mengder data og kontinuerlig oppdatere ledere på interne og eksterne trender bør gi et mer helhetlig bilde av risikoene i virksomheten. Derfor er det ikke overraskende at 74 % av respondentene oppgir teknologi som viktig eller svært viktig for å integrere risikostyring i virksomheten. Teknologien er spesielt viktig for å integrere risikoinformasjon på tvers av funksjoner. Respondentene i undersøkelsen ga generelt sine egne virksomheter gode skussmål for sin evne til å identifisere, vurdere og håndtere risiko i sammenheng med de «tre forsvarslinjer». Den første linjen i forsvaret (linjeledelsen) blir regnet som den sterkeste, hvor 78 % av respondentene sier denne funksjonen er effektiv når det gjelder å vurdere risiko og 75 % av respondentene sier denne funksjonen er effektiv i håndtering av risiko. For andre forsvarslinje (blant annet risikostyrings- og compliance-funksjoner) falt vurderingen noe (til henholdsvis Men undersøkelsen viser også en skepsis til tekniske løsninger; 26 % av respondentene sa at teknologi er heller marginalt viktig eller ikke viktig i det hele tatt i risikostyringen. Deres mangel på entusiasme deles av nesten en tredjedel av topplederne. Dette forteller oss at teknologi er viktig, men at teknologi alene ikke er løsningen. Menneskelige faktorer er avgjørende dersom selskapene skal håndtere kompleksiteten i risikostyringen. At 42 % av de spurte oppgir mangel på kompetanse SIRK nr 2. 2013 21 R i s i ko s t y ri n g / I n t e r n ko n t ro l l som den viktigste hindringen for samhandling mellom risikoog kontrollfunksjoner i virksomheten kan gi grunn til bekymring. Lack of human resources/expertise Complexity of convergence process There are more important priorities Potential benefits are not clear Få tviler på at investeringer i risikostyring er verdifullt hvis dette reduserer usikkerheten for å oppnå bedriftens mål. Men unøyaktige eller mangelfulle målinger er en utfordring. For bedre å kunne vurdere gevinster fra risikostyring bør virksomheter sikre etableringen av kvalitative og kvantitative KPI’er med tydelig kobling til virksomhetens øvrige mål. We use quantifiable measures to value the risk management program (e.g., capital costs, hedging or insurance costs, etc) Geographic dispersion of our organization We have no mechanism to measure the ROI of the risk management program Stress testing of core business processes against specific scenarios Cost of convergence process Resistance to change of Board and executive level Existing technology is inadequate Lack of financial resources Other Illustrasjon: KPMG Det kan være en stor utfordring å håndtere krav om bedre risikostyring og kontroll, samtidig som risiko også skal håndteres mer effektivt. Ansatte må ha god kompetanse til å kunne vurdere kompleksiteten i risikobildet, og de må ha evnen til å kommunisere med resten av virksomheten og forstå virksomhetens behov. Samtidig er ansatte i risiko- og kontrollfunksjoner avgjørende når risikokulturen skal bygges. Risikobasert beslutningstaking hemmes når det er en svak kobling mellom incentiver og risiko. De fleste respondentene innrømmer manglende bruk av risikobaserte metoder i beslutningstaking. En sannsynlig årsak er at 65 % av de spurte innrømmet at koblingen mellom risikostyring og insentivsystemer var svak eller ikke-eksisterende. En god kobling mellom insentiver og risikostyring er viktig for å gi ansatte motivasjon til å vurdere både risiko og muligheter i beslutningene. 74 % av virksomhetene med en sterk kobling mellom insentiver og risikostyring oppgir at de hadde en god risikokultur, mens kun 42 % av virksomhetene med svak kobling mente det samme. Organisasjoner bør forbedre måling av gevinster fra risikostyringen En klar trend i undersøkelsen er at bedriftene bruker stadig mer ressurser for å styrke risikostyringen sin. Men selv i virksomhetene som svarte positivt på at de ønsket å styrke risikostyringen i tiden fremover, var det bekymringer rundt hvorvidt virksomheten oppnår merverdi som følge av dette. Mer enn en fjerdedel av respondentene (28 %) sier de ikke har noen mulighet til å vurdere gevinster fra investeringene i risikostyringen. Blant dem som oppgir at virksomheten har en avansert form for risikostyring, svarte 52 % at de brukte kvantiserbare teknikker for å måle risikostyringen. We review past results or risk events to assess the effectiveness of risk management response Illustrasjon: KPMG Hva betyr funnene? Rapporten viser tydelig at risikostyring tas på alvor. Med stadig økende kompleksitet og regulatorisk trykk har risikostyring aldri vært viktigere. Likevel ser mange manglende kompetanse til å håndtere risiko. Virksomheter sliter med å bygge et helhetlig risikobilde, hvilket vanskeliggjør strategisk planlegging. Mange selskaper har ikke utført nedenfra og opp risikovurderinger eller utviklet en formell risikoappetitt. Virksomheter øker sine investeringer i risikostyringsløsninger i håp om at teknologi kan hjelpe, ikke minst med å bryte ned barrierer mellom risiko- og kontrollfunksjoner – men opplever vurdering av verdien av disse investeringene som en utfordring. Ved å analysere fellestrekk blant virksomheter som vurderer seg selv høyt i de ulike kategoriene kan vi trekke ut enkelte suksessfaktorer. Disse virksomhetene har innarbeidet kontinuerlig forbedring av risikostyring – og stiller store krav til denne. Virksomhetene innser at risikoene som skaper usikkerhet rundt deres fremtid er i stadig utvikling, og at deres kompetanser og evner må følge denne utviklingen. Samtidig ser disse virksomhetene at dokumentasjon av risikostyringens verdi er påkrevd for å rettferdiggjøre investeringer. Rapporten ”Expectations of Risk Management Outpacing Capabilities – Its time for action”1 finner du på KPMGs hjemmesider (kpmg.no). Her finnes også en rekke eksempler på god praksis innen helhetlig risikostyring. Expectations of Risk Management Outpacing Capabilities – Its time for action. KPMG International, May 2013. 1 22 SIRK nr 2. 2013 We rely on the rating agency to review our risk management program R i s i ko s t y ri n g / I n t e r n ko n t ro l l Internrevisjonens rolle i kampen mot økonomisk kriminalitet Av Mads Blomfeldt og Kristian Thaysen, BDOs granskingsavdeling. Å forebygge økonomisk kriminalitet handler ikke bare om å redusere risiko, men også om å ta samfunnsansvar. I tillegg til å ramme den enkelte virksomhet, påvirker ulike former for kriminalitet både samfunnet og enkeltindivider på en negativ måte. Korrupsjon, sosial dumping, hvitvasking og miljøkriminalitet har åpenbare negative konsekvenser for både samfunnsutviklingen og konkurransesituasjonen i næringslivet, og det er de svakeste i samfunnet som rammes hardest. Forebygging av økonomisk kriminalitet skjer først og fremst gjennom god internkontroll, og dette er internrevisjonens kjernekompetanse. Internrevisjonen bør derfor ha en sentral rolle i arbeidet med å vurdere virksomhetens rammeverk for å forebygge. De negative samfunnskonsekvensene av korrupsjon og andre former for økonomisk kriminalitet bør være den viktigste motivasjonen for norske virksomheters forebyggende arbeid. Økonomisk kriminalitet og korrupsjon representerer dessuten et betydelig risikobilde for den enkelte virksomhet, herunder risiko for straff, bøter, tap av omdømme og ikke minst risikoen for å bli utestengt fra anbudskonkurranser. I enkelte tilfeller kan også de direkte økonomiske tapene som følge av misligheter innebære utfordringer for selskapets likviditet, eller påvirke selskapets verdi i en salgsprosess. I tillegg til anbefalinger fra Økokrim, og organisasjoner som Transparency International og OECD, har både amerikanske og britiske myndigheter gitt Kristian Thaysen og Mads Blomfeldt. Foto: BDO retningslinjer for hvordan virksomheter skal arbeide med å forebygge og avdekke korrupsjon. Det er enkelte ulikheter både i lovgivningen og hvilke krav som forventes, men de overordnede prinsipper er langt på vei like. Det viktigste er imidlertid å forhindre korrupsjon i vid forstand, og da blir nyansene mindre avgjørende. Et godt utgangspunkt kan for eksempel være å legge Transparency Internationals definisjon til grunn: Korrupsjon er misbruk av makt i betrodde stillinger for personlig gevinst. Økokrim har via Dagens Næringsliv tidligere i år formidlet ni sjekkpunkter både for å unngå foretaksstraff og eventuell unngå etterforskning i forbindelse med korrupsjonshandlinger begått av ansatte. Det vil således kunne være av svært stor betydning om selskapet i sitt arbeid med å forebygge korrupsjon har på plass de elementer som Økokrim fremhever. Økokrim sine ni sjekkpunkter er i all hovedsak i tråd med den etablerte beste praksis, men fortjener en nærmere forklaring for at de som har ansvaret for dette, styret og bedriftsledere, faktisk skal ha mulighet til å vurdere om de er rustet i den grad som forventes. Korrupsjon er bare en av flere typer økonomisk kriminalitet virksomhetene kan rammes av. Annen type kriminalitet som typisk rammer norske virksomheter kan være miljøkriminalitet, underslag og økonomisk utroskap, bedrageri, regnskapsmanipulasjon og ikke minst ulike former for informasjonstyveri eller cyber crime. Det er svært få virksomheter som bare møter korrupsjonsrisikoen i sitt risikobilde. Vi mener derfor at virksomheter bør ha en mer helhetlig tilnærming til temaet og sette fokus på hele bildet knyttet til økonomisk kriminalitet. Noen virksomheter møter en større risiko for ☞ SIRK nr 2. 2013 23 R i s i ko s t y ri n g / I n t e r n ko n t ro l l Viktige elementer for å forebygge økonomisk kriminalitet Illustrasjon: BDO korrupsjon enn andre, og dette må da selvsagt gjenspeiles i de kontrolltiltak som etableres. I bunn og grunn handler dette om god internkontroll. Det handler om at toppledelsen må sette standarden, det må gjennomføres risikovurderinger og ikke minst er det essensielt at de kontrolltiltak som etableres, adresserer virksomhetens risiko. Gjennom BDOs rammeverk for å forebygge misligheter og korrupsjon forklarer vi de ni sjekkpunktene på en enkel måte som gjør at leseren kan vurdere om ens foretak er tilstrekkelig rustet. Vårt rammeverk er basert på COSO-rammeverket. Vårt rammeverk er illustrert under, og de mest sentrale momentene er nærmere redegjort for under illustrasjonen. Kontrollmiljø handler om kultur, prinsipper og prosedyrer og ikke minst styret og toppledelsen sin kommunikasjon rundt forebygging av økonomisk kriminalitet. Dette er helt avgjørende for å etablere en kultur der korrupsjon blir 1 2 24 forhindret. Selskapet må etablere og kommunisere prinsipper knyttet til hva som er akseptabel adferd og, ikke minst, konsekvenser dersom ansatte går ut over akseptabel adferd. Virksomhetens risikobilde, herunder korrupsjonsrisikoen må reflekteres i virksomhetens etiske regelverk. Enkelte virksomheter opererer i bransjer og i land der medarbeidere møter på andre problemstillinger enn hva som kanskje er vanlig i Norge. Dette kan for eksempel være krav om betaling av 5000 dollar for å få havnesjefen til å sørge for at skipet med viktige materialer får anledning til å legge til kai umiddelbart. Virksomheten vil kunne risikere å tape betydelig beløp ved forsinkelser og er avhengig av denne materialleveransen. I slike tilfeller må den enkelte medarbeider være godt kjent med selskapets prinsipper og prosedyrer og være trygg på ledelsens støtte i de valg som tas. Gode systemer for varsling er ansett som kanskje det aller viktigste tiltaket for å avdekke misligheter og korrupsjon. Virksomheten bør legge til rette for Riksrevisjonens rapport om den årlige revisjon og kontroll for budsjettåret 2012 Kriminalitets- og sikkerhetsundersøkelsen utført av Næringslivets Sikkerhetsråd SIRK nr 2. 2013 varsling både fra ansatte (i tråd med arbeidsmiljølovens krav) og for eksterne. Vi gjør her oppmerksom på personvernlovgivningen og at varslingsordning for eksterne krever konsesjon fra Datatilsynet. Dette vil, i følge Datatilsynet, bli vurdert endret. Varslingskanaler må gjøres kjent på virksomhetens internett og/eller intranett. Gode saksbehandlingsregler og varslervern er svært viktig i denne sammenheng. Vurdering av risikobildet - for å kunne ha et velfungerende system for å forebygge økonomisk kriminalitet, herunder korrupsjon er man avhengig av å kjenne risikobildet. Risikobildet er varierende, alt etter hvilke land man opererer i, hvordan man er organisert, hvilke bransjer man opererer i osv. For å ha god oversikt over hvilken risiko som må adresseres må risikoen kartlegges. Risikoen for korrupsjon bør kartlegges ved å involvere relevante deler av organisasjoner, både i linje og i stab. Spesielt de ansatte som kan være mest berørt, typisk selgere, innkjøpere og andre i tilsvarende funksjoner, bør involveres. Krav til gjennomføring av risikovurderinger bør R i s i ko s t y ri n g / I n t e r n ko n t ro l l være formalisert, herunder krav til frekvens. Ved store endringer i virksomhetens omgivelser, f eks, inntreden på nye markeder, ved store omorganiseringer mv., bør det vurderes å gjennomføres særskilte og/eller nye risikovurderinger. Undersøkelser, både Riksrevisjonens undersøkelse1 og KRISINO-undersøkelsen 20132, viser at virksomheter i både offentlig og privat sektor i alt for liten grad gjennomfører risikovurderinger. Kontrollaktiviteter - virksomheten må etablere kontrollrutiner som adresserer viktig risiko, spesielt korrupsjonsrisikoen. Kanskje noe av det viktigste er gode rutiner for sikre at virksomheten har tilstrekkelig kunnskap om sine ulike samarbeidspartnere. Dette sikres gjennom bakgrunnsundersøkelser, såkalte (Ethical) Integrity Due Diligence. Spesielt ved bruk av agenter, salgs- og markedsrepresentanter eller lignende er dette viktig. Ved kjøp av virksomhet er det også viktig å ha god innsikt i transaksjonens motpart. Virksomhetens kontrollaktiviteter må ta utgangspunkt i gjennomførte risikovurderinger. Det er svært viktig at virksomheten har en oversikt som viser sammenhengen mellom identifisert risiko og etablerte kontrollaktiviteter. Informasjon og kommunikasjon ansatte må få tilstrekkelig opplæring og ofte vil det være hensiktsmessig at ulike kategorier ansatte får ulik opplæring. Ansatte i stillinger som lett kan bli utsatt for krav om bestikkelser, bør få særlig opplæring, herunder dilemmatrening, for å være rustet mot slike situasjoner. Regnskapspersonell bør være trenet til å avdekke faresignaler og indikasjoner på korrupsjonsbetalinger og tilsvarende. Virksomheten bør ha klare prosedyrer for intern og ekstern kommunikasjon med hendelser eller mistanke om hendelser og ikke minst tror vi det er viktig at virksomhetens ansatte deler kunnskap og erfaringer, også på dette området. Til slutt minner vi om at virksomheten må ha teknologi som understøtter virksomhetens arbeid med å forebygge økonomisk kriminalitet. Kristian Thaysen. Foto: BDO Kontinuerlig overvåking og forbedring av tiltak - virksomhetens arbeid med å forebygge og avdekke økonomisk kriminalitet og korrupsjon må løpende overvåkes for å sikre at det i tilstrekkelig grad adresserer virksomhetens risikobilde og er velfungerende. Tiltak, eksempelvis etablert varslingsordning, må regelmessig evalueres. Både ledelse og styre har ansvar for at virksomheten har etablert et rammeverk som beskrevet i denne artikkelen, dog tilpasset den enkelte virksomhet og dens særegenheter. Hva med internrevisjonens rolle? Vi ligger til grunn at internrevisjonens rolle er å støtte den daglige ledelsen og virksomhetens styrende organer gjennom uavhengige vurderinger av virksomhetens risikostyring og internkontroll. Med en slik forutsetning synes det åpenbart at internrevisjonen både kan og bør spille en svært viktig rolle for å sikre at virksomheten nettopp har etablert et program som vi har beskrevet. Vi anbefaler at virksomhetens rammeverk for å forebygge, avdekke og håndtere økonomisk kriminalitet bør inn på internrevisjonens årsplan. En full og overordnet gjennomgang bør gjøres regelmessig, og dessuten bør det settes særlig fokus på enkeltelementer som for eksempel rutiner og prosedyrer for krav til (Ethical) Integrity Due Diligence av risikoutsatte tredjeparter og etterlevelse av disse rutinene. Kampen mot korrupsjon og økonomisk kriminalitet vil neppe vinnes en gang for alle. Men med et effektivt og helhetlig program for å forebygge og avdekke økonomisk kriminalitet, som er revidert av virksomhetens internrevisjon, vil virksomheten kunne bidra til å redusere omfanget, og dermed også skadevirkningene av korrupsjon. Risikoen for virksomheten blir betraktelig redusert, og virksomheten vil, i følge Økokrim, kunne unngå etterforskning og straff. SIRK nr 2. 2013 25 BDO RISK ADVISORY SERVICES SØKER MEDARBEIDERE I BDO lever vi etter verdiene nær, åpen og modig. Kunder opplever oss som reaksjonsdyktige og initiativrike. Åpenhet skal bidra til forbedring. Vi skal evne å tenke nytt og skape de gode løsningene. Vi skal stille de riktige og viktige spørsmålene i jakten på å sikre og skape verdier for våre kunder. Vi står ikke stille, men søker alltid utvikling. Det betyr at vi må ha mot til å utfordre både kundene, markedet og oss selv. Risk Advisory Services i BDO består av spesialiserte og erfarne medarbeidere som jobber med IT-revisjon, internrevisjon, risikostyring, internkontroll, informasjonssikkerhet samt gransking og mislighetsforebygging. Vi søker løpende kandidater til alle disse tjenesteområdene. For mer informasjon og for å søke på stillingen, kontakt: Karl-Ludvig Mauland - tlf: 90 24 04 88 - karl-ludvig.mauland@bdo.no www.bdo.no BDOS VARSLINGSTJENESTE DET VIKTIGSTE ENKELTTILTAKET FOR GOD INTERNKONTROLL Oppfyller din virksomhet lovbestemte krav til varsling? BDOs varslingstjeneste sikrer at du overholder arbeidsmiljølovens krav til varsling (jf. AML §§ 2-4, 2-5, og 3-6), samt Datatilsynets krav til personvern. BDOs varslingstjeneste: • Komplett løsning som kan tas i bruk umiddelbart • Sikrer anonymitet • Trygg, tillitsskapende og effektiv Kontakt oss for mer informasjon: Tlf: 97 09 01 00 | forensic@bdo.no | www.bdo.no BDO - Et bevisst valg 26 SIRK nr 2. 2013 I n t e r n re v i s j o n Bedre nattesøvn Av Trine Skei Grande, leder i Venstre Offentlig styring og kontroll handler på mange måter om måloppnåelse. Gang på gang løftes temaet i Kontroll- og konstitusjonskomiteen på Stortinget. Komiteens jobb er å kontrollere om regjeringens politikk er i overensstemmelse med Stortingets vedtak og intensjoner. Under en høring i komiteen i fjor stilte jeg spørsmål om internrevisjon kan være et nyttig verktøy for å bedre kontrollsystemene som skal sikre riktig bruk av offentlig midler. Jeg opplevde at flere igjennom høringen ikke kunne gi et godt svar på dette. Jeg skjønte også at internrevisjon ikke engang var vurdert. Det er en tankevekker. Jeg mener det er viktig å vurdere alle verktøy som kan bedre styring og kontroll, og at internrevisjonen er et slikt verktøy. For å kunne vurdere hvorvidt virksomheter bør etablere internrevisjon, er det essensielt å forstå hva det dreier seg om. Det er ikke snakk om en form for «tallrevisjon», men handler om systemer og prosesser. Definisjonen av internrevisjon beskriver funksjonen som «en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til organisasjonen oppnår sine målsettinger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og governance.» Dette høres både positivt og ganske voldsomt ut. å forbedre en organisasjon og for å bedre måloppnåelsen. Nettopp i offentlig sektor er det viktig at ledelsen jevnlig vurderer om virksomheten er organisert slik at en oppnår de målene en vil nå. Å se på organisasjonen utenfra kan være veldig nyttig. OECD kom tidligere i år med en ny Value for Money-rapport. I disse rapportene søker man å identifisere positive utviklingstrekk i organiseringen av offentlig sektor, og gi anbefalinger som skal, sagt på godt norsk; gi valuta for pengene. Med dette menes økt kvalitet (value) på tjenester, med en mer effektiv (money) offentlig sektor. I årets rapport anbefales det blant annet å etablere små internrevisjonsenheter i departementene. Det er en interessant anbefaling. I dag har kun 12 statlige virksomheter og ett departement etablert internrevisjonsenheter. I Sverige er det krav til at alle større offentlige virksomheter skal ha en internrevisjon. Det er finnes ingen felles kriterier eller rammer for hvem som skal ha internrevisjon i sin virksomhet. Finansdepartementet har nedsatt et utvalg som skal se nærmere på etableringen av internrevisjon i offentlige virksomheter. Utvalget skal vurdere hvordan best mulig organisere en internrevisjonen i offentlig sektor, ressurser og kompetanse, relasjonen til Riksrevisjonen, og rapporteringslinjer til overordnet departement. Det jeg legger spesielt merke til er ordene uavhengig og objektiv. Det må være nyttig for toppledelsen i et departement å motta uavhengige og objektive råd om organisasjonen. Departementsråden er ansvarlig for at departementet, underliggende etater og virksomheter drives på en hensiktsmessig og god måte. Kan internrevisjon bidra til at departementsråden kan sove litt bedre om natten? Det er ledelsen ansvar å etablere mål og treffe tiltak som skal sikre at målene oppnås. Etablering av tiltak skal, i følge økonomiregelverket for staten, baseres på en risikovurdering. 22. juli-kommisjonens analyse slo blant annet fast at ledelsen evne og vilje til å etablere mål, iverksette tiltak og organisere virksomheten på en hensiktsmessig måte for å nå målene, har vært mangelfull. Dette er trekk som dessverre går igjen på flere områder i offentlig sektor. En internrevisjon kan vurdere og bekrefte en virksomhets risikoforståelse og se etter at risikohåndteringen bidrar til måloppnåelse. Jeg tror det er mange virkemidler som kan bidra til mer effektiv styring av offentlig sektor. Internrevisjon er en måte I Gjørv-rapporten blir det også påpekt en manglende forståelse av ansvar og roller, og en såkalt «ansvarspulverisering». Foto: Stortinget/Terje Heiestad Internrevisjon ser etter hvorvidt tiltak faktisk blir gjennomført, at roller og ansvar er forstått og fungerer hensiktsmessig. Jeg tror det er viktig at vi får mer fokus på styring, kontroll og effektivitet i offentlig sektor, og at vi ser dette opp mot fastsatte mål. Vi ser at gode tiltak kan bli dyrere enn først planlagt, eller at gjennomføringen uteblir med dårlig planlegging. Jeg vil påstå at Olje- og energidepartementets risikostyring med Mongstad-anlegget i Hordaland hadde svakheter. Mye tyder på at det også var svakheter i Gassnovas internkontroll ved CO2-håndtering på Mongstad-anlegget. Dette har medført høyere kostnader og lengere gjennomføringstid. Det er stor variasjon i virksomheter organisering av arbeidet med intern kontroll og styring frem mot måloppnåelse. Dette resulterer dessverre altfor ofte i sløsing av offentlige ressurser. Det er en økende internasjonal trend at man ser verdien av en uavhengig, objektiv vurdering av virksomheter. Dette må vi også følge opp i offentlig sektor. Klarer vi det, går vi en spennende utvikling i møte. SIRK nr 2. 2013 27 I n t e r n re v i s j o n Knut Løken – en stor inspirator Av Reidar Døli, Oslo Børs VPS Knut Løken er et høyt skattet æresmedlem i Norges Interne Revisorers Forening (NIRF) og er fortsatt en ivrig støttespiller i revisjonsmiljøet. Han ble tidligere i høst tildelt Kongens Fortjenstmedalje for sitt virke innen musikk og revisjon. Redaksjonskomiteen fant dette som en god anledning til å invitere Knut til en markering med kaffe og kake. Knut ble møtt i NIRFs lokaler av Reidar Døli, Ellen Brataas, Hilde Tanggaard og Svein Stabekk. Markeringen ble også benyttet til å dele erfaringer om hvordan revisjonsfaget har utviklet seg over tid i Norge. Knut startet med revisjon i 1952, hvilket betyr at han har fulgt med på utviklingen innen faget i 50 år. Selv om han nå er pensjonist følger han fortsatt med fra sidelinjen. Da Knut startet med revisjon, var revisjonens arbeid ensbetydende med kontroll av bilag, tall og summering av journaler. Alle transaksjoner skulle kontrolleres og kontrollene ble behørig dokumentert. Den gang var ikke internkontroll et begrep, men det var noe som en revisor gjorde. Noe senere, slik Knut refererer til, begynte man i revisjonen å arbeide med noe som ble kalt for rutinerevisjon, dvs med revisjon som skulle bekrefte at alle rutiner og instrukser ble fulgt. Denne typen revisjoner hadde selvfølgelig en viss nytteverdi, men eventuelle vurderinger av om formålet med de forskrevne rutinene ble oppnådd, kom først i neste fase. Parallelt med utviklingen innen revisjonsfaget skjedde store endringer i de virksomhetene som revisorene var satt til å revidere. I bankene var man tidlig ute med moderne teknologi og ved at de tok i bruk EDB. Nye produktområder som vokste frem bidro ytterligere til å stille krav til revisorene. 28 SIRK nr 2. 2013 Foto: Karl Braanaas/Budstikka. Slike banebrytende endringer i omgivelsene skapte spenninger og diskusjoner innen revisjonsmiljøet. Noen var fornøyd med det bestående, mens andre stod for nytenkning. Revisors rolle i forhold til styret og administrasjonen, og hvorvidt revisor skulle opptre som en rådgiver for styret var temaer som ble diskutert. Et annet aktuelt spørsmål fra den tiden var om revisor skulle følge opp iverksettelsen av beslutninger. I denne utviklingen presset enkelte ressurser på for å vinne terreng for revisjonen. Knut sto som en eksponent for å fremme utvikling innen revisjonsfaget. Selv om det kunne forekomme opphetede diskusjoner og steile fronter, hvor Knut fra tid til annen befant seg i skuddlinjen for kritikk, har han positive minner fra denne tiden. Anekdotene kommer på løpende bånd. I dag er det lett å dra på smilebåndet når en hører om holdninger blant revisorer og hvordan de arbeidet. Knut poengterer at han fortsatt har stor respekt for revisorene fra tidligere tider. De gjennomførte et samvittighetsfullt arbeid og for mange var revisjonen noe mer enn en jobb, det var nærmest et kall. Arbeidet de utførte var viktig og samfunnsnyttig ut fra den tid de levde i. Et interessant spørsmål knytter seg til revisors uavhengige stilling før og nå. Knut viser til at det tidligere var til dels stor avstand mellom revisor, ledelsen og de ansatte i virksomheten. Revisor var kledd i mørk dress og det var lite kommunikasjon mellom de berørte utover det som revisjonen krevde. I det hele tatt var revisor avsondret fra den øvrige virksomheten, også i lunsjpausen. Revisorene var respektert, men respekten gikk kanskje noen ganger over i frykt. En følge av dette var at revisorene samtidig holdt godt på sin uavhengighet. I dag inviteres revisor med i diskusjoner og involveres i mye større grad løpende i virksomhetenes arbeid. I spørsmålet om dette er en ønsket utvikling, humrer Knut og sier at der kommer alderen hans inn. I n t e r n re v i s j o n Han sier at han i utgangspunktet har en konservativ tilnærming til dette spørsmålet, og mener at det ligger en form for konflikt i det å skulle holde på den nødvendige avstanden og samtidig ha muligheten til gi råd. Men Knut er likevel enig om at det må være greit å spørre revisor som råd, men revisor trenger ikke uttale seg eksakt om hvordan saken skal løses. For Knut er det en stor forskjell i aktiv og passiv rådgivning. Knut poengterer at den nødvendige autoritet og avstand oppnår revisor i dag i kraft av sin faglige dyktighet. Knut blir også fortsatt sitert på sitt utsagn: «intern revisjon er et konsekvensfag – hva som gjøres og hvordan det utføres er avhengig av forholdene det utføres under og hva formålet er». Den utvikling i revisjonen som Knut har beskrevet er vel nettopp dette. Knuts kommenterer med et glimt i øyet at dette er nok noe av det bedre han har sagt. Knut konkluderer på at utviklingen innen internrevisjon har vært udelt positiv. Både faglig sett og med det spekteret av oppgaver som revisorene har og de metoder de legger til grunn. Knut oppfatter det også som interessant at nye utdanningsretninger som samfunnsvitere tiltrekkes av revisjonsfaget og nikker over til Hilde. Etter Knuts mening er mange av de spørsmålene som revisorene tidligere håndterte selv i dag besvart og regulert i standarder. Dette kan i sin tur medføre at det ikke diskuteres nok innen faget. La oss håpe at det ikke legger en demper for videre faglig utvikling. Intervjueren har ikke unngått å registrere to begivenheter. Den ene er Knuts 82 årsdag dagen i forveien. Den kommer for så vidt av seg selv, men for det fortjener jubilanten blomster. Den andre begivenheten kommer ikke av seg selv, nemlig at Knut Løken er tildelt Kongens Fortjenstmedalje tidligere i høst. Det må være en stor ære for Knut, og vi tolker det også som en fjær i hatten til vår profesjon. Vi spør om det er greit at NIRF får en liten aksje i denne fortjenestemedaljen. Som forventet sier Knut at det selvfølgelig er greit og at det var veldig hyggelig å motta fortjenestemedaljen og at han setter pris på å bli satt pris på. Illustrasjon: Cappelen Damm Akademisk. Knut forteller videre at musikk og revisjon har vært en stor del av hans liv. Til spørsmål om hva som er fellesnevneren mellom musikk og revisjon tenker Knut seg om et kort øyeblikk før han svarer at er at begge deler er interessant, morsomt og man blir glad i det. Det at det fortsatt blomstrer etter Knut på begge arenaer er NIRF et bevis på. Det samme gjelder for musikken der Knut for kort tid siden var på konsert i regi av Det Norske Kammerorkester. Tre av ni musikere i ensemblet var tidligere elever av Knut. For det første ble han nødt til å tenke nøye gjennom faget og lære seg det selv for i det hele tatt å kunne undervise. For den andre var det gjennom undervisningen han traff representanter for den neste generasjonen av revisorer. De var åpne, kritiske og ville forstå. Dette var flinke mennesker som ville bidra og Knut slapp disse unge til. For Knut ga dette yrket en mening. Internrevisjon var et flott yrke, fortsetter han, det var mye opp til deg selv å påvirke faget og man kunne jobbe selvstendig. Revisjon har hele tiden vært hevet over konkurranse mellom virksomhetene hvor man kunne dele kunnskap på et faglig nivå, hvilket har vært veldig bra. Intervjueren satt som ivrig tilhører på Knuts forelesninger på NHH på 80-tallet. Senest for noen år tilbake holdt Knut en utmerket takk for maten tale på foreningens konferanse. Vi stiller oss spørsmålet hva disse egenskapene som kommunikator og kunnskapsformidler kan ha betydd i hans virke. Knut forteller at han har vokst opp i en familie av pedagoger og at han selv også var tidlig engasjert i undervisning. For Knut medførte undervisningsaktiviteten to store fordeler. Intervjueren påpeker avslutningsvis at felles for innsatsen på musikkarenaen og innen internrevisjonen må være Knuts evne til å inspirere andre til å bli gode. Han svarer at det har han ikke tenkt på tidligere, men at han for så vidt kan si seg enig. Knut ga til slutt uttrykk for at han er forbauset over at han fortsatt er interessant og aktuell så mange år etter at han ga seg som yrkesaktiv. Vi som delte ettermiddagen med Knut er ikke det. SIRK nr 2. 2013 29 I n t e r n re v i s j o n Ny utredning om bruk av internrevisjon i statlig sektor Av Ola Otterdal, Direktoratet for økonomistyring. Finansdepartementet satte i september 2013 ned en arbeidsgruppe for å utrede mer forutsigbare rammer for bruk av internrevisjon i staten, ledet av avdelingsdirektør Knut Klepsvik. Utredningen kommer i kjølvannet av OECDs rapport Value for Money in Government (2013) som kommer med anbefalinger til Norge om bruk av internrevisjon i norsk statsforvaltning. Målet med utredningen er å legge til rette for beste praksis i innretning og bruk av internrevisjon, og å etablere et grunnlag for en mer effektiv arbeidsfordeling mellom internrevisjon og ekstern revisjon. Prosjektet har som ambisjon å vurdere og foreslå løsninger, herunder i økonomiregelverket, for blant annet: 1. Behovet for forpliktende faglige standarder som skal gjelde for internrevisjon i staten. 2. Rapportering og dialog med overordnet departement om internrevisjon. 3. Relasjonen til Riksrevisjonen. 4. Organisering av internrevisjon, herunder eventuelt kjøp av internrevisjonstjenester fra andre. 5. Ressurser, kompetanse, rekruttering og eventuell sertifisering. Arbeidsgruppen vil også se på behovet for mer utbredt bruk av internrevisjon i staten og eventuelt foreslå kriterier for hvilke statlige virksomheter som, i samråd med sitt departement, bør vurdere å etablere en internrevisjonsenhet. Utredningen vil i stor grad bygge på erfaringer fra norsk statsforvaltning og enkeltvirksomheters bruk av internrevisjon. Arbeidsgruppen vil støtte seg på 30 SIRK nr 2. 2013 en referansegruppe med representanter fra noen statlige virksomheter med internrevisjonsenheter: NAV, Skatteetaten, Statens vegvesen og Universitetet i Oslo. Arbeidsdepartementet, Finansdepartementet, Forsvarsdepartementet, Kunnskapsdepartementet, NIRF og Riksrevisjonen vil også delta i referansegruppen. Andre statlige virksomheter med internrevisjonsenheter vil bli trukket inn bl.a. gjennom seminarer. I OECD-rapporten Value for Money in Government ble det påpekt at Norge har standarder for internkontroll, men ikke for internrevisjon. Det anbefales at Norge regulerer bruken av internrevisjon og at man også vurderer å etablere små sentrale internrevisjonsenheter i de viktigste departementene. Eventuelle nye standarder for internrevisjon bør, i følge OECD, også inkludere krav til bemanning, rekruttering, opplæring og sertifisering av internrevisorer. Arbeidsgruppens mandat er ikke direkte knyttet til en oppfølging av OECDs anbefalinger. I Norge er det per i dag bare finansmarkedet som har krav om internrevisjon. Kravene ble fastsatt i forskrift med virkning fra 1. januar 2003, etter at det i 1994 var kommet krav til internkontroll. Bestemmelsene ble oppdatert senest i 2009. Det har pågått en debatt om behovet for internrevisjon i statlig sektor de siste årene. I kontrollhøringen i Stortinget 1. oktober 2012 og i stortingsbehandlingen av saken om departementenes tilskuddsforvaltning 10. januar 2013, tok stortingsrepresentant Trine Skei Grande opp behovet for internrevisjon. Det å ha kloke, gode internrevisjoner som både har fokus på varslingskultur og på at det er lett å si fra om ting man stusser på, og som gjør at man ikke nødvendigvis trenger å gå til Riksrevisjonen for å påpeke ting, tror jeg hadde økt tilliten, skjerpet kvaliteten og også ført til at du hadde fått en bedre forvaltning generelt, uttalte Skei Grande under stortingsbehandlingen. Direktoratet for økonomistyring (DFØ) kartla i 2009, på oppdrag fra Finansdepartementet, bruken av internrevisjon og internkontroll i statlig sektor i Norge. Praksisen for bruk av internrevisjon i Sverige og Danmark inngikk også som en del av den samme kartleggingen. I 2011 utga DFØ en veileder for statlige virksomheter som vurderer å etablere en internrevisjonsfunksjon. Utgangspunktet var at statlige virksomheter, eventuelt i samråd med overordnet departement, står fritt til å vurdere etablering av internrevisjon og til å konkludere i en slik vurdering. Kartleggingen i 2009 viste at 12 statlige forvaltningsorganer hadde etablert en internrevisjonsenhet. Etter dette har flere vurdert etablering, og antallet internrevisjoner har økt. Det finnes ingen offisiell oversikt over hvor mange som har kommet til, organisering, hvilke standarder de følger osv. Selv om de fleste virksomhetene som har etablert internrevisjon er både store og komplekse, er det ikke gitt at det er nettopp de med størst behov som faktisk ender opp med å etablere internrevisjoner. I Sverige har man en egen forskrift (förordning) for internrevisjon i staten, og det gjøres årlig en oppdatering av hvilke virksomheter forskriften gjelder for. I 2013 gjelder den for 66 virksomheter. I Danmark er internrevisjonenes hovedfokus finansiell revisjon, og grensesnittet til Riksrevisjonen er mer formelt og tydelig. Virksomheter som oppretter en internrevisjon inngår en avtale med Riksrevisjonen, og man ser Riksrevisjonens og eventuell internrevisjons ressursbruk i sammenheng. Grunnen til dette er at Riksrevisjonen kan basere seg på arbeidet fra internrevisjonen. I tillegg til Sverige og Danmark, vil arbeidsgruppen også se på erfaringene fra land som Storbritannia og Nederland. Det er ventet at arbeidsgruppen avgir sin rapport i løpet av 2014. Job type: Permanent 1HWVLVRQHRIQRUWKHUQ(XURSH¶VOHDGLQJFRPSDQLHVIRUSD\PHQWVROXWLRQV information services and digital security solutions, with one of the most extensive and innovative product portfolios in Europe. Our ambition is to become an even stronger partner to our customers by supporting their business nationally as well as internationally. We want to make the handling of both financial and information assets easier and more secure. Working hours: Full-time Nets employs over 2,600 people and has its registered office in Copenhagen, as well as competence and commercial centres in Oslo, Stockholm, Helsinki and Tallinn. Working days: Day Find out more about us at www.nets.eu. Application deadline: 31.12.2013 Expected Start Date: Contacts: to be agreed Peder Toft Internal Systems Audits vision is to create internal value in Nets through consultancy Mobile: +45 2948 and recommendations, and to create external value and trust for Nets through audits of 2766 Location: controls and processes of relevance for our customers. We are 11 people in internal Systems Audit in Oslo, Copenhagen and Helsinki. We work closely together with our Oslo Internal auditor external IT-auditor KPMG in accordance with Danish legislation. Key responsibilities and tasks x x x x x x Audit and consultancy regarding applications and processes. Audit and consultancy regarding critical projects. Audit and consultancy regarding general IT controls, including outsourced IT operation etc. You will have a close cooperation with the external systems auditor, as your work often will be part of external reporting (ISAE 3402). Participate in audits in Denmark and Finland in areas where you have special competences. Act as point of contact in Norway for the external audit firms, that Nets use to perform part of the audit. Act as point of contact in Norway, when other members of the audit team participate in audits in Norway. Send application to petof@nets.eu Contacts: Peder Toft Mobile: +45 2948 2766 Home page: http://www.nets.eu Preferred background and qualifications x x x x Strong process audit skills, preferably with experience from external audit or consultancy firm Experience with IT audit of applications, general IT controls, processes and projects. Relevant certifications (CISA, CIA or other). Language: Scandinavian (NO/DK/SWE) and English. Preferred personal qualities x x x x x You are persistent and sharp on details without losing the overview. Analytical and structured. You can formulate yourself in writing and it is natural for you to document your work. You like to interact with colleagues across different areas and organisational levels. You are a teamplayer, but can also work alone. SIRK nr 2. 2013 31 I n t e r n re v i s j o n Internrevisjonsfunksjonen Intervju med Heidi Holwech og Morten Thorbjørnsen i Finanstilsynet Av Randi Almås, Norges Bank, og Reidar Døli, Oslo Børs. Et hovedtema i første nummer av SIRK i 2013 var internrevisjonens rolle og organisering. Vi så på insourcing og outsourcing og publiserte en spørreundersøkelse med ansatte internrevisjonsledere. I tillegg presenterte vi enkelte intervjuer med personer i virksomheter der det nylig har skjedd endringer i modell. SIRK ønsker også å få et innblikk i hva Finanstilsynet, som regulatorisk myndighet, mener om internrevisjonsfunksjonen. Vi møtte Heidi Holwech og Morten Thorbjørnsen fra Seksjon for banktilsyn, som delte sine tanker med oss. De to rådgiverne fra Finanstilsynet er aktive bidragsytere til kompetanseutvikling for NIRFs medlemmer. I år har de holdt foredrag om Basel III / Solvency II, arrangert av NIRFs nettverk for finanssektoren 11. april. Under det årlige seminaret i NIRFs nettverk for revisjonsledere i finans den 2. september snakket de også om Internrevisors rolle i Basel III / Solvency II og Internrevisjonsfunksjonen i norske banker. Finanstilsynets representanter kunne fortelle at det gjennom Solvency II i EU vil komme krav om internrevisjon i alle forsikringsselskaper. Selskaper som er en del av finanskonsern vil også bli regulert og vil være omfattet av både Solvency II og internkontrollforskriften. Noen betraktninger om internrevisjonsfunksjonen I forbindelse med Finanstilsynets høringsbrev om revisjon av Internkontrollforskriften i 2002 var det drøftinger om innføring av krav om internrevisjon i finansnæringen. Kravet ble diskutert med bakgrunn i behov for bedre risikostyring og som følge av nytt kapitaldekningsregelverk. Flere andre land hadde allerede innført et slikt krav. Temaet ble oppfattet som svært viktig både hos daværende Revisjonssjefkretsen (nå Nettverk for revisjons- Heidi Holwech Morten Thorbjørnsen ledere i finans) og Norsk Finansrevisorforening (som senere er gått inn i NIRF) i deres høringsuttalelser. Kredittilsynet (Finanstilsynet) gjorde i 2005 en vurdering av internrevisjonsfunksjonen i 12 større finansinstitusjoner. En rapport om dette kom 28. juni 2005. Noen interessante observasjoner og kommentarer i rapporten fra dette tematilsynet var: – Der en har valgt utkontraktering synes det å ha vært grundige og ryddige beslutningsprosesser. – Det er svært varierende praksis mht. internrevisors deltakelse i styremøter og annen kontakt med styrets leder. – I enkelte av institusjonene ble det påpekt at styrets bekymring for omkostningene ved internrevisjon synes å ha ført til at en legger seg på et slags minimumskrav, men da ikke oppnår «kritisk masse» i revisjonsarbeidet etter Kredittilsynets vurdering. Internkontrollforskriftens § 4-2 utelukker ikke at internrevisjonsfunksjonen helt eller delvis kan utkontrakteres. I sin rapport framhevet Kredittilsynet gjeldende rammer for ekstern og intern revisor, avtaleregulering og styrets rolle som internrevisjonens oppdragsgiver. Pliktig internrevisjon innenfor finansnæringen: En oversikt fra Finanstilsynets årsmelding for 2012 viser noen tall. Innen bank og forsikring var antallet foretak under tilsyn pr 31.12.2012: • 109 Sparebanker • 17 Forretningsbanker • 12 Livforsikringsselskaper • 43 Skadeforsikringsselskaper Forskrift om risikostyring og internkontroll sier at dersom et slikt foretak i mer enn 12 måneder har hatt en samlet forvaltningskapital for egen og kunders regning på mer enn 10 milliarder kroner - eller inngår i finanskonsern med samlet forvaltningskapital som overstiger dette - er foretaket pålagt å ha internrevisjon. Regelen omfatter nå 28 av bankene, 7 av livselskapene og 3 av skadeselskapene. Oslo Børs ASA, Verdipapirsentralen ASA og Oslo Clearing ASA samt alle verdipapirforetak er også pålagt å ha internrevisjon gjennom denne forskriften og er samtidig underlagt tilsyn fra Finanstilsynet. 32 SIRK nr 2. 2013 I n t e r n re v i s j o n – Kredittilsynet presiserte at uansett utkontraktering må det være intern kompetanse til å vurdere om internrevisjonsleveransen er tilfredsstillende. Foretaket bør vurdere å utpeke en egen oppdragsansvarlig som skal ha ansvaret for oppfølging av at avtalen overholdes. Det var på dette tidspunktet ikke etablert ordninger med co-sourcing i de bankene som inngikk i tematilsynet. – I institusjoner hvor man ikke tidligere har hatt internrevisjon eller har skiftet fra en internt ansatt til outsourcing, kan det være en problemstilling hvordan en kan opparbeide eller vedlikeholde kompetanse til å følge opp outsourcingsavtalen. Vi er nysgjerrige på om Finanstilsynet har gjort nye erfaringer eller endret syn på disse temaene. – Det må understrekes at Finanstilsynet ikke har gjort noen undersøkelse eller uttalt en offisiell holdning, spesifikt når det gjelder spørsmålet om intern internrevisjon eller outsourcet løsning. Med utgangspunkt i undersøkelsen, artiklene og intervjuene i SIRK nr. 1/2013, og basert på egne erfaringer fra tilsyn med banker, har dere gjort dere noen tanker for eller mot utkontraktering av internrevisjonen? – Det er vanskelig å gi et klart svar på dette. IIAs Standarder for utøvelse av internrevisjon ligger som grunnlag for metodikk og arbeid enten det er internt ansatte eller en ekstern leverandør av internrevisjon. Når det gjelder kontinuitet i arbeidet og kjennskap til virksomhetens organisasjon og kultur, vil vel en intern internrevisjon ha et fortrinn. Men en ekstern konsulent vil kanskje lettere kunne ha oppdatert eller spisset kompetanse på ulike fagfelt, og også ha større tilgang til ulike typer fagressurser. Det siste gjelder kanskje spesielt for de større revisjonsselskapene. Det er store krav til kompetanse på mange områder, f.eks. innenfor IKT, og det kan være vanskelig å ha nok interne ressurser. Virksomhetens størrelse og kompleksitet, internrevisjonens størrelse og personlige egenskaper spiller også inn. Det gjelder å finne en modell som passer den enkelte institusjon. De to rådgiverne vil ikke være bombastiske i sitt svar, men foretrekker nok modellen med fast ansatt internrevisor. – En kjerne med ansatt internrevisor supplert med kjøp av tilleggsressurser kan også være en god modell. Hva er etter Finanstilsynets observasjoner status for outsourcing av internrevisjon i norske virksomheter i dag? – Finanstilsynet har ikke gjort noen formalisert undersøkelse eller datainnsamling om dette. Det er lenge siden det er gjennomført spesifikt tilsyn med internrevisjonsfunksjonen. De største nordiske bankkonsernene har store interne revisjonsavdelinger. I mellomstore banker er co-sourcing mer vanlig, med en eller få internt ansatte og samarbeidsavtale med et eksternt revisjonsselskap. Er alle outsuorcingsavtaler gitt til de store revisjonsselskapene? – Vi har ikke kjennskap til om andre enn de fire store revisjonsselskapene benyttes i Norge. Hvilken trend ser dere for utvikling av krav til internrevisjon og kontrollfunksjoner innenfor finansvirksomhet? – Grensen på 10 milliarder i forvaltningskapital for finanskonsern er mange år gammel. En mulig høyning av denne grensen er uavklart. Den inngår for eksempel ikke i banklovkommisjonens utredning om ny lovgivning. Det er enda større fokus på helhetlig risikostyring og krav til kapital i forhold til risikonivå nå. I de senere årene har det dukket opp andre interne kontroll/etterlevelse/compliance – funksjoner og risikostyringsfunksjoner som rapporterer til administrerende direktør, men som også kan ha rapporteringslinje til styret. Hvordan er Finanstilsynets rolle ved reguleringen av disse? – Vi ser at det er økt fokus på risikostyringsfunksjoner med bakgrunn i Basel II. Med CRD IV (Basel III) vil det stilles krav om risikostyringsfunksjon i alle banker. I større banker er det i dag vanlig å ha kontrollfunksjoner som har complianceoppgaver. Dessuten er det krav til slike funksjoner i Verdipapirhandelloven og Fondsforvaltningsloven. – Sverige kommer etter planen med en ny forskrift om risikostyring og intern kontroll fra 2014. Endringer i forskriften har sammenheng med Basel III og det nye kapitaldekningsregimet. Man går langt i krav til internrevisjonen og i tillegg skal det etableres risikostyrings- og compliancefunksjoner. Hvordan ser Finanstilsynet på om slike funksjoner overlapper (fortrenger) internrevisjonens arbeid eller bidrar i tillegg til internrevisjon? – IIA utøvelsesstandarder sier noe om internrevisjonens vurdering av og forhold til virksomhetens styrings-, risiko- og kontrollfunksjoner. Vi forventer at profesjonelle internrevisorer følger standardene også på dette området. I tillegg har enkelte virksomheter andre avdelinger som skal ivareta for eksempel sikkerhet og kvalitetssikring. Kostnader ved å ha flere kontrollfunksjoner er synlige for styret, og det kan føre til konkurranse mellom dem. Dette kan gjøre det mer utfordrende for internrevisjonen å få tilstrekkelig ressurser. Bør internrevisjonen på vegne av styret også «overvåke» disse funksjonene? – Det kan kanskje være en utfordring. Risk management og compliance er 2. linje kontrollfunksjoner, og de rapporterer som regel direkte til administrerende direktør. Vi vil tro at det f. eks. kan være utfordrende for internrevisjonen å ha tilstrekkelig kompetanse til å vurdere risikofunksjonens arbeid, som gjerne er ganske «teknisk» lagt opp. – Det er også et interessant tema i hvor stor grad internrevisjonen kan «lene seg på» de to andre kontrollfunksjonenes arbeid. Det er sterke krav i IIA standardene til uavhengighet, integritet osv. Dette skal også rapporteres årlig til styret fra internrevisor. Internrevisjonen har uansett krav om å gjøre selvstendige vurderinger. Avslutningsvis ga de to rådgiverne uttrykk for at de ulike organiseringene av internrevisjonsfunksjonen er et viktig og interessant tema. Kanskje burde Finanstilsynet gjøre en ny evaluering som den de gjorde i 2005? Det observeres å være økende interesse i Europa for tilsyn med internrevisjonsfunksjoner. EBA (The European Banking Authority) gjør undersøkelser og kartlegginger om dette innenfor EU. SIRK nr 2. 2013 33 I n t e r n re v i s j o n Overordnet uttalelse som et alternativt verktøy for å forbedre virksomhetens styring og kontroll Av Esa Leporanta, Nets Norway AS (ansatt i Forsvarsdepartementet frem til 1. november) Internrevisjonen i Forsvarsdepartementet (heretter kalt FD Led IR) har hele forsvarssektoren som sitt revisjonsunivers, det vil si FD og de fire etatene som er underlagt FD1. Utover å være departementsrådens verktøy leverer FD Led IR også internrevisjonsfunksjonen til de tre minste etatene etter egne leveranseavtaler. Den store etaten, Forsvaret, har i tillegg sin egen internrevisjon. I henhold til FD Led IRs strategidokument skal årsrapporter for 2013 fra internrevisjonen i de tre minste etatene inkludere en overordnet uttalelse om kvaliteten på den enkelte etats virksomhetsstyring, risikostyring og internkontroll. Uttalelsen skal bidra til forbedret evne til måloppnåelse gjennom å gi innsikt i styring og kontroll, og å skape et effektivt og hensiktsmessig grunnlag for kort- og langsiktig forbedring. For å kunne utarbeide et gjennomtenkt grunnlag for uttalelsene, ble det besluttet å gjennomføre et pilotprosjekt i Forsvarsbygg. Utarbeidelsen av internrevisjonens verktøy Ved vurderingen av utgangspunkt for bedriftens styring og kontroll, som brukes her som et samlebegrep for virksomhetsstyring, risikostyring og internkontroll, startet vi med COSO2 som har utviklet globale rammeverk både for internkontroll (COSO IK) og helhetlig risikostyring (COSO ERM3). Markedet har også utviklet modenhetsmodeller til begge rammeverkene. Det finnes også flere rammeverk som omhandler governance. Markedet har imidlertid utviklet betydelig færre modenhetsmodeller på virksomhetsstyringen i forhold til internkontroll og risikostyring. For å evaluere modenheten i Forsvarsbyggs styring og kontroll, valgte FD Led IR å benytte CoCo-rapportens4 fire hovedkategorier: Hensikt - Vet hva som skal gjøres, Engasjement og forpliktelse - Vilje til å gjøre det, Dyktighet og evne - Klarer å gjøre det og Lederoppfølging og læring For å forbedre seg. CoCo-rapporten kom i 1995 og har i tillegg 20 delkategorier som er dokumentert i den norske oversettelsen av de to veiledningene, som er utgitt av The Canadian Institute of Chartered Accountants. For å oppdatere CoCo-rapporten til dagens forhold, ble det i tillegg hentet inspirasjon fra andre relevante kilder5. Bilde 1: FDs modell med tre forsvarslinjer og eksternrevisjon. 1 Forsvaret, Forsvarsbygg (FB), Nasjonal sikkerhetsmyndighet (NSM) og Forsvarets forskningsinstitutt (FFI). 2 http://www.coso.org/ 3 http://www.coso.org/-erm.htm 4 Forvaltning, styring og kontroll - CoCo-rapporten (1995) 5 DFØ (Direktoratet for Økonomistyring), COSO, OCEG (Open Compliance and Ethics Group), COBIT, King III samt IIA (Institute of Internal Auditors) 34 SIRK nr 2. 2013 I n t e r n re v i s j o n arbeidsmøter med forretningsområdenes ledergrupper. Disse og de innledende arbeidsmøtene med forretningsområdedirektørene la grunnlaget for en oversiktsrapport for hvert forretningsområde i Forsvarsbygg – slik ledelsen selv vurderer modenheten. FD Led IRs evaluering av Forsvarsbyggs styring og kontroll For å ferdigstille internrevisjonens overordnede uttalelse om kvaliteten i Forsvarsbyggs styring og kontroll, gjennomgikk og sammenstilte internrevisjonen informasjonen fra cirka 100 eksisterende dokumenter som tidligere hadde blitt utarbeidet av ulike interne og eksterne kilder og som omhandlet Forsvarsbyggs styring og kontroll. Bilde 2: Coco-rapportens fire hovedkategorier. Etter en samlet vurdering av disse kildene ble det utarbeidet en modell med fem modenhetsnivåer som støtter seg på disse rammeverkene. Modellen ble til slutt avstemt med Forsvaret i forhold til relevans over hele forsvarssektoren. Bruk av selvevalueringer som et ledd i en overordnet uttalelse For å øke sannsynligheten for at revisjonens eventuelle funn ikke skaper motsetninger i virksomheten, og at modellen blir godt nok forankret hos toppledelsen, ble Forsvarsbyggs ledelse direkte involvert i evalueringen av virksomhetens styring og kontroll. Dette skjedde gjennom at alle ledere for Forsvarsbyggs forretningsområder selv skulle evaluere sitt eget forretningsområde i begynnelsen av prosjektet. Etter at internrevisjonen hadde bearbeidet og sammenstilt informasjonen fra de innledende arbeidsmøtene, ble det holdt nye Denne dokumentasjonen ble deretter kategorisert i henhold til NIRFs modell med tre forsvarslinjer for å skape en oversikt over hvilke styrings- og kontrollelementer de ulike kontrollfunksjonene har gjennomgått. Deretter ble det faglige innholdet i de eksisterende dokumentene vurdert på en skala fra 1-5. For å evaluere virksomhetens styring og kontroll per delkategorier i CoComodellen, ble dokumentene deretter fordelt mellom de ulike delkategoriene. Denne tilnærmingen gjorde det mulig å se om flere av kontrollfunksjonene har evaluert de samme delkategoriene eller om noen av delkategoriene ikke har blitt vurdert overhodet. Dersom vi bruker kvaliteten i informasjonssystemer som et eksempel på et slik delområde, kunne det for eksempel konkluderes, etter at internrevisjonens revisjonsoversikt er ferdigstilt, at Forsvarsbyggs internkontrollfunksjon har evaluert delområdet i fjor, mens internrevisor og eksternrevisor ikke har gjort noen tilsvarende vurderinger hverken i år eller i fjor. Dette kan være verdifull informasjon ved planleggingen av fremtidige revisjonsaktiviteter. Til slutt ble karakterene fra de ulike delområdene presentert grafisk etter CoCo-rapportens fire hovedkategorier og sammenlignet med toppledelsens og Bilde 3: Practice Guides for Reliance by Internal Audit on other Assurance Providers og Formulating and Expressing Internal Audit Opinions – IIA desember 2011 & mars 2009. SIRK nr 2. 2013 35 I n t e r n re v i s j o n Bilde 4: Illustrasjon av modellen med tre forsvarslinjer. deres ledergruppers selvevalueringer. Hensikten med å fokusere på disse fire hovedkategorier var å forenkle fremstillingen og derigjennom kommunikasjonen på tvers av forretningsområder og videre på tvers av virksomhetene i sektoren. Avslutningsvis ble de mest alvorlige observasjonene fra de gjennomgåtte dokumentene sammenstilt i en overordnet uttalelse med anbefalte forbedringer. Gjennom å delta i modenhetsprosjektet, fikk Forsvarsbyggs ledelse større innsikt i virksomhetens styring og kontroll. I tillegg kunne ledelsen etter hvert sammenligne sin egenevaluering med internrevisjonens observasjoner, som kunne dokumenteres med henvisninger til skriftlige kilder. Bruk av henvisninger muliggjorde 36 SIRK nr 2. 2013 også at andre uavhengige interessenter kan vurdere kvaliteten i internrevisjonens arbeid. Avsluttende kommentarer 1. april 2013 ble nye krav til internrevisjonen offentlig sektor i UK innført. Internrevisjonen skal nå gi en overordnet uttalelse om kvaliteten i virksomhetens styring, risikostyring og internkontroll. Dette kravet vises også i IIAs Internal Audit Capability Model, som kan anvendes for å evaluere internrevisjonens modenhet. Dette viser at fokuset på overordnede uttalelser antageligvis vil bli mer dominerende fremover. Det finnes flere hypoteser nedenfor som støtter denne antagelsen. Hypotese 1: For å øke effektiviteten i kontrollfunksjonene, må arbeidet mellom 1. 2. og 3. linjeforsvaret koordineres i større grad. En vel fundamentert uttalelse forutsetter normalt også at internrevisjonen støtter seg til andres arbeid, så lenge kvaliteten i dette arbeidet tilfredsstiller kriteriene som er beskrevet i IIAs retningslinjer. Hypotese 2: Kravet til effektivitet og hensiktsmessighet i internrevisjonens arbeid forventes å øke fremover. Det er som oftest ikke nok å kunne gjennomføre enkeltrevisjoner som kun dekker mindre deler av toppledelsens styrings- og kontrollbehov. De fleste virksomhetsledere er etter hvert mer opptatt av å sikre at bedriftens samlede virksomhetsstyring, risikostyring og internkontroll dekker I n t e r n re v i s j o n bestemte minimumsbehov, og at dette kan dokumenteres. Hypotese 3: En prosess med selvevalueringer og en overordnet uttalelse, som beskrevet her, gir ledelsen en mye bredere, og ved behov også dypere, innsikt i hvor det reelt sett eksisterer utfordringer på virksomhetens styring og kontroll. Bilde 5: Public Sector Internal Audit Standards for UK issued by IIA UK 1. April 2013 og Practice Guide for Selecting, Using and Creating Maturity Models – IIA juni 2013. Hvis resultatet av gjennomgangen skulle vise at virksomhetens dyktighet og evne er blitt karakterisert til å ligge på nivå 3 (Dokumentert design og etterlevelse) av 5, sier det seg selv at dette ikke kan heves til nivå 4 (Systematisk design og etterlevelse) året etter uten å entydig kunne dokumentere hvilke forbedringstiltak som er implementert, og hvor systematisk tiltakene er etterlevd i løpet av de siste 12 månedene. Bilde 6: Internal Audit Capability Model - For the Public Sector. - IIA, 2009. Level 4: Overall Assurance on Governance, Risk Management and Control SIRK nr 2. 2013 37 I n t e r n re v i s j o n Effektiv internrevisjon i finanssektoren - Økte krav til internrevisor Ny global trend innenfor internrevisjon i finansbransjen syklus. Noen av de mer betydelige utfordringene vil bli oppsummert i denne artikkelen. 1. Regulatoriske krav Internrevisjon har lenge blitt sett på som et sentralt element i risikohåndteringen til selskaper i finansiell sektor. The Chartered Institute of Internal Auditors (CIIA) presenterte i juli 2013 sine nye anbefalinger for effektiv internrevisjon i den finansielle sektoren. Deloitte i Norge har tolket disse og i denne artikkelen gir vi vårt syn på anbefalingene. Anbefalingene er banebryterne og fremkommer som en ny og forbedret måte å organisere selskapenes internkontroll på. Det er forventet at anbefalingene vil påvirke de fremtidige kravene for internrevisjon i den finansielle sektoren. 2. Reposisjonering De nye anbefalingene søker å reposisjonere fokuset i internrevisjon, fra testing og rapportering av det interne kontrollmiljøet, til å støtte ledelsen i en mer effektiv håndtering av sentrale risikoer. «Økte krav til internrevisor vil kreve mer av selskapet» Veiledningene er viktige da årsakene til finanskrisen og nyere governance, risikohåndtering og svikt i internkontroll innad i finansnæringen understreker at en mer innflytelsesrik internrevisjon kan spille en mer viktig rolle i å støtte ledelsen i organisasjoner i finansbransjen. Veiledningen er eksplisitt i å ta prinsippene som har eksistert lenge til et nytt nivå- fra posisjoneringen av revisjonsfunksjonen innad i organisasjonen (f.eks. rapporteringslinjer og godtgjørelser) til områder som kultur, styring og selskapshendelser. Veiledningene bygger på et sett av prinsipper, som vil kreve en vurdering av konteksten i organisasjonen. Den spesifikke implementeringen er forventet å variere i forhold til organisasjonen, men det ventes at alle organisasjoner tar i bruk «ånden av veiledningen». Veiledningen er vidstrakt og setter en standard gjennom hele internrevisjonens 38 SIRK nr 2. 2013 • Ansvarlig internrevisor bør rapportere direkte til leder av revisjonsutvalget • Revisjonsutvalget bør delta i utformingen og støtte styrets og ledelsens utarbeidelse av «tone from the top», som fronter aksept og forståelse for selskapets internrevisjon i organisasjonen • Revisjonsutvalget er forventet å evaluere samarbeidet og informasjonsutvekslingen mellom organisasjonen og selskapets internrevisorfunksjon for å støtte internrevisor i de økte krav og ansvar Erik Andersson Senior Manager i Deloitte 3. Ressurser og planlegging • Revisjonsutvalget bør godkjenne internrevisors plan og alle vesentlige endringer som eventuelt vil oppstå. Forslaget spesifiserer at følgende punkter skal vurderes i revisjonsplanleggingen: ✓ Intern governance ✓ Informasjon presentert til styret og ledelsen ✓ Bakgrunn for selskapets risikoappetitt og hvordan denne overholdes ✓ Selskapets risiko- og kontrollkultur ✓ Risikoen for at redusert kundetilfredshet vil svekke selskapets omdømme/renommé ✓ Kapital og likviditetsrisiko ✓ Nøkkelhendelser i selskapet • Den ansvarlige internrevisor bør jevnlig oppdatere revisjonsutvalget med den kompetansen som kreves for å fullføre revisjonsplanen og status på budsjettet. Budsjettet bør være satt opp med en nødvendig fleksibilitet slik at internrevisjon har mulighet til å håndtere risikoer etter hvert som de utvikler seg. På bakgrunn av den nye veiledningen vil det være påkrevet for internrevisjonsenheten å vurdere om de har de nødvendige ressursene, inkludert tekniske spesialister, til å utføre revisjonen etter sin art. • Den nye veiledningen kan ha betydelige effekter på ressursbruk i internrevisjonen da det kreves en økt sammensetning av ferdigheter og ekspertise. Behovet for denne type ressurser vil bli bestemt av risikoprofilen i hver organisasjon. Det fremheves at disse ressursene bør bli bestemt ut fra risikovurdering og revisjonsplan og ikke vice versa. • Revisjonsutvalget bør godkjenne internrevisjonens budsjett og dokumentere i selskapets årsrapport at handlingene utført av selskapets internrevisjon er hensiktsmessige og tilstrekkelige. • Er internrevisjonen utført av en tredjepart, bør leder av revisjonsutvalget stille til rådighet en ressurs som er ansvarlig for at tilstrekkelig dokumentasjon er tilgjengelig for en effektiv og tilstrekkelig internrevisjon. 4. Evaluering av resultat • Leder av revisjonsutvalget bør være ansvarlig for å innstille aktuell person til stillingen som selskapets ansvarlige internrevisor, samt sette kriteriene for utførelsen. Den ansvarlige revisor bør deretter bli målt mot disse kriteriene. • Leder av revisjonsutvalget bør anbefale en lønnsstruktur for internrevisor. Lønnsbetingelsene bør ikke være korrelert med kortsiktige lønnsomhetsmål i organisasjonen. • Revisjonsutvalget trenger regelmessig å evaluere internrevisor med hensyn I n t e r n re v i s j o n til progresjon i kriteriene som er satt i planen. • Revisjonsutvalget bør ta ansvar for å oppnå en uavhengig ekstern vurdering av internrevisors arbeid mot de gjeldende standardene på området, inkludert veiledninger. • Økte krav vil trolig øke tidsbehovet for revisjonsutvalget. 5. Interaksjon med Risikostyring, Compliance og Finans • Internrevisjonen bør være uavhengig av og uten ansvar for effektiv risikostyring, compliance og finansfunksjoner da dette er en essensiell del av et selskaps corporate governance struktur. • I hvilken grad internrevisjonen kan basere sitt arbeide på det som gjøres i Risikostyring, Compliance eller Finans må bestemmes utfra en evaluering av effektiviteten i nevnte områder For mer informasjon kontakt Deloitte Denne artikkelen gir en oppsummering av hovedelementene som selskaper i finanssektoren burde tenke på i forhold til de nye kravene og retningslinjene som fremgår av veiledningen publisert av CIIA. Vi mener at disse krav og retningslinjer også vil være relevant for selskaper utenfor finansbransjen. Eivind Skaug Partner og leder internrevisjonsavdelingen innen finansbransjen Mobil: 915 18 997 eskaug@deloitte.no Erik Andersson Senior manager i internrevisjonsavdelingen innen finansbransjen Mobil: 909 10 450 erandersson@deloitte.no Register for CIA training course NIRF offers for the first time courses held in English for candidates who want to achieve the CIA designation. The courses will be led by highly qualified members with in-depth knowledge of the different parts of the CIA that they will be teaching. In addition there will be a one-day Tactic Preparation course teaching you how to pass multiple choice exams with Richard Minogue that we highly recommend you to attend. Richard Minogue holds a CPA, CIA (with Certificate of Excellence) and is a lecturer, author and advisor at Corporate Integrity & Fraud Risk Management. CIA consists of three parts, with an exam covering each part. The exam is a computer based multiple choice test. CIA exam Part 1: topics tested include aspects of mandatory guidance from the IPPF; internal control and risk concepts; as well as tools and techniques for conducting internal audit engagements. CIA exam Part 2: topics tested include managing the internal audit function via the strategic and operational role of internal audit and establishing a risk-based plan; the steps to manage individual engagements (planning, supervision, communicating results, and monitoring outcomes); as well as fraud risks and controls. February 13th – 14th 2014 in Oslo Price: NOK 6 900,- CIA exam Part 3: topics tested include governance and business ethics; risk management; organizational structure, including business processes and risks; communication; management and leadership principles; information technology and business continuity; financial management; and the global business environment. TBA. Probably in April/May 2014 Price: NOK 6 900,- www.iia.no The CIA designation is the only globally accepted certification for internal auditors and remains the standard by which individuals demonstrate their competency and professionalism in the internal auditing field. CIA Tactic Preparation course: The purpose of this course is to help you develop a test technique and a understanding of the language related to the test. It is not enough to be knowable about the content, but also be able to quickly understand the question and identify the right answer. The course provides an efficient and systematic method for approaching a complex test, including how to address multiple chose questions. We analysis different types of questions that illustrate different ways a question can be asked in the test. We discuss how to interpret hundreds of English key word in relation to the test. Examples of good study technique will also be provided. February 12th 2014 in Oslo Price: 3 500,Register for 2 or more CIA courses and get a discount on the registration fee. Great price is offered for the CIA Learning System. This is also an opportunity to form study groups. Materials for the Tactic Preparation course will be provided. It is recommended that you read the study material for the CIA exams before the courses. Read more about requirements and the practical on IIA global website https://global.theiia.org/certification/CIA-Certification/ Pages/CIA-Certification.aspx SIRK nr 2. 2013 39 I n t e r n re v i s j o n The ECIIA An interview of Martin Stevens, Vice President of IIA Norway, who currently acts as Nordic & Baltic representative on the ECIIA Board. What is ECIIA and why is its work important to me? ECIIA’s full name is the European Confederation of Institutes of Internal Auditing. It is organized under Belgian law and its members are the national IIA institutes. As of today it has 34 member institutes, which means it has 6 more members than there are member states in the EU and apart from EEA (European Economic Area) states and Switzerland it includes members from countries such as Serbia and Turkey as well as “extended” European states such as Azerbaijan and Morocco – not unlike the “Europe” of the Eurovision Song Contest. The ECIIA is recognized by IIA global as a voice representing the IIA in its region along with similar organizations for Africa and Asia. The recently retired Chairman of IIA, Phil Tarling, progressed to this position from a former role as Chairman of ECIIA. Three years ago following a major discussion of the mission of ECIIA it was agreed by the General Assembly that the sole mission of IIA is to promote the internal auditing profession at the European level. Primarily ECIIA wishes to ensure that those involved in setting the rules for Europe be it in the commission, parliament or NGO’s such as EBA (banking) and EIOPA (insurance) understand better the role and purpose of the modern internal audit function. This is an important mission for you and me as internal auditors in the EU if we wish to operate within an intelligent framework and utilize to the full the potential of internal audit for the organizations in which we are employed. What has the ECIIA achieved over the latest period? One tangible result of work of the ECIIA are the guidelines produced on the subject of internal audit’s role in good governance. The validity of these guidelines is further Internal Audit Oversight - The top 10 practices 1. Evaluating the need for the Internal Audit function 2. Assessing and approving the Internal Audit charter 3. Ensuring effective communication lines between the CAE and the Board 4. Evaluating the Internal Audit plan 5. Assessing staffing of the Internal Audit function 6. Gaining assurance over the quality of Internal Audit work 7. Overseeing the relationship between Internal Audit and Risk Management 8. Coordination between the Internal Audit and External Auditor 9. Assessing Internal Audit reporting 10. Monitoring management follow up of Internal Audit recommendations From “Making the Most of the Internal Audit Function” – ECIIA/ecoDa 2012 40 SIRK nr 2. 2013 © ECIIA. enhanced by the fact that they are generally produced in collaboration with representatives outside internal audit. The first of these guidelines was produced together with FERMA (the European Federation of Risk Management Associations) and bears the title “Guidance on the 8th EU Company Law Directive”. The guidance is built around the three lines of defence model, under which line management has the primary responsibility for risk management, the risk management function has a facilitating and monitoring role as the second line of defence and internal audit has the third line defence role to provide assurance over the effectiveness of risk management and its performance. In this role internal audit should take into account the activities of both line management and the risk management function. The guidance has been produced in two volumes, the first is aimed primarily at audit committee members and the second is formed as a Question and Answer checklist for Executive Committees (Top Management). In some countries, after having obtained the permission of ECIIA, translations have been made into the local language (for example Norway has translated volume 1). These documents can be used in explaining and supporting the I n t e r n re v i s j o n role of internal audit in relation to the Board, Top management and the Risk Management. At the same time they can be used at a more general level to increase the understanding of internal audit’s role amongst law makers, supervisors and society in general. The second document issued in late 2012 was prepared by ECIIA in conjunction with ecoDa (the European organization representing national institutes of directors) and has a more catchy title of “Making the most of the Internal Audit Function”. This guideline is aimed at Boards of Directors and Audit/Risk Committees. It lists the top 10 practices directors should focus on in their oversight of the internal audit function. Again this is a document that can be used as a door opener for a dialogue with the Board. The document was first presented at a joint meeting with ecoDa in Brussels and is an excellent “excuse” for local institutes to contact their local Directors’ Institute. One may consider arranging a members meeting of the Directors’ Institute using this document as a basis for a discussion on realizing the value of internal audit with speakers representing both sides of the internal audit profession and board of directors. In June 2013 a third document was released with specific relevance to insurance companies. Under the so-called Solvency II directive, Insurance companies are required to strengthen their governance and risk management systems as well as the reporting to the supervisory authorities and the general public. Internal audit is allocated an important role as one of the four named essential functions role in the governance system. However there is little practical guidance as to the exact nature of this role. The aim of this document was therefore to describe a common understanding and view of the internal audit function that may carry some weight with the standards setting body EIOPA as well as to explore whether these requirements are satisfied by IIA standards. Not surprisingly the answer to this latter question was a resounding yes. It also includes a helpful illustration of those tasks which should and those which should not be performed by internal audit based on the reflections in the IIA’s position paper “The Role of Internal Auditing in Enterprise Risk Management” published in January 2009. ECIIA task force / Solvency 11 / position paper / Internal audit Finally in November 2013 a position paper was published with the title "Improving cooperation between internal and external audit". The background for this paper is that, although in general internal and external audit have well-defined roles, effective coordination between the two functions should be promoted and is indeed essential. A good relationship between internal audit and external audit facilitates the work of both sets of auditors, avoids duplication, and ensures the maximum ☞ SIRK nr 2. 2013 41 I n t e r n re v i s j o n coverage of the risks faced by the entity. It also helps the governing body obtain a comprehensive view of the entity’s controls and risks. A member of the working group which developed the paper is IIA Norway member and state authorised auditor Bente Sverdrup, CAE of Gjensidige. She comments that "my experience from having worked in the position of both external and internal auditor is that even though both types of auditors are themselves aware of their respective remits, it is important that board members (and especially audit committees) as well as management understand the roles and responsibilities of both forms of audit. Internal audit is the tool to assist the board and management to monitor controls in the entity, whilst the external auditor has an independent responsibility to provide an audit opinion on the financial statements." 2012 under the headline of “Not one size, but fit for all”. A year later as the European Commission attempts to clarify the role of auditors and introducing more stringent rules for the audit sector with the aim of strengthening the independence of auditors and increasing diversity in the audit market, it was considered appropriate to focus a new round table discussion on "the added value for coordination between internal and external auditing for European business". This discussion forum held on 12 November 2013 coincided with the release of the position paper on the same subject. In addition there is a regular exchange of views with other European bodies such as FERMA, ecoDa, EBA and EIOPA. ”Not one size, but fit for all” ECIIA hosted Round Table at The European Parliament on the subject of Corporate Governance. What new projects is ECIIA working on? Apart from the round tables and general networking mentioned above the ECIIA has sent to its member institutions a request for a further topic to issue guidance on as a part of promoting a better understanding of the role of internal audit. Amongst topics currently being discussed are risk management and control in smaller entities In addition to these documents promoting the role of internal audit at a “European” level, members of the Public Affairs committee of ECIIA have held and hold meetings with EU officials and parliamentarians. ECIIA took the initiative to hold a round table discussion on Corporate Governance in June 42 SIRK nr 2. 2013 How can I find more information about ECIIA’s initiatives and the documents that ECIIA has published? ECIIA has its own website http://www.eciia.eu where you will find more information on the ongoing activities in promoting the internal audit profession as well as pdf versions of the above-mentioned documents. Furthermore NIRF intends to make new ECIIA papers and guidelines available on its website www.iia.no and will announce publication via news blog. I n t e r n re v i s j o n The Sound of Audit Av Reidar Døli, Oslo Børs VPS Vi var en gruppe på ca 20 nordmenn som tok turen til Wien for å delta på ECIIA`s Conference Vienna 2.- 4. oktober 2013. Konferansen ble holdt på Hofburg i svært så historiske omgivelser. Tittelen på konferansen var «The Sound of Audit» og vi forventet alle at Julie Andrews skulle entre scenen og ønske oss velkommen og at all revisjon skulle klinge som musikk i våre ører etter dette. Vi så ikke noe til Dame Andrews, men det ble kompensert ved at konferansen inneholdt en rekke interessante foredrag. Mange tok for seg internrevisors rolle i et Europa som er skadeskutt etter finanskrisen. Andreas Trechl er CEO i Erste Bank og presenterte sitt syn nøkternt og begrunnet, og uttalte at internrevisor må ta sin del av skylden for finanskrisen. De skulle sagt fra: «Don`t do it!». Internrevisor må i fremtiden spille en mye mer aktiv rolle og bidra med å identifisere risiko. Han fortsatte med å trekke linjene fra banker i 1980- og 90årene frem til 2020. Tidligere kunne bankene overleve selv om det de leverte var av middelmådig kvalitet. Disse dager er over. Fra nå av vil kun de beste overleve. Internrevisjon i 2020 blir krevende og spennende. Internrevisorene må være mer eller minst like kunnskapsrike og kompetente som ledelsen i virksomhetene, var hans konklusjon. Øverste leder av internrevisjonsavdelingen i European Central Bank (ECB) Klaus Gressenbauer, var inne på noe av det samme. Hvor var revisorene før finanskrisen og var de til noe som helst hjelp? Svaret hans var «no». Typisk nok er det ikke de komplekse forholdene som er problemet. Det er oftest kombinasjonen av de enklere forhold, eller «basic things» som han kalte det, som leder oss inn i vanskeligheter. Han fortsatte med å dele sine tanker om hva internrevisjonen bør ha lært. Hans innspill gikk på kompetanseutvikling, prosessrevisjoner på tvers av avdelinger, synliggjøring og involvering av internrevisjonen, et godt 3. linjes forsvarsverk og at også internrevisorene må lære av sine feil. IIA Chairman Paul Sobels foredrag hadde tittelen «Imagine the possibilities». Jeg merket meg spesielt hans vektlegging av at revisor må sikre seg ved å være til stede der det skjer, «securing a seat at the table». Dette gjelder i diskusjoner så vel om operasjonelle som strategiske forhold. Vi blir derved i stand til å kunne uttale oss om hvor godt forberedt virksomheten er i forhold til å nå sine strategiske mål. Richard Chambers, IIA President og CEO, så også frem mot 2020. Han vektla hvilke strategiske risikoer som kan føre utviklingen for internrevisorene inn på et sidespor: • Risiko for at vi ikke lykkes med å ivareta våre profesjonelle standarder. • Risiko i fremveksten av andre risiko-, kontroll- og styringsfunksjoner som utkonkurrerer oss. • Risiko for at leveransene våre ikke er i tråd med forventingene fra oppdragsgivere/interessenter. • Risiko for at vi ikke konsentrerer oss om høyrisiko-områdene. • Risiko relatert til internrevisors integritet. Han avsluttet med 7 etikkrelaterte egenskaper hos en leder innen internrevisjonen. Hun/han skal være ærlig, modig, ansvarlig, empatisk, til å stole på, respektert og proaktiv. Det var imidlertid ett av foredragene som ble holdt for en mindre gruppe på dag 2 som var litt annerledes, og som jeg festet meg ved. Dette gikk tettere inn på internrevisjonens og internrevisors egen risiko. Selv om foredragsholderen nok stilte flere spørsmål enn han ga svar, så ønsker jeg å bringe videre noe av budskapet. Foredraget ble holdt av Christopher Schneck, revisjonssjef (CAE) i Telecom Austria Group. Jeg har fått vite at han er invitert til NIRFs årskonferanse i Oslo i mai neste år, så da blir det mulighet for alle interesserte til å møte han der. ☞ Hofburg. Foto: HatschiKa / Wikimedia Commons. SIRK nr 2. 2013 43 I n t e r n re v i s j o n Han hadde tydeligvis egne og dyptfølte erfaringer og stilte først følgende spørsmål: Intern revisor har ekspertkompetanse på å vurdere risiko. Hvor god er internrevisor til å håndtere sine egne forretningsrisikoer? På hvilke områder finnes slik risiko og hva kan skje hvis intern revisor neglisjerer disse? Han provoserte videre med å uttale: Generelt sett ser profesjonelle yrkesutøvere bort fra sine egne råd. Er det en mulighet for at dette gjelder også for revisorer? Han stilte så spørsmål om hvorfor vi jobber i internrevisjonen? Hva er vårt formål? Vi kan selvfølgelig gå til definisjonen av internrevisjon slik IIA fastsetter den. Men vi har også noen personlige mål om en karriere, en god jobb, å oppnå anerkjennelse, få spennende utfordringer, eller mål rettet mot personlig økonomi som å betale ned lån og forsørge familien. Med et slikt bakteppe er det spørsmål som hvor sikker er min jobb? Hva skjer hvis det oppstår en situasjon med en stor mislighet eller andre skandaler? Hvilket spørsmål dukker da opp – jo, hvor var revisor? Dette kan føre til rettssaker og krav der revisjonen plutselig er i skuddlinjen. Internrevisjonen er altså ikke immun mot risiko. Revisorer kommer noen ganger med følgende utsagn: • Jeg skulle gjerne revidert område x men ledelsen lar meg ikke få gjøre det. • Ledelsen er helt enig i mine konklusjoner men ønsker at rapporten blir håndtert utenfor den etablerte revisjonsprosessen. • Ledelsen krever at mine rapporter ikke er lenger enn 2 sider. • Lederen min krever at jeg skal gå videre med undersøkelsene uten at de nødvendige tillatelser med hensyn til personvern er innhentet. • Med de kutt som er gjennomført i bemanningen det siste året kan jeg ikke lenger garantere tilstrekkelig revisjonsdekning. • Jeg har ikke tilstrekkelig IT kompetanse til å gjennomføre oppdraget og foreslår å leie inn ressurser. Men min sjef sier at jeg sikkert klarer det – bare kjør på. 44 SIRK nr 2. 2013 Rådhuset, der konferansens festmiddag ble holdt. Foto: Steve Evans / Wikimedia Commons. Hva kan vi gjøre med dette? Skal vi bruke varslingskanalen? Neppe, og bare i ekstraordinære situasjoner og da vil det ha sin pris. På et mer realistisk nivå kan/bør vi: • Innse at intern revisjon er forbundet med risiko. • Vær oppmerksom, revisjonsrisiko er ikke en teoretisk risiko, de er personlige risikoer – så vær egoistisk. • Å følge standardene er en måte å oppnå suksess på, men livet er ikke alltid sort eller hvitt. • Vær modig, og vær sikker på deg selv – det krever energi og utholdenhet. Si NEI, – nei er ikke et forbudt ord. Det kan medføre at du mister jobben, men det å ikke si nei, vil øke risikoen enda mer. Oppsummert vil jeg si at forventningene til konferansen ble innfridd og at innholdet i foredragene på nytt vitnet om at vi har sluppet billig unna her hjemme. F o re n i n g s n y t t Nyheter fra sekretariatet, IIA og andre samarbeidspartnere Av Ellen Brataas, generalsekretær Tillitsvalgtsamlingen, oktober 2013 Hver høst inviterer NIRF sine tillitsvalgte og andre bidragsytere gjennom året til en sosial kveld hvor formålet, foruten å ha det hyggelig og å bli bedre kjent, er å få vite mer om hva som skjer på tvers av komiteer og nettverk. I år forsøkte vi oss med en ny vri; en world-café, der de tillitsvalgte ble delt inn i grupper som skulle innom fire forskjellige stasjoner for å diskutere følgende temaer (som for øvrig er en del av foreningens strategiske mål de neste to årene): • Internrevisjonen anerkjennes som profesjon • NIRF oppfattes som foretrukket fagmiljø for kunnskapsdeling • NIRF bidrar til at internrevisjon skjer i samsvar med fastsatte internasjonale standarder, som skal bidra til kvalitetssikring og sertifisering • SWOT-analyse og hva foreningen kan gjøre mer/mindre av For en engasjert og kreativ gjeng vi har i NIRF! Det er ikke forslag til tiltak det står på, heller den vanskelige oppgaven med å prioritere, gitt ressursene foreningen har til rådighet. Noen av de lavthengende fruktene kan vi plukke med det samme, mens listen for å lage apper og Youtube-snutter nok ligger litt høyere. Godt jobbet – og takk til alle som bidrog! Audit Director Roundtable i Frankfurt, november 2013 I november møttes 20 revisjonssjefer fra Europa til et nytt Audit Director Roundtable, hvor tre hovedtemaer ble diskutert: Corporate Governance, International Cooperation og IT-audit. Fra Norge deltok en revisjonssjef denne gangen. Det var en vellykket dag med mange gode diskusjoner som vil bli oppsummert i en artikkel som distribueres på neste ADR-arrangementet i Brüssel, mai 2014. CIA – endringer i eksamensstruktur IIA har gjort om på eksamensstrukturen for CIA og fra og med 1. juli 2013 skal CIA-kandidater bestå tre, ikke fire, eksamener som tidligere. CIA del 1 består av 125 spørsmål, mens del 2 og 3 er på 100 spørsmål hver. Hvilke områder som testes på den enkelte eksamen, finner du en detaljert oversikt over på www.globaliia.org. Kravet til to års praksis er ikke endret. Selv om du ikke har tilstrekkelig praksis, kan du avlegge eksamene og får automatisk tildelt CIA-tittelen hvis du oppfyller kravet til praksis innen fire år. Certification in Risk Management Assurance (CRMA) Det er nå muligheter for å avlegge CRMA-eksamen som består av 100 mulitiple-choice spørsmål fra følgende områder: Domain I: Organizational governance related to risk management (25-30 percent) Domain II: Principles of risk management processes (25-30 percent) Domain III: Assurance role of the Internal Auditor (20-25 percent) Domain IV: Consulting role of the Internal Auditor (20-25 percent) I tillegg må du også ha bestått del 1 av CIA eksamen og kravet til praksis for å oppnå tittelen CRMA. Les mer på www.gobaliia.org. Ny rutine for innrapportering av CPE-poeng Fra og med i år skal alle som innehar en global sertifisering, selv rapportere poengene direkte inn i IIAs CCMS-system. Poeng for 2013 må rapporteres innen 31.12.2013. Det holder å rapportere at man har nok poeng, så man trenger ikke føre opp alle kurs eller poenggivende aktiviteter. Dokumentasjonen skal ikke sendes inn til IIA, men må tas vare på som bevis dersom du blir trukket ut for tilfeldig kontroll fra IIA. NIRF har besluttet å dekke innrapporteringsgebyret fra IIA for alle sine medlemmer. Medlemmer velger derfor skjemaet «FORM-FEE WAIVED» for å unngå gebyr. ☞ SIRK nr 2. 2013 45 F o re n i n g s n y t t Denne prosedyren gjelder dessverre ikke for Diplomert Intern Revisor. Dere må derfor som tidligere år rapportere denne direkte til NIRF på post@iia.no. Ny Guidance fra IIA og ECIIA siden forrige nummer av SIRK: Practice Advisory 2320-4: Continuous Assurance Practice Advisory 2120-3: Internal Audit Coverage of Risks to Achieving Strategic Objectives Practice Guide: Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements Nye veiledninger fra ECIIA: “The role of Internal Audit under Solvency II” “Improving cooperation between internal and external audit” auditing and in the public sector, IIA President and CEO Richard Chambers met with officials representing the International Organisation of Supreme Audit Institutions (INTOSAI), an umbrella organisation for government audit organizations. “It provided us an opportunity to build awareness of the Standards throughout the global government auditing community, as well as foster relationships our Institutes have with Auditor Generals in their respective countries,” said Chambers. The IIA also hopes to leverage its relationship with government auditors to advocate for the Certified Government Audit Professional designation more broadly. Kilde: www.globaliia.org Etablere en internrevisjonsfunksjon? Trenger du bistand med å forklare hva internrevisjon er? Vil du vite mer om kravene til ekstern kvalitetskontroll? NIRF kommer gjerne til din virksomhet for å presentere hva internrevisjon er og hvordan den kan være et nyttig verktøy for ledelsen og styret i god virksomhetsstyring. Eller trenger ledelsen og andre interessenter mer informasjon om hva en ekstern kvalitetskontroll innebærer, ta kontakt med oss. Vi kommer gjerne til din virksomhet og holder en presentasjon! Ring Ellen på 976 20 565 eller send en e-post til post@iia.no. Konferansedatoer verdt å merke seg NIRFs årskonferanse, 25. – 27. mai 2014, Holmenkollen, Oslo IIAs International Conference, 6. – 9. juli 2014, London, UK ECIIA Event, 18. – 19. september 2014, Budapest, Ungarn IIA Meets with INTOSAI Officials, October 2013 In its continued advocacy efforts to create an understanding of internal auditing at the highest levels of government 46 SIRK nr 2. 2013 Dr. Josef Moser, Secretary General of INTOSAI and President of the Austrian Court of Audit, meets with IIA President and CEO Richard Chambers to discuss government audit issues. IFAC signs Strategic Agreement with The IIA, July 2013 The International Federation of Accountants (IFAC) and The Institute of Internal Auditors (The IIA) have signed a Memorandum of Understanding (MoU) to create a formal basis for the advancement of risk management and internal controls toward a common goal of enhanced governance. “This Memorandum of Understanding further strengthens the important relationship between The IIA and IFAC. It represents our united commitment to serve the public interest and restore the confidence of the general public in business reporting,” said Richard Chambers, President and Chief Executive Officer of The IIA. As outlined in the MoU, IFAC and IIA recognize that the following are fundamental to an organization fulfilling its objectives, implementing reliable financial management and reporting, and serving its stakeholders and the public interest. F o re n i n g s n y t t På tampen Det var vel julegløggen som har skylden, eller var det kanskje kakene? Jeg lå og vred meg i sengen og tenkte på neste dag. Da ville jeg ikke ha noe annet valg enn å ta fatt i årsrapporten. Jeg hadde lovet både meg selv og revisjonsutvalget at den skulle være en kort og konsis oppsummering av året som gikk, men det er jo lettere sagt enn gjort. Det er mange nyanser som kan bli ofret på kortfattethetens alter. I hodet svirret fortsatt barnesangen om nissefar og julegrøten. Plutselig, i halvsøvnen, fikk jeg opp et annet bilde i stedet for nissefar på låven. Det var meg, revisoren, på kontoret foran skjermen – «På kontoret satt revisoren med sin årsrapport». Men hva kan rime med «rapport»? «Dritt og lort»? Nei, det går ikke – men hva med «vintersport»? Det kunne passe. Årsrapportering er tross alt revisorens form for vintersport. Men det enkleste går best: «fort», «det går så fort»… Nå var jeg lys våken og visste jeg ville ikke få fred før oppgaven var ferdig. Jeg gikk inn på stua fant penn og papir og begynte å rable ned: PÅ KONTORET SATT REVISOREN På kontoret satt revisoren med sin årsrapport det går så fort, det går så fort. Han nikker, og han smiler, og han er så glad, for årsrapporten vil han gjerne ha. Ingen oppdragsrapporter vil han miste, og de frister, og de frister. De vil så gjerne med på lange lister, for vedlegg ønsker ikke de å bli. Men revisoren, han vil ikke utgi mange bind: «Tenk på trærne som kan gjøre blind, for årsrapporten er en oppsummering, knapt og kortfattet skal det bli.» Men oppdragsrapportene ja de lokker, med grønne, røde og gule blokker oppmerksomhet det vil de ha for pokker, og med «Ctrl V» vips så er de med. Se revisoren han blir nå både svett og matt, og slettetasten tar han fatt. Han kutter og han skjærer til rapporten satt og bedre kunne den vel neppe bli. Han gledet seg til møtet nå med styret sitt flott var den blitt, flott var den blitt og lovord forventet han å høste, gitt, og nå kjente han at han var helt utslitt. Arkivbilde, kilde: Bee Line. Med det sist ordet «utslitt» kjente jeg at jeg endelig hadde fått det ute av hodet mitt og følte meg plutselig stuptrøtt. Og da jeg la meg ned kom søvnen over meg med en gang. Det var et par dager senere at jeg kom igjen over det håndskrevne arket gjemt under avisene på stuebordet. Da var årsrapporten alt skrevet (i hvert fall første utkast), og var på kun ti sider. Jeg måtte smile – kanskje dette hadde ubevisst rettledet meg i arbeidet, tenkte jeg, mens jeg krøllet sammen arket og kastet det i ovnen. «Da er vi snart klare for et nytt revisjonsår», tenkte jeg. SIRK nr 2. 2013 47 Returadresse: NIRF, Postboks 1417 Vika, 0115 Oslo Med ønske om en god jul og et godt nytt år! ISSN 1892-9370
© Copyright 2024