vlsoren Artikkelprisen 1994 GRATULERER!

Transkript

1 NR. 3/4 31. argang 1995 vlsoren ORGAN FOR NORSK BANKREVISORFOREN ING Artikkelprisen 1994 GRATULERER! Nonnalt gis det en artikkelpris hvert iir. I iir ble det gitt fire priser - men til samme teamet. Harald Bergh, Petter Kapstad, Martin Stevens og Iiv Todnem fikk prisen overrakt av NBRF's leder Rolf KAre Srether for artikkelserien «Introduksjon til valutahandel og rentesikringsinstrumenter>' som gikk over 5 nummer fra og med nr Artikkelen hadde et ambisiest fonnal om a kaste Iys pa det bankomri'ldet som er minst tilgjengelig for et overveldende flertail av vilre lesere. Vi ensker vare lesere o God Jul & Godt Nytt Ar! 1/ Intern kontrollmodell fra VITAL Forsikring A.S Av Rune Mikkelsen s. 6 1/ Praktiske depotrutiner kvalitet og effektivitet. Av Are Jansrud s. 10 1/ Referat fra medlemsmlfte s. 19 1/ Sparebankenes Sirkingsfonds revisorkonferanse s. 21 1/ Bekreftelse av valutaforretninger mellom Kunde og Benk Av Truls Oscar Nilsen s. 25 1/ Embedded Value Av Ole Lauvskar s. 29

2 nl-~hjz,ef).t<t'~rt,' Samarbeid gir resultater! ArthtltAndersen Godkjennskap til.irl<somh.len VeJetablerte toehold moo rovisjons-"kunden" God. genereile revisjonskunnskaper Etablering av intern revisjon. Gjennomgang av eksisterende intern revisjon med tanke pa organisering, bemanning, arbeidsoppgaver, metoder og presentasjonsformer. Utarbeidelse av instruks og metodikk for operasjonell revisjon. Utvikling av planleggingsverkt0y og revisjonsplan. Gjennomgang og utvikling av rapportstruktur og analyseverkt0y. Bistand ved rekruttering av medarbeidere. Utarbeidelse og avholdelse av kurs/opplrering innen operasjonell revisjon, metodikk og planlegging. Utvikling av standard arbeidsprogrammer, arbeidspapirer og tekniske hjelpemidler. Gjennomf0ring av revisjonsprosjekter innen operasjonell revisjon i henhold tilledelsens prioriteringer. Stille revisjonsressurser til rildighet for kortere eller lengre tid. Foreta bekreftelser fastsatt i loy / forskrift, f.eks. Kredittilsynets forskrifter om intern kontroll, oppfyllelse av IT-forskriften 0.1. I vart arbeid benytter vi bl.a. var internasjonale kunnskapsdatabase - "Global Best Practices"- som inneholder omfattende informasjon om intern revisjon og hvorledes profesjonelle avdelinger drives. Databasen inneholder videre informasjon om ulike prosesser som f.eks. innkj0p, finans, strategiutvikling m.v., og er et nyttig hjelpemiddel i forbindelse med selve ut0velsen av operasjonell revisjon. 2

3 NORSK BANKREVISORFORENING Postboks 320 Sentrum 0103 Oslo Hovedstyret 1995/96: Leder: Rolf I{3re Scether Kreditkassen, Oslo TIt. jobb / Nest/cder: Jon Uthus Sparebanken Midt Norge, Sljordal TIt.jobb (fr.helm) / (Stjordal) Sekretcer: Asulv Espeland Sparebanken Sor, Arendal TIt. jobb Kasserer: Evy Naterstad Sparebanken Vest, Bergen TIt. jobb / Styremedlenzmer: GlY Dalen Sveinunggard Den norske Bank, Oslo TIt. jobb / Geir Guldahl Norges Bank, Oslo TIt. jobb / Trine Sorensen Fana Sparebank, Nesttun 111. jobb / varamedlem: 0ivind Tobiassen Sparebanken NOR TIt. jobb / varamedlem: Svein Vibeto Lunde Sparebank, Lunde TIt. jobb varamedlem: Karl Isaksen Fokus Bank, Trondheim TIt. jobb Kontaktpersoner lokalavdelinger: f!fst/sor: Ceir Guldahl Midi/Nord: Jon Uthus Anne Margit Eide Schjolberg Sparebanken Midt Norge, Trondheim 111. jobb / Vest: Trine Sorensen Hjelpesekretrer medlemsregister: Liv Myhre Holland Den norske Bank, Oslo 11L jobb / Fax Lederen har ordet PRESS pa INNTlENINCEN Bankene i Norge har hittil i ar merket en stadig sterkere konkurranse pa rentene. Rentemarginen i de enkelte bankene har vist en synkende tendens. For enkelte banker dekkes ikke driflskostnadene engang av rentemarginen. Delle har alltid VlErt et sentralt nokkeltall i banknleringen. Viktige arsaker til delle rentepresset ligger i den gode tilgangen pa kapital og antallet aktorer i sektoren. I tillegg kommer det nye utenlandske konkurrenter imt i det norske markedet samtidig som de store borsnoterte selskapene finansierer mer og mer av sin virksomhet utenom bankene. Den norske finanssektoren har heller ikke vist at den er slerlig flink til a risikoprise utlallene. Revisorer blir ofte, og kanskje med relle, kritisert lor a gi beskjed lor sent om vlere synspunlder. leg tillater meg derlor a trekke lram en av iristelsene banknleringen kan sta oveifor nar presset pa rentemarginen blir lor stort. Enkelte aktorer kan bli iristet til a '~nakke sammen" slik at rentepresset Iwn avta noe istedet lor a loreta en risikoprising av utlansporteloljen. Vi ma deifor gjennom var operasjonelle revisjon vlere oppmerksom pa muligheten lor at delle kan skje samtidig som vi bor lokusere pa bankens evne til a risikoprise utianene. I mange norske byer og bygder hadde banksjelene tidligere jevnlig kontakt med Itverandre. Delle er selvlolgelig i seg selv ikke ulovlig, men med dagens lrikonkurranse i finansnleringen ma man volde seg vel lor Itva man snakker om. En av hovedoppgavene ved revisjonen av bankene er a se eller at de drives lovlig. I dagens situasjon er jeg kommet til at jristeisen til a '~naklw sam",en" kan vlere en av la omrader hvor bankene kan komme til a drive ulovlig. Mange banksjeler er kansilje iilke Idar over alvoret i denne problemstillingen og var jobb som bankrevisorer er blant annet a se truslene og treillle lram problemstillinger sa tidlig som mulig. Dette er derlor 111m ment som liten tankevekller i ellers travle tider med arsoppgjorslorberedelser. Nar delle leses itar Norsk Bankrevisorlorening gjemlo11llort en serie hostkonleranser. Vi har hatt sammenkomster i Trondlteim, Bergen og Oslo. Konleransene har totalt samlet deltakere. Dette er en oppslutning som er langt mer enn lorventet og klar melding til vart laglige utvalg om at de hal' gjort en Ittmerilet jobb. Dette er ogsa siste nummer av Bankrevisoren med redaktor Harald Bergh ved roret. Harald har galt overi "banilen" og loler det vallsilelig a Iwmbinere det med a vlere redaktor i Banilrevisoren. Harald har gjennom mange ar lagt ned et betydelig arbeid lor NBRF. H ele NBRF tamer lor innsatsen og ol1sker Iykile til med dine nye oppgaver pa andre siden av bordet. Bankrevisoren IIommer ut med bare 3 llltmmer i ar. Delle som en 181ge av redakiorskijlet. Styret i NBRF har emzd iltke klart a finne en losning pa redakiorsporsmalet og delle nummeret ilommer ut takket vrere stor inl1sats ira Harald og resten av redaksjol1sutvalget. Med delle nummeret av Banlerevisoren gar ogsa 1995 over i historien og vi gar inn i vrertjubileumsdr. 28. oklober 1996 leirer vi VlErt 75..ars jubileum og pa veglle av de tillitsvalgte i NBRF vil jeg tallke lor i ar og onslle aile en rilltig GOD lul OC ET CODT lubileumsarf /{ristiansund, 26. november 1995 Rolf K. SlEther 3

4 Rolf Kare SlElker, Oyvind Tobiassen, Vibeke Lunde, Terje Berg og Knul E. Ailselsen. Kalender NBRF'"s aktiviteter 21. April Olrt ApIil1997 Generalforsamling lubileumskonferanse Landskonferanse Troms", Oslo Trondheim Faglig utvalg Faglig utvalg ApIiI 1996 Landskonferanse H0sten 1996 Tromso Konferanser /medlems- Faglig utvalg mater Lokalutvalgene 28. Oktober arsjubileum 20. Apdl 1997 Oslo Generalforsamling Styret Trondheim 4

5 Redaktarens hjarne BANKREVISOREN ORGAN FOR NORSK BANKREVISORFORENING RedaksjonsutvaIg: Harald Bergh, redaktor DnB Bedriftsprodukter Postboks 1171 Sentrum 0107 Oslo 11. kontor / Telefax / Martin W. Stevens Ernst & Young, Postboks 6834 St. Olavs plass 0130 Oslo 11. kontor Telefax OddAme Faugstad Sparebanken Vest 11. kontor / Telefax Cry Dalen Sveimmggaard Den norske Bank 11. kontor / Telefax Ettertrykk ikke tillatt uten skriftlig tillatelse. Sats: Createurene AS, Lorenskog Trykkes hose Nordberg Aksidenstryld<eri A/S, Oslo ISSN: Opplag: 700 ex. Annonsepriser: Helside (s/h) kr , Halvside (s/h) kr ,- I tillegg kommer satsomkostn. Fargeannonser: Pris etter avtale. Abonnementspris: Kr. 200,- pro ar. Meninger og pastander som fremkommer i artikler eller innlegg i blaclet er ild<e n0clvendigvis sammenfallende med NBRF's syn. Na er det med et snever vemod at jeg er na kommet til det siste nummeret av Bankrevisoren denne redaktoren har ansvar for. Na har det seg slik at jeg ikke lenger jobber som intern revisor og a VrEre over "pa den andre siden" kan til tider VrEre noksa hektisk leg fant det der/or naturlig a trekke meg fra stillingen som redaktor og overlate stafettpimlen Iii en med el nytt og frisilt syn. Del er nalurlig al pa el slikl lidspunkl tillaler man seg a se lilballe over min periode (4 ar) som redaktor. Hva har jobben som redaklor av Banllrevisoren gitt meg? For del forsle har jeg satt pris pa del kollegiale. Man far som redaktor kontakt direkte og indirekte med de jleste aklive medlemmer i var forening. Klart det har VrErt en del slit, men el redaksjonsutvalgsmole skal alftid ha tid!dover det renl arbeidsmessig for en oppdatering over det som skjer i vart miljo. Pa denne maten foler jeg al jeg har kunnet folge tett med Mde i bankulvikling og var profesjonsulvikling over en toff og spennende periode som vi vel kan kalle balwusen etter bankkrisen. Sa vi! jeg rette en takk til redaksjonsutvalgsmedlemmene over denne perioden. Dere har gitt verdifullt innspill til innhold i Bankrevisoren og taft a uifore den "mase"-rollen som det noen gang er a drive inn artikler. Er det et liv etter bankrevisjon? leg mener selv at jeg har det faktisk ikke sa aller verst. Intern kontroll forsl/riften har gjort sitt Iii al man far ikke lov til a glemme gamle kunsler. leg merker selv al man ikke har den samme frykl som andre for inlern leonlrollens myslikk. Inlern revisjon har visl seg a VrEre el viktig fundament for a jobbe videre i banken. Man har et mer helhetlig syn pa ling og er vant til a strukturere sitt arbeid. I tillegg etter mange ar i intern revisjon sa har man en god kontaktjlale ule i organisas;imen som er god a Ita nar en jobb skal gjores. leg Irekker denne enkle konklusjonen al bankrevisjon er en god og kanskje den beste sleolegangen for a lrere bank. Og dere lesere. NOell ganger sa jeg hadde luipet a hare mere fra dere, men har Iroslel meg med det ordlakel "no news is good news". leg velge a tro at dere har VrErt fornoyd med Bankrevisoren over disse arene ellers sa hadde dere nok sagt fra! Til slutt husk at del er en kort vei fra a VrEre leser til artikkelfor/atter. Pa vegne av de som har ansvaret for det neste nummeret vil jeg oppmuntre hver og en av dere som leser om a tenlle gjennom om du ikke har en faglig godmi du kan dele med dine Iwllegaer, i sa fall er det bare a ta kontailt med en av redasjonsutvalgets medlemmer. leg {filsker Bankrevisorell og aile banlerevisorer lyme til videre! Oslo, IIOV.-95 5

6 Intern kontrollmodell fra L Forsirking A.S Av Rune Mikkelsen Kontrollmodell for Vital Ropresentantskap Topptsdelso Rune Mikkelsen er ansatt ved Intern kontroll avde/ing i Vital Forsi/,ring A.s. Han er utdannet bankokonom i tillegg til ballkrevisjo1tsstudiet pa Banka/lademiet. Har tidligere arbeidet ved revisjonen i Sparebanken Vest og intemrevisjonen i Vestlandsbanken/Fokus BatIk. 1. Imlledning Vital Forsikring AS (Vital) er Norges nest storste privateide selskap innen livs- og pensjonsforsikring. Selskapet ble etableli ved fusjon mellom Norsk Kollektiv Pensjonskasse AS og Livsforsikringsselskapet Hygea. 2. Kontrollmodell for Vital Styret i Vital Forsikring A.S har vedtatt en intern kontroll policy for Vital hvor ansvar for intern kontroll er plassert, krav til internkontrollens innhold Ekstern er skissert, samt angir retningslinjer for intern kontroll arbeidet i Vital. Overordnet ansvar for at selskapet er underlagt tilstrekkelig kontroll har styret og administrerende direktor. Disse skal se til at kontrollarbeidet etableres, ledes og gjennomfures. Ansvaret for den praktiske etablering og gjennomfuling av kontrolltiltakene S T A e Ruppert, bud'loli, analysg konlroll Juridl.k Personal D KontroBkomll9 In&em- J'GVlsor Intern er delegert til linjeleder. Avdeling for intern kontroll i Stabssektor skal delta og vrere padriver i prosessen med etablering av rutiner, fullmakter osv., og videre sette premissene for risikokartlegging og rappoliering av intern kontrollarbeiclet i ulike organisasjonsledd. I tillegg hal' andre enheter i Stabssektor - innenfor 0lmnomi, tekno- 6

7 logi (sild{erhet), juridisk, ansvarshavende aktuar og personal- et kontrollansvar innen sine fagomrlider. Det at flere enheter har et ansvar for de interne kontrollrutiner kan fore til at ansvaret pulveriseres. Det er delior nedvendig a avgrense hvilket ansvar de enkelte har. Rapport ering Linjeledel' utover linjekontroll 2.1. linjeleders ansvar Toppledelse og styre Krav til kontroll Konsulenttj en ester og krav Rapportering Foreta revisjon Det er linjeleders ansvar at det etableres tilstrekkelige kontrolltiltak innen sitt ansvarsomrlide og at disse virker. Ansvaret bestir i a s0rge for at det blir etabler! interne kontrolltiltak, at disse gjennomjures, og at de blir fulgt opp Avdeling for intern kontrolls ansvar Avdeling for intern kontroll er ansvar Iig for at det utarbeides overordnede krav og rammebetinge1ser for konlrollarbeidet, og at dette kontinuerlig utvikles videre. Avdelingen skal bista Iinjeleder i arbeidel med a elablere og vurdere internkontrollen, og utarbeide risikovnrdering og kontrolloversikt i samarbeid med Iinjeleder. Videre simi avdelingen passe pa al svakheter i linjekonlrollen reltes opp, og at de krav som slilies f01ges opp Intern revisor Intern revisors oppgave er pase at den etablerte internkontroll er tilstreld{elig og Ungerer i henhold til gjeldende lover /forskrifter og interne retningslinjer. Arbeidet er prosjektorientert, og basert pa tildelte oppgaver fra Rtlpportarlng (bckrcllelsep! (JeooomtcOrlg av koilirqii~i\;ik) Intern kontroll avd. i ~ Intern revisjon I I Rappa, loring (salus t" rkv:lilei pa etab/«tlnlcmkonlroll. 9 ennoml """9 "9 ov",- v.lking) administrerende direkror. Intern revisor simi i dette arbeidet skal bygge pa de risikovnrderinger og kontrolloversikter som utarbeides av Intern kontroll avdeling. Som en pf0veordning har Vital valgt a leie inn denne tjenesten fra eksternt revisjonsbyra fremfor a ansette egen intern revisor, og har inngatt avtale med Coopers & Lybrand om etablering og gjennomfuring av intern revisjon. Intern revisor rapporterer direkte til administrerende direkror. 3. Risikometodikk i Vital Utarbeidelsen av intern kontroll policy for Vital kom samtidig som I<redittilsynets forslnift om intern kontroll ble gjoli gjeldende for bankene. ForskriIten satie krav til: 1. overordnede kontrollprinsipper 2. kontrolloversikt 3. risikoanalyse, med rapport til styret 4. bekreftelse fra Iinjer, mec1 rappoli til styret 5. Iinjeuavhengig bekreftelse, mec1 rapport til styret Med de overordnede krav allerede pa plass, fant vi det naturlig a bygge det videre arbeidet pa denne forskjiften i pavente av at Iignende regelverk ogsa ville bli gjort gjeldende for forsilningsselskaper. I denne prosessen er det lagt vekt pa a se forslniftens krav om etablering av kontrolloversikter, gjennomfuring av risikovnrdering og Iinjeleders bekreftelse av intern kontroll i sammenheng. Dette er gjort ut i fra et 0nske om a fa bedre frem sammenhengen mellom Iinjeleders oppfatning av risikosituasjonen for sitt ansvarsomriide og de overordnede risikobegrep/sammendrag som benyttes i rapportering til administrasjon og styre!. Det er videre forutsatt at de vnrderinger som gjeres og den dokumentasjon som utarbeides, skal bygge pa Iinjeleders oppfatning av kontrollsituasjonen i sitt ansvarsomrlide. Konklusjonene av disse vnrderingene rapporteres sa til overordnet leder som gjennomgar disse. Deretier utarbeides et sammendrag for overordnet leders ansvarsomriider, som rapporteres videre opp i organisasjonen. Pa denne maten oppniir man a knytte sammenheng mellom de risikoomrlider som den enkelte Iinjeleder opplever for sine omrlider, og den overordnede behandling og rappoliering av risiko for selskapet til toppledelsen og slyre!. Det har ogsa vrert et mill for oss at arbeidet med implementering av internkontrollforskriften ilille bare simi vrere et arbeid som gjeres for a tilfredsstilie forskriftens krav, men ogsa vrere et ledd i Vitals kvalitelssikringsarbeid for a sil{re 110Y kvalitet og kontroll med selskapets proc1ukter og futiner. Den praktiske gjennomf0ringen byggel' pa en gjennomgang av de vesentligste rutiner i en organisasjonsenhet, og kan deles i f0lgenc1e faser : 7

8 a. Beskrivelse av risiko/feilmulighet (iboende risiko) med vurdering av vesentlighet. Risikovurderingen starter med a identifisere og beskrive hvilke risikoer som er Imyttet til produktet (forretningstisiko) og de feilmuligheter som Iigger i de tilhorende rutiner (administrativ tisiko), samt den forretningsmessige konsekvens man mener disse vii ha for selskapet. Denne graderes ut i fra fastsatte graderingsverdier. Man vurderer sa muligheten/sannsynligheten for at hendelsen vii kunne inntreffe. Kombinasjonen av sannsynlighet og konsekvens angir risikograd pil en skala fra 1-5, der 1 angir lav risiko og 5 angir hoy risiko. Risikograd 3-5 er vurdert som vesentlige, som bor vrere gjenstand for hoy oppmerksomhet. FeiImuligheten eiler hendelsen kuyttes sa til en overordnet risikodefinisjon som benyttes ved agreerte vurdetinger/rapportering til ledelse og styre. b. Beskrivelse av etablerte kontrolltiltak Det utarbeides oversikt over de kontroiltiltak som er iverksatt for a redusere de risikoer som er identifisert. KontroIltiltakene vurderes sa med tanke pa i hvilken grad de oppfattes som vesentlig for den aktueile risiko. c. Vurdering av gjenvlj!rende risiko og evt. behov for ytterligere kontrolltiltak Det vurderes i hvilken grad kontroiltiltakene reduserer iboende risiko, og den gjenvrerende risiko vurderes pa skalaen lav - middels - hoy. Risikovurderingen simi oppsummeres i en vurdering av gjenvrerende risiko, hvor det tas stiiiing til om denne er kommet ned pa et akseptabelt niva eiler om det er behov for ytterligere kontroiltiitak. Det er ild<e n0dvendigvis et mill at den gjenvrerende risiko simi vrere lav for samtlige omriider. Hovedpoenget er at man er oppmerksom pa hvilke tisiko er som er til stede, og at risikonivilet biir rapportert til overordnet leder, som ved behov kan gjennomga de vurderinger som Iigger til grunn. d. Linjeleders bekreflelse av intern k011- troll Linjeleder bekrefter at kontroiltiltak er etablert, gjennomfurt og overvilket. Som dokumentasjon pa at dette er gjennomfurt brukes det materialet som er utarbeidet gjennom risikovurdering og kontroiloversikt. Linjeleder skal samtidig rapportere om enkelte av kontroiltiltal<ene ild<e hal' fnngert som forutsatt, og hvilke tiltak som iverksettes for ii rette pa disse forholdene. Pi! denne millen kan Iinjeleder dokumentere pa hvilke grunnlag bekreftelsen er gjort, og dokumentasjonene vii. ogsa vrere utgangspunkt for intern revisors gjennomgang og bekreftelse av den interne kontroll. e. Sammendrag av risikovurdering ptl heyere organisasjonsnivtl Etter at en overordnet leder har mottatt dokumentasjon av tisikovurdering med konkiusjoner, utarbeides sa et sammendrag for samtlige av dennes ansvarsomri'tder til videre rapportering. Sammendrag for hele selskapet utarbeides til slutt fra administrerende direkt0r til styret. Denne prosessen forutsettes gjennomfurt en gang arlig for samtlige organsisasjonsenheter. Det vii imidlertid vrere mest hensiktsmessig a fordele de ulike enheter over aret, slik at man oppnar en best mulig utnyttelse av ressurser, og kan unngil perioder med hoy arbeidsbelastning i enhetene. Rapportering og bekreftelse vii da skje nilr risikovurdering er gjennomfurt. Den praliliske gjennomfuringen er forutsatt gjennomfurt i samarbeid mellom ansvarlig leder for den aktueile organisasjonsenhet og Intern kontroil avdeling. Pil denne millen oppnar man at de vurderinger som gjores bygges pa linjeleders furstehands kjennskap til rutiner og produkter, samtidig som man sikrer at vurderingene gjores pa en fe1les mate for aile omrader. 4. Oppsummering/ erfaringer sa langt Vare erfaringer med gjennomfuringen sa langt er positive. Den arbeidsmaten som benyttes krever deltakelse og engasjement fra ledere og annet personale fra de organisasjonsenheter som gjennomgas. Dette bidrar til at de ansvarlige ledere far forstilelse for kontroilbehovet ved egne ansvarsomriidet, samtidig som sentrale kontroiiinstanser og linjeleder kan fil en fe1les forstilelse av risiko og behovet for ulike kontroiltiltak for en enhet. Videre er det gitt positive tilbakemeldinger fra linjeleder pa den maten som risikovurdering og kontroiloversikt dokumenteres pa. Det at vi ogsa har valgt a beslaive feilsituasjoner som kan oppstil i en rutine, fremfor kun a benytte overordnede risikobegrep, gjllr at linjeleder enldere kan relatere dette til sin "hverdag" ved gjennomgang og bekreftelse av intern kontroilen for sitt ansvarsomri'tde. Gjennom den utarbeide metodild<en har vi etter var mening filtt et verktoy som gir ansvarlig leder oversikt over aklueile risikoer og etablerte kontroiltiltak, noe som vii vrere til hjelp ved ul0velse av internkontroil ansvaret. Risikogjennomgangen vii ogsa gi oss muligheten til a kunne vurdere effektiviteten i rutinen ved a pase at internkontroilen er konsentrert rundt de tisikoer Ifeil som rna anses som vesentlige for selskapet, og ild<e minst avdeld<e "huiler" i det etablerte kontrollopplegget. 8

9 Landskonferansen april 1996 Rica Ishavshotel i Troms0 ogsa i ar i samarbeid med Revisjonssjefk:retsen Emner: De to pafulgende dager vii starte med en definisjon av hva som legges i * Emnene pa konferansen vii bli: begrepet operasjonell revlsjoll. Deretter vii det bli en gjennomgang " Samarbeid mellom intern og av modeller for det praktiske samekstern revisjon" arbeid mellom intern og ekstern " Operasjonell revisjon" revisjon og den synergi som ligger " IT-forskrifien/IT-revisjonen" mellom den operasjonelle og finansielle revisjon (hvordan denne utnyttes for a fa en mest mulig effektiv og rasjonell Emnene vii bli deldcet i et samarbeid revisjon). Det tas sikte pil ii ta utgangs- I lopet av konferansen avholder mellom Sparebanken NOR og punkt i den operasjonelle og finansielle Revisjonssjefkretsen sitt arsmote. Coopers & Lybrand. revisjonsprosess fra A - A, og under mot gjeldende standarder og anbefalinger som gjelder sam! komme inn pa arbeidsdelingen som er etablert mellom intern og ekstern revisjon. Til slutt vii vi gil inn pi! praktisk gjennomfuring av IT revisjonen. NBRF's Generalforsamling vii bli avholdt sondag 21 april * Konferansen semdag ettermiddag innledes med Nytt fra Kredittilsynet. veis i de enkelte faser knytte dette opp Malgruppen for konferansen er i orste rekke interne og eksterne revisorer Imyttet til bank og finans, men invitasjonen gar ogsa til bankenes administrasjon og 0Vrige kontrollorganer. Konferansens orste dag vil som tidligere nevnt innbefatte "Nytt fi'a Kredittilsynet" med det siste av forskrifter som er kommet ut og som er under arbeid, SaInt annet som vii vrere av interesse for deltagerne. Dagen avsluttes med en sightseeing (inkl. bl. a. Ishavskatedralen og Nordlysplanetariet) med pafulgende middag i Fjellheisrestauranten. 9

10 Praktiske depotrutiner - kvalitet og effektivitet Av sivil0konom Are Jansrud KORT OM FORFATfEREN: Navn: Are jansyud (29) Utdanning: SiviZokonom, SiB Managementprogrammet Operasjonell revisjon og adm. Iwalitetssikring, BI Kreditt- og depotjuss, BA Yrkespraksis: TeamZeder, internrevisjonen Sparebanl,en Hedmark ( ) NmringslivskonsuZent, Sparebanken Hedmark ( ) Bankenes rentemargin har fait betyde Jig. Dette har bade redusert bankenes evne til a tale tap (les: brere risiko) og gjort kostnadsreduksjoner til et meget aktnelt tema. A etablere en kostnadseffektiv, men samtidig god nok, internkontroll er derfor en dagsaktnell pro blemstilling. Malsettingen med denne artilden er a belyse hvill{e avveininger man rna gj0re mellom nytten av a sikre depotkvaliteten og de kostnader som er forbundet med dette, samt a gi eksempler pa hvordan kostnadseffektive kontroller pa depotomrildet kan etabeleres i praksis. Artilden baserer seg pa et foredrag undertegnede holdt pa revisorkonferansen til Sparebankenes Sikringsfond. 1. FAGUGE UTGANGS PUNKT 1.1 Hvorfor er temaet interessant for intemrevisorer? Hvorfor er kunnskap om etableting av kostnadseffektive mtiner av interesse for oss som internrevisorer? IIA-standardene gir oss svaret pa dette. I lia300 heter det bl.a. at vart arbeid skal omfatte en vurdeting av hensiktsmessigheten av virksomhetens internkontroll. Begrepet hensiktsmessig er i lia definert som at internkontrollen gir rimelig sikkerhet for at formill ogmalsettinger vii bli oppnildd pa en effektiv og 0konomisk mate. Definisjonen inneholder to viktige begrep i denne sammenheng - effektiv og 0konomisk. Med effelctiv mate forstas om formal og mal oppfylles tidsmessig og med lavest mulig ressursforbmk 0IA ), mens 0konomisk innebrerer at foimill og mal oppfylles til en kostnad som star i forhold til tisikoen (IIA ). IIA-standardene fomtsetter med andre ord at vi som revisorer er i stand til a foreta kost/nytte-vurdetinger. 1.2 COSO-modellen Rapporten "Internal Control- Integrated Framework»', heretter benevnt COSOrapporten etter navnet pa kommisjonen som stod bak, er en ametikansk rapport om hvordan internkontrollen i virksomheter kan etableres og gjennomfures. Rapporten inneholder bl.a. fulgende senu'ale poeng: 1. internkontroll iverksettes for a OPPna illnnsomhet og oppfylle virksomhetens formal, samt for a minimalisere oveltaskelsene underveis 2. internkontroll er en prosess som vedr0rer aile ansatte 3. internkontrollen er integrert med de 10pende driftsaktiviteter (<<built into», ikke «built onto») 4. rappolien beskriver fern gjensidig relaterte komponenter for utvilding av internkontroll. Komponentene er ikke selve internkontro11en, men verktoyene for a utvikle den. De fern komponentene er: Kontrollmilj0et: integritet, etild{, kompetanse, ledelsesfilosofi, ansvars- og myndighetsfordeling, styrets engasjement Risikovurderingen: en systematisk gjennomgang av hvilke faktorer som kan Ulle maloppnaelsen Kontrolltiltak: tilta1{ som skal handtere al{tuelle risild og bidra til a sikre maloppnaelsen lnfonnasjon og kommunikasjon: relevant informasjon rna kommuniseres for at de ansatte skal kunne ivareta sitt ansvar og sine arbeidsoppgaver Overvi\ki.ng: ledelsen rna ha en oppfulging mht. om internkontrollen fungerer som fomtsatt og om den fortsatt er relevant Figur 1: Komponentene i COSOmodellen Kontrollmilj0et er selve fundamentet for den interne kontro11. Vten et godt fungerende kontrollmilj0 hjelper det ikke hvor velutviklet de 0vtige komponetene er pa papiret, fordi i et darlig kontrollmilj0 er det stor risiko for at man vii tilsidesette vedtatte kontro11- tiltak. Dessuten kan man stille sp0rsmill ved hvorvidt de 0vrige fire komponentene kan utvildes pil en god milte 10

11 uten et godt kontrollmiljo. De fire andre komponentene er imidlertid viktige pillarer for a holde byggverket oppe. stiller. Det er derfor min oppfatning at det er mulig a benytte COSO-modellen for a strukturere arbeidet med i't utvilde en god internkontroll i virksomheten, hernnder a oppfylle de krav Internkontroll-forskriften stiller opp. 2. HVA ER DEPOTKVALITET? depotkvalitet. Det er delte kvalitetskravet som rutiner og sluttresultat rna vurderes opp mot. I(ravet til depotkva!itet kan innebrere ulike toleransegrenser mht. feil i depotene, avhengig av hvordan man prioriteter lisiko i forhold til kostnader. Her er et par tenkte eksempler pa hvordan styret og ledelsen kan fonnulere l{valitetskravet: «Banken skal ikke!ide tap pga. fonnelle depotfei!.» KONTROLLlI1rWOET Figur 2: Relasjonene mellom komponentene i COSO-modellen 1.3 Sammenligning av COSOmodellen og Intemkontrollforskriften Internkontroll-forskriften, som b!.a. presiserer styret og daglig leders ansvar for a etablere forsvarlige rntiner, inneholder Olgende paragrafer: 1-1: styrets kontrollansvar 1-2: daglig leders kontrollansvar 2-1: oversikt over kontrolltiltak 2-2: Arlig gjennomgang av risild og tiltak 3-1: bekreftelse fra ledere 3-2: uavhengig bekreftelse Et forsok pa a sammenstille bestemmelsene i forskriften med komponentene i COSO-modellen gir f01gende resultat: 2.1 Hva er kvaiitet? For vi gar inn pa a definere depotkvaltitet, kan det vrere greit i't fastlegge hva som generelt forstiis med begrepet kvalitet. I ISO-standardene er kvalitet definert slik: Helhet av egenskaper som en enhet har og som vedmrer dets evne til a tilfredsstille uttalte og underforstiitte behov. (ISO 8402) Kunnskapsforlagets synonymordbok angir egenskap, godhet, karakter, Idasse, verdi som synonymer for kvalitet. Utfra ovenstiiende legger jeg i denne artiklen Olgende generelle definisjon av begrepet kvalitet til grnnn: Kvalitet foreligger nar sluttresultatet har egenslmper som samsvarer med de fastsatte krav. 2.2 Depotkvalitet sett med bankens 0yne Vi har ovenfor slatt fast at det er styret og lede1sen som har ansvaret for a etablere en god nok internkontrol!. Derfor er det ogsa bankens styre og ledelse som rna fastsette kravene til «Det skal etableres rntiner som gir 95% sild{erhet for at bankens sild<erhetsdepoter i]d{e inneholder feil.» Som en ser, sa vii det orste alternativet innebrere hoyere kontrollkostnader, men ogsa lavere risiko for tap, enn det siste. Det er denne type plioriteringer som jeg simi forsoke a belyse mennere i artilden. Utfra ovenstiiende er det min pastand at: DepotkvaIitet foreligger ni'tr bankens sikkerhetsdepoter har egenskaper" som samsvarer med de krav styret og ledelsen har fastsatt. I ti1legg til a vurdere risikoen mot kostnadene, sa rna styret og ledelsen ogsa ifbm. sin kravsfastsette1se vurdere bankens samlede risiko og hvilken evne banken har til a brere risiko. 2.3 Kundens kvalitetsopplevelse Kundene har forventninger til banken. De onsker b!.a. rask saksbehandling, markedsriktige lanevilkar, minst mulig «papir og styn>, fa disponere pengene sa fort som mulig og deretter fa vrere i fred for banken sa lenge de betaler for seg,osv. COSO-modellen Kontrollmiljoet Risikovurderingen Kontrolltiltak Infol1nasjon og kommunikasjon Overvi'tking Som en ser, er det godt samsvar mellom komponentene i COSO-modellen og de krav Inlernkontroll-forskriften opp- Intemkontrollforskriften 1-1 og , 1-2,2-1 og og , 1-2,2-1,2-2,3-1 og 3-2 En kundes l<valitetsopplevelse kan beskrives slik: Opplevelse Forventning >: 1 En kunde forventer neppe i etterkant av 11mediskonteringen a bli kontaktet av banken for a bidra til a rette opp igjen depotfei!. Skjer det, vii kunden neppe bli en spesielt fornoyd kunde. Og tapte fottetningsmuligheter pga. misfornoyde kullder er en del av 11

12 bankens kostnader! Denor er det viktig illlie bare a ta hensyn til interne kvalitetskrav nar depotrutinene skal utfoimes. Rutinene rna ogsa utformes pa en slik mate at de bidrar til a silite kundene en best mulig!<valitetsopplevelse. Bare pa den maten kan man silite at depotrutinene virkelig bidrar til a oppfylle bankens formill og millsettinger. 3. RISIKOANALYSEN - HVA RAN GA GALT? 3.1 Hva er tisikoanalyse? Risikoanalyse er en ornfattende gjennomgang og vurdering av hvilke faktorer som kan inntreffe og som vii true OPPnaelsen av de formal og malsettinger som vi arbeider mot. Risikoanalysen gir gmnnlaget for a etablere hensilctsmessige kontrolltiltak. Skjematisk kan risikoanalyseprosessen fremstilles slik: FORMALIMALsETTING >& RISIKOANALYSE >& AKTUELLETILTAK Den totale risiko banken er utsatt for kan beskrives som produktet av iboende risiko og kontrollrisiko: TOTAL RISIKO = IBOENDE RISIKO * KONTROLLRISIKO I.boende tisiko har sanunenheng med at forholdet i seg selv er lisikofylt, eller sagt pa en annen mate: det er tilnrermet resultatet av doyen om tingenes iboende drevelskap». Kontrolhisikoen representerer lisilmen for at etablerte kontrolltiltal{ enten ildce Ungerer eller ild{e dekker de alrtuelle iboende risiki. En risikoanalyse pa depotomrildet vii, utfra ovenstilende, innebrere en gjennomgang og vurdering av hvilke iboende risiki og kontrollrisiki som kan tme oppnaelsen av bankens mill pa depot- omrildet, dvs. en identifikasjon av hvill{e forhold som kan gj0re at den fomtsatte depotl<valitet ildce oppnas? 3.2 I.boende tisiki pa depotomradet Iboende risiki pa depotomrildet kan inndeles i to hovedgmpper, de som ved1'0rer etableringen av dolrumentene og de som oppstar pa et senere tidspunkt. Nedenfor fulger noen eksempier pa slike risiki: Pa etableringstidspunktet: ugyldige dolrumenter pga. formelle feil manglende dokumenter materielle feil (feil prioritet, feil panteobjekt, verdil0st pant, 0.1.) manglende forsilrringsdelming osv. Etter etablelingstidspunktet: endringer i lover/regler leietiden/festetiden utleper forsikringsdelming opph0rer feilalctig sletting/retur til kunden fysiske risiki (brann, tyveri, etc.) osv. 3.3 Kontrollrisiko pa depotomradet Kontrollrisilmen pa depotomrildet kan generelt sies a vrere at de etablerte kontrollrutiner ikke Ungerer slik at de forannevnte iboende lisild enten ild{e blir avdeld{et eller ikke blir fulgt opp fordi n0dvendige tiltak for i\ rette opp forholdene ild{e iverksettes Rentenetto (sum over 2 ar) Etableringsgebyr: Sum inntekter Saksbehandlingskostnader Dokumentutfylling Depotkostnader Resultat 4. DEN PRINSIPPIEILE PROBLEMSTIillNG: KOST/NYITE-VURDERING 4.1 Generelt utgangspunkt Formalet med a etablere sikkerhet er a redusere risikoen for banken, for pa den mmen a bidra positivt til bankens 0konomiske resultat. Pa den annen side koster det penger a etablere sikkerhet. F0r man begynner a diskutere depotrutiner, b0r man denor ha tenlct igjennom fulgende gmnnleggende problemstilling: Skalman alltid etablere pantesikkerhet? Eksempel nr. 1: Vi tar for oss f01gende situasjon: Liln: lit ,- Avdragstid: 2 ar Etablelingsgebyr: kr 750,- Mellomregningsrente: 5% Saksbehandlingstid: 2 timer Dokumentutfylling: 1 time hvis silllierhet, 'I, time hvis blanco-ian Depotarbeid: 1 time hvis sild{erhet, 'I, time hvis blanco-liin Timepris: kr 500,- Alt 1: liin uten sild{erhet 10% rente Alt 2: IiIn mot pant i bolig: 7% rente Hvill{et alternativ er gunstigst for banken? La oss regne litt pa det: Alt. 1 Alt , ,- 750,- 750, , , , ,- 250,- 500,- 250,- 500, ,- 750,- Alternativ 1 gir, som fulge av bilde h0)tere rentemargin og lavere kostnader, et resultat som er kr 3.500, bedre enn alternativ 2. Dette er imidlertid fur vi har tatt hensyn til 12

13 risillojorsiljelien mellom de to altemativene. Det banken ma sp0rre seg om er derior: Er risikoforskjellen sa stor at den forsvarer a gi fra seg kr 3.500,- ved a etablere pantesild<erhet? Banken kan i dette eksemplet ha en tapsprosent pa 3.500,-/50.000,- = 7% fur det 10nner seg a be om sildcerhet. Sp0rsmaJet blir derior om tapsprosenten er sa h0y, forutsatt en forsvarlig kredittvurdering? Dette finnes det selvsagt ild<e noe fasitsvar pa. Det som er det vesentlige poenget a frem i denne sammenhengen, er at man ma tenke igjennom denne type problemstillinger. Na kan det selvsagt hevdes at eksemplet ild<e er helt realistisk. Hva skal fa en kunde til a betale 10% rente dersom han kan oppna 7% ved a stille sikkerhet? Mange kunder vil nok se seg om etter konkurrerende tilbud dersom de ikke far 7%-altemativet. Men noen vil kanskje av ulike iirsaker (enkelt og greit uten sildcerhet, det ligger prestisje i a fa Ian uten sildcerhet, osv.) velge blancolansalternativet. Losningen synes derfor apenbar (forutsatt at banken har evne og vilje til a ta den Iisiko som ligger i blancolans-alternativet): la kunden fa velge! 4.2 Kostlnytte-vurderingen Det piinsippielle utgangspunkt ere Kontrolltiltak skal bare implementeres dersom nytten av de er st0rre enn kostnadene forbundet med tiltakene! Hvorfor? Fordi, som nevnt under omtalen av COSO-rapporten, sa etableres internkontroll for a bidra til a sikre bedriftens maloppnaelse. Ti!tak som koster mer enn de tilfurer av verdi svekker resultatet, og bidrar sihedes til det motsatte! Rvordan miile llost/nytte? Kostnaden vil vrere de merkostnader banken pafures ved a etablere kontrolltiltaket. I interkontroll-sammenheng vil nytten normalt bli a male som den risikoreduksjon kontrolltiltaket medf0rer. Rvordan bereglle risiiloen? Risikoen er produktet av den bel0psmessige eksponeiing man er utsatt for dersom et tap inntreffer og sannsynligheten for at tapet skal inntreffe. Teoretisk sett kan derior risikoen beregnes slik: R=p*E der: R = forventet tap (dvs. risikoen) p = sannsynlighet for at tapet inntrer E = bel0psmessig eksponering Ehsempel nr. 2: Sparebanken Den Gamle Eika diskonterer iirlig Ian. Gjennomsnittlig 11Inebel0p er kr ,-. Uten kontrollrutiner har de estimert at det vii vrere depotfeil i 20% av lanesakene. Over tid har man en situasjon hvor man far bruk for sine sildmrheter i 5% av sakene. Banken har utredet 3 alternative kontrollrutiner: All. 1: Kun dokumentkontroll i depotavdelingen etter at utbetaling har funnet sted. Man antar at man pa denne milten vil avdekke 15% av de 20% feil som produseres. Imidlertid vii 5% ildce la seg rette opp etter diskonteiingen. Estimeli ressursforbruk er 20 arsverk i depot og 10 arsverk til feilretting. Et arsverk antas 11 koste kr ,-. AlL 2: I ti1iegg til dokumentkontroll i depotavdelingen etter at utbetaling har funnet sted, foretas ogsil kontroll fur utbetaling av en annen saksbehandler. Man antar at man pa denne mmen vil avdeldce 16% av de 20% feil som procltlseres. Alle fei! lar seg rette. Estimeli ressursforbruk er 20 iirsverk i depot, 20 iirsverk til kontroll fur diskontering og 10 iirsverk til feilretting. All. 3: Kun dokumentkontroll i depotavdelingen etter at utbeta1ing har funnet sted. Men man satser pa iirlig kursing av saksbehandlerne for 11 redusere feilproduksjonen. Man antar at man pa denne milten vii avdeldce 15% av de feil som produseres. I tillegg antar man at feilproduksjonen vii bli redusert fra 20% til 18%. Imidlertid vii 5% ikke la seg rette opp etter diskonteringen. Estimert ressursforbruk er 20 iirsverk i depot og 10 arsverk til feilretting. I tillegg kommer samlet 2 iirsverk forbrukt til opplrering og direkte kurskostnader med kr ,-. La oss furst beregne total risilw uten etablering av kontrolltiltak ved a bruke formelen ovenfor: p = 20% * 5% = 1% E = ,- * = ,- Dvs. en totahisiko pac R = p*e = ,- * 1% = ,- De ulike alternativene gir fulgende 0konomiske resultat: Alternativ 1 Nytte: , ,-, 10% 5% KosI: (20 + )0) Resultat: 0,- Alternativ 2 Nytte: * , ' 16% ' 5%" ,- Kost: ( ) * , Resullat: Altemativ 3 Nytte: ,- * ,- * 12% * 5%"" fulli!; Resullat: Hvis vi foretar en sammenligning av de tre alternativene mht. antall restfeil og 0konomisk resultat, fill' vi f0lgende bilde: 13

14 Restfeil Resultat Alt. 1 10% 0,- Som tabellen over viser, sa er det ikke det alternativet som gir det laveste antall restfeil som i dette tilfellet er det okonomisk mest gunstige. 4.3 Kost;/nytte-vurderingen i praksis Eksemplet ovenfor har et visst teoretisk preg. I praksis vii det ikke alltid vrere like lett a finne frem til de aktuelle tallstorrelser. Srerlig gjelder dette for nytteverdien sitt vedkommende. Denne vii det ofte vrere vanskelig a beregne i praksis, da det ikke alltid er sa lett a komme frem til et noenlunde velbegrunnet anslag for sannsynligheten for at et tap vii inntreffe. Kostnaden derirnot, bor det vrere mulig a beregne noenlunde eksalct. TIl tross for disse praictiske vanskelighetene vii jeg i det fulgende forsoke a skissere en mulig metode for ii gjennomfure en slik analyse i pralcsis: KOSTNADSBEREGNINGEN: 1. Kartlegg og beskriv rutinen 2. Beregn tidsforbruk og forbruk av andre ressurser CEDB, blanketter, rapport-kostnader, etc.) pil bakgrunn av rutinekartleggingen 3. Fastsett kostnadene pa iirsbasis utfra 1 og 2. Det er her viktig ii merke seg at det kun er de merkostnader som er forbundet med den aktuelle rutlne som skal medtas. NYITEVURDERINGEN: 1. Registrer aile depotfeil som vii fure til tap i en avviklingssituasjon over en gitt tidsperiode 2. Beregn hvor stor andel av totalt lanebelop disse feilsaicene ulgjor 3. Registrer (utfra misligholdsstatistildc, el.l.) hvor stor andel av lanene som ender i en avvildingssituasjon 4. Beregn total risiko slik: Nye Ian pr. ilr * Feilprosent * Awildingsprosent Alt. 2 4% ,- Alt. 3 6% ,- 5. Ansla hvor stor andel av feilene som forsvinner pga. de aktuelle kontrolltiltalc 6. Foreta en ny risikoberegning baser! pa forutsetningene i punktnr.5 7. Beregn nytten som forskjellen i lisilco mellom punktene 4 og 6 Utover de forhold som er beskrevet i de foregaende avsnitt, rna man i praicsis ogsa ta hensyn til fulgende forhold ved kost! nytte-analyser: 1. Kostnadsfordeler Ovenfor er kun lisikoreduksjonen medtatt som nytteverdi. Dersom man vurderer en omlegging av eksisterende rutiner, sa er selvsagt eventuelle kostnadsbesparelser forbundet med de nye rutinene ogsa en del av de fordeler man rna ta med i kalkylen. 2. «Subjeiltiv» nyfteverdi lldce aile faktorer lar seg n0dvendigvis kvantifisere. Det kan derfor tenkes momenter som man ildce klarer a sette tall pa, men som like fullt er et reelt moment i totalvurderingen. Et eksempel kan vrere at den ene rutinen forventes a gi mer fornoyde kunder enn den andre. 3. «Forsikringspremie» I eksempel nr. 2 ga altemativ 2 lavest andel restfeil, men en negativ kost/nytte pa kr -1 mill. Ledelsen kan likevel velge dette alternativet, og betrakte «tapet» som en forsikringspremie. Et slik valg kan man f.eles. ta pga. den usiklcerhet som alltid vii ligge i beregningen av nytteverdien. Poenget er at man via kost/nytte-kalkylen har gjoli detie med apne oyne! 4. Noyailtighet i Jzalkylene Beregninger av denne type vii alltid vrere beheftet med en ildce ubetydelig usildcerhet. Det gj0r likevel ikke slike beregninger verdilose. For det furste lean et slile grovt anslag i mange tilfeller vrere mer enn godt nok. Og for det andre gir konkrete tall og leallcyler ofte grobunn for fruktbare diskusjoner innad i organisasjonen, noe som i seg selv lean vrere verdifullt. 5. Kost/nytte av kost/nytte-kalkylen! A gjennomfure en formell kost! nytte-kalkyle vii kreve noe ressurser. Ved mindre rutlneendringer /-tilpasninger vii det kanskje ildce vrere verdt strevet a fors0ke a sette opp en formell leallcyle. Lileevel ber man tenlee kost! nytte, men da pa et mer subjektivt baser! grunnlag. 4.4 Kvalitetskostnader - en altemativ mate a se det pa I stedet for a sette leostnadene ved kontrolltiltakene opp mot fordelene ved de, lean en sammenligne tiltalcenes kostnader mot de kostnader som er forbundet ved ildce-kvalitet (dvs. gjenvrerende feil): Kvalitetssystemets leostnader + Kostnader pga. relting av feil Kvalitetsleostnader + lldce-kvalitetskostnader Totalkostnader Iklce-levalitetskostnader er tap pga. gjen vrerende feil. Eksempel nr. 3 La oss belyse denne metoden gjennom et eksempel. Tenk deg at vi har beregnet oss frem til fuigende tall for hhv. kvalitets- og ikke-kvalitetskostnadene: 14

15 Kvalitetskostnader 50 Ikke-kvalitetskostnader 300 Totalkostnader 350 Illustrert graftsk gir dette fulgende bilde av kostnadsforholdene: Figur 3: Kos1nadskurver - eksempel nr.3 Malet er a treffe bunnpunktet pa totalkostnadskurven. Det er denned f.eks. ildce gitt at aile feil hverken skal finnes eller rettes! Feil rettes bare dersom kostnaden forbundet med feilrettingen er lavere enn forventet tap uten retting. Eksemplet illustrerer ogsa et annet fenomen, nemlig at de siste feilene ofte er de mest kostbare a fa gjort noe med. Dvs. at man har en avtagende «nyttebmk». I eksemplet ovenfor oker kostnaden kun med 50 nar tapene pga. gjenvrerende feil reduseres fra 300 til 225, dvs. en nyttebrok pa 75/50 = 1,5. For a fa redusert tapene fra 75 til 50, ma vi derimot oke kostnadene med hele 150 til 450. Det gir en <<nyttebrok» pa bare 0, KonkIusjon pa kost/nyttevurderingen Kontrolltiltak skal bare etableres dersom nytten er ston'e enn kostnadene. Selv om det i praksis kan vrere vanskelig a foreta en noyaktig kost/nyttevurdering, er det likevel viktig a ta standpunkl til problemstillingen. Bare pa den maten kan vi vrere sikre pa at de kontrolltiltak som innfores faktisk bidrar til a silu-e oppnaelsen av virksomhetens formal og mllisettinger PRAIITISKE DEPOT- RUTINER Idette femte avsnittet skal vi forlate de teoretiske og prinsippielle betralctninger og ga over til a se pa konlu-ete kontrolltiltak. Gjennomgangen er strulctnrert etter COSO-modellen. Kontrollmiljoet behandles i avsnittene 5.1 og 5.2. Kontrolltiltalc omtales ogsa i 5.1, men hoveddroftelsen av delte elementet ligger i avsnitt 5.3. I de to siste avsnittene omtales hhv. infonnasjon og kommunikasjon (5.4) og overvaldng (5.5). Risikovurdelingen ble behandlet i avsnitt NokIcelfaktorer til suksess Den mest grunnleggende faktor for a Iyldees med a skape en tilstreldcelig god kvalitet pa depotomrildet er at man har dyktige og ansvarsbevisste medarbeidere. I tillegg ma det alltid etableres visse kontrolltiltak av mer fonnalisert art. De tre noldene til suksess er derfor: f KOMPETANSE fkritisk I-IOLDNING f KONTROLLTILTAK Kompetal1se Spisskompetanse i depotfunksjonen er en selvfulgelighet, og tilgang pa formell julidisk kompetanse, i eller utenfor banken, er en n0dvendighet. Men det er ogsa meget viktig med god depotkompelanse i saksbehandingsog dokumentproduksjonsleddet! Hvorfor? J 0, fordi det er her feilene produseres! Kvalitetskostnadene blir lavest dersom man folger prinsippel «riktig forste gang». For del fursle fordi feilretting koster penger, og for det andre kan en redusere omfanget av de etterfulgende kontrolltiltak dersom man kan stole pa at dokumentproduksjonen holder god kvalitet. Kritisk holdning En depotrnedarbeider ma: 1. ha som utgangspunkt at det er feil i aile dokumenter som skal kontrolleres 2. vrere villig til a se og finne feil. (dvs. at det ildce kan vrere slik at man «lileer a lete, men ikke a finne».) 3. vrere plinsippfasl nar noen onsker a kutte svinger under «kundeservice»-argumentet 4. MEN: ildce ri plinsipper unodvendig! Eller sag( pa en annen mate: «En depotrnedarbeider skal vrere firkantet, med sjannb (Elik Owe, jurist Kredilkassen) Kontrolltiltak Kontrolltiltakene kan vrere av mange forskjellige slag: organisasjonsmessige tiltak fysisk silu-ing rutinebeslrrivelser stillingsinstrukser og ansvarstildeling ED B-systemer rapportering og oppfolging overvaldng osv. Delte vii jeg nil gil noe nrermere inn pa i avsnittene Organisering og sentralisering Organisering av kontrol/funksjollen I del folgende beslnives og vurderes tre eksempler pa modeller for organisering av kontrollen av lane- og sikkerhetsdokumenter: 15

16 Alternativ 1 Saksbehandler stilr selv for dokumentutfylling, dolmmentkontroll fur diskontering og selve diskonteriugen. Deretter overtar depotavdelingen dokumentene for kontroll og depotfuring. Fordelene med a1ternativ 1 er furst og fremst!dar ansvarsdeling, at behovet for intern kommunikasjon er begrenset, og dermed redusert risiko for misforstilelser og svikt i oppfulging, samt at modellen er kundevennlig i den forstand at aile aktiviteter som vedmrer kunden ivaretas av en og samme person (saksbehandler). Wemoene henger primrert sammen med at modellen innebrerer dobbeltkontroll, hvilket er ineffektivt, at saksbehandler kontrollerer seg selv, og da er det ikke sa lett a se fei!, manglende arbeidsdeling og at mye saksbehandlerkapasitet brukes til kontroll i stedet for til kundepleie. Alternativ 2 Idette a1ternativet still' saksbehandler fortsatt for dokumentproduksjonen, men overlater kontrollen av dolmmentene fur diskontering til en annen saksbehandler. Deretter utfurer saksbehandler selv diskonteringen, fur dokumentene overfures depotavdeliugen for kontroll og depotfuring. I a1ternativ 2 er fordelene furst og fremst at man oppnar dokumentkontroll fur utbetaling aven annen enn saksbehandler selv (noe som "ker mulighetene for a finne og fa rettet fei! forut for diskonteringen) og at det er en viss arbeidsdeling. Wempene er at mange personer er involvert i rutin en, del er en un0dvendig dobbeltkontroll og mye intern dokumenttransport, med derav fulgende muligheter for misforstilelser og forsiukelser. Alternativ3 I alternativ 3 utfurer saksbehandler selv kun dokumentproduksjonen. Kontroll og diskontering utf0res av depotavdelingen. Ved vurdering av alternativ 3 fremstilr som fordeler furst og fremst at det ikke er noen dobbeltkontroller, at kun to personer som ma sette seg iun i salcen, fei! oppdages fur diskontering og at kontrollen utfures av de antatt mest kvalifiselte (dvs. depotmedarbeiderne). Som ulemper kan papekes manglende arbeidsdeling mellom diskontering og depotfuring (her ligger en viss mislighetstisiko). Hvilken 10sning bfjr velges? Det finnes det ikke noe fasitsvar pa. Man ma ta hensyn til forholdene i den enkelte bank. I utgangspunktet er det imidlertid min oppfatniug at a1ternattiv 3 er det beste. Her kombiueres enkelhet (iugen dobbeltkontroll, fa personer involvelt i rutinen) med arbeidsdeling og utnyttelse av spisskompetanse. Sentralisering Problemstillingen mht sentralisering gjelder pa hvilket niva i organisasjonen depotfunksjon skal plasseres, f.eks. om man skal ha en depotavdeling pa hver filial, ved hver avdeliugsbank, pa regionniva eller pa konsernniva. Etter min oppfatning er fulgende faktorer sentrale niir banken skal vurdere sentraliseringsgraden: Kompetanse: tilgang -hvor dyktige er de lokalt? behov - hvor komplekse er depotene? Bankensl avdelingenes starrelse: foreligger stordriftsfordeler? Risikoprofil Kundeservice Praktiske problemstillinger: intern dokumenttransport, konsekvenser for pralmsk saksgang, konsekvenser for total saksbehandlingstid, kommunikasjonsmessige forhold, etc. Heller ikke pa dette omrildel finnes del noen fasitsvar. Tgjen ma den enkelte bank foreta vurdetinger utfra sin egen situasjon. Imidlertid er det min pastand at det simi mye til fur det i!dce vii vrere en fordel med en starst mulig grad av sentralisering. Dette bygger jeg pi'! at man ved sentralisering kombinerer mulighetene for a bygge opp spisskompetanse med behovet for spesialisert kompetanse pi'! depotomrildet, samtidig som kostnadsreduksjoner kan oppnas gjennom stordtiftsfordeler. 5.3 Kontrollrutiner og kontrollhalldlinger Nar kontrollere? Niir skal man foreta kontroll av liineog sildcerhetsdokumenter? Det er et grunnleggende og vesentlig sp0rsmal. Miue anbefalinger pa omrildet kan oppsummeres slik: 1. Kontroll av dokumenter ved etablering av nye 11m er en selvfulgelighet 2. Petiodisk gjennomgang av eksisterende depoter er kostbart, men kan ofte vrere nyttig for store og risikoutsatte engasjement Slik gjennomgang er derfor neppe alctuelt for aile depoter. Man ma sette en vesentiighetsgrense. 3. Ved iuntruffet mislighold eller identifisert tapsfare b0r man sa absolutt foreta en gjennomgang av kundens depot Det er jo i slike situasjoner at dokumentene fiir sin anvendelse, og da bfjr man forvisse seg om at de er korrekte. Men ogsa her man sette en vesentlighetsgrense. IIcke aile smaengasjement b0r n0dvendigvis gj0res til gjenstand for en slik gjennomgang. J{ontrollhandlinger I det fulgende gis en del eksempler pa konlrrete kontrollhandlinger som man kan eller b0r gjennomfure. Enkelte av eksemplene er baselt pa at banken kj0rer Saksgang UtJan og FDVM Sikkerhetsdepot hos Fellesdata. 16

17 Fellesdata-lister: For a kontrollere at det kommer dokumenter for aile lan, kreditter og garantier til depotet kan en benytte rappoltene UL042, RK637 og GA022. Disse viser hhv. aile nyapnede liin, kreditter og garantier. Sjekklister: Bruk av sjeldilister ved gjennomgang av depoter er tid- og ressurskrevende, men sikrer mot fei!. Kontrollors erfaring og kompetanse, samt depotenes kompleksitet, avgjor behovet for a bruke sjeklilister. Skjema for godkjennelse til utbetaling: For a forhindre kommunilmsjonssvikt, Idargjore ansvarsforholdene og dokumentere foretatte kontrollhandlinger kan en benytte et skjema for godkjennelse av utbeta1ing. Ulempen er at dette oker ressursforbruket og «bynllrratiseringen». Dersom liin godkjennes utbetalt fur alle formaliteter er iorden bor det settes en tidsfrist for a fa manglene pa plass. GAB-registeret: Bruk av GAB-registeret er kostbrui, men det kan redde store verdier for banken. Bruk av dette registeret er srerlig nyttig ved pant i: -Iandbrukseiendommer - driftstilbehor (gjennomgaende pant) Automatiserte <EDB-baseltel kontroller: Automatiske kontrolltiltalr bor utnyttes fordi slike er effektive og sikre. ED B-lister (-rapoolier: I tillegg til ovennevnte Fellesdatalister finnes det en del rappolier som man kan ta ut lokalt fra Saksgang Utllm og FDVM Sikkerhetsdepot. Dette gjelder bl.a.: 1. OPPfuigingsrapport utbetalte tan grunnlag for a kontrollere at man far overf0rt aile si!drerheter til depotet 2. OES-rapport Sikkerhetsdepot OBS-datofunksjonen i FDVM Sild{erhetsdepot kan benyttes til a folge opp forhold som bl.a.: utlopsdato pa pantsatte leiekontrakter og festeretter foreldelse av kausjoner avgitt pa separate erldreringer foreldelse av salgspant med avdragstid under 5 ar oppfulging av depotfeil som skal rettes osv. For a forhindre at ting gar i «glemmeboken» ber depot fulge opp at de far tilbakemelding pa aile utrapportelie OBS-forhold! 3. OES-liste Saksgang Utlan OBS-dato i Sa](sgang Utliin kan benyttes for a fulge opp f.eks.: rentereguleringstidspunkt for fastrenteliin avtalte fremtidige endringer i liineforhold som ma hiindteres manuelt andre spesieile forhold 4. Status-henvisning rapport oppfulging av ventearkiv, utliinte dokumenter, dokumenter til ting Iysning 5. Match-rapporten oppfulging av tvangssalg Oppsummering: Kontrollhandlinger: Det er ildre nedvendigvis et spersmal om enten( eller. Tiltakene kan varieres etter: type sa]( (stjorrelse, nreringsliv / personmarked, etc.) type sildrerhet Tiltakene ma videre avstemmes mot hverandre slik at man totalt sett far et vel fungerende og godt nok internkontroll-opplegg. Det sentrale er kost! nytte-vurderingen! 5.4 Infonnasjon og kommunikasjon Dersom de ansatte skal kunne ivareta sitt ansvar og utfure sine arbeidsoppgayer ma da ha tilgang pa korrekt, oppdatert, tidsriktig og relevant informasjon! I det fulgende gis en del eksempler pa hvilken informasjon som bor kommuniseres ut pa depotomrildet, og hvordan dette kan gj0res. Hva skall101i!muniseres ut og hvordan? ANSVARSFORHOLD Det ma vrere Idart hvem som har ansvaret for a gjore og kontrollere hva. Derfor ma ansvarsomrildene til den enkelte Idart utlmmmuniseres. HVORDAN: - organisasjonskart - stillingsinstrukser - rutinebeskrivelser - avdelingslllilter FAGLTG INFORMASION Dette kan omfatte forhold som bl.a.: - nye lover og regler pa omrildet - nye eller endrede EDB-systemer - nye eiler endrede rutiner HVORDAN: -rundskriv - hiindboker - avdelingsmeter - interne og eksterne Imrs FEILSOM SKALREUES Feil avdekl{et i depotlwntrollene, og som skal rettes, rna den ansvarlige for rettingen fa beskjed om. Lreringseffekten tilsier at den som har produsert feilen ber fa beskjed om den HVORDAN: Systemavhengig: -Mail -BMK - telefon - skriftlig notat FORHOLD TIL OPPF0LGING Sentrale forhold av betydning for korrektheten og verdien av bankens Iilne- og sild{erhetsdokumenter som rna fulges opp er bl.a.: - nyapnede lan(lrreditter (garantier - preldusjon og utlopsdatoer - feil som skal rettes - utrapporterte OBS-forhold - eksterne hendelser som pavirker bank ens sikkerheter HVORDAN: Dette vii selvsagt vrere systemavhengig, men for Fellesdata-banker vii bruk av rapporter og lister omtalt under avsnitt 5.3 vrere aktuelle metoder. DEPOTKVALITET OG INIERN KONTROLLENSEFFEKTMTET Aktuell informasjon pa dette omrildet omfatter bl.a.: 17

18 - ornfanget av feilproduksjon, herunder om det er noen systematild< i denne - om de vedtatte rutiner etterleves - jfr. fomvrig Internkontrollforskriftens 3-1 og avsnitt 5.5 Overvaking HVORDAN: - oppsummeringsrapporter pa grunnlag av foretatte registeringer -Iedelsesrapportering - revisjonsrappolier 5.5 Overvltking Overvaking kan lett assosieres med u0nskede aktiviteter (<<spionasje»), og er derfor kanskje et darlig ord pa en viktig funksjon. Muligens er ledelsesoppfulging en bedre betegnelse. Hva er sa hensikten med overvakingen? Hensikten kan deles ito, nemlig a besvare fulgende sp0rsmal: 1. FUNGERERINTERNKON TROLLEN SOM FORUTSATT? Dvs. etterleves de vedtatte rutiner i den daglige drift og bidrar dette til a produsere den forutsatte kvalitet? 2. ER DEN ETABLERTE INTERN KONTROLL FORTSATT RELE VANT? Verden er ild<e statisk. Den endrer seg. Det gj0r dermed ogsa risikobildet. Man rna derfor stoppe opp og spfjrre seg om: a) de risild som tiltakene ble etablert for a hilndtere fortsatt eksisterer b)det er kommet til nye risild som de etablerte tiltal, ikke deld<er c) aktuelle risild kan hilndteres billigere og mer effektivt pa andre mater enn ved fortsatt anvendelse av de eksisterende kontrolltiltak I COSO-rapporten skiller man mellom to typer overvaldng: Fortlopende: den overvaldng som skjer som en integreli del av den daglige drift. Denne overviikingen baserer seg pa n0kkellwnttoller, driftsrapporter, awiksrapporter, observasjoner, etc. 2. Peliodisk: en mer omfattende gjennomgang for a vurdere om det etablelie system fortsatt er relevant, hensyntatt fonnal og lisild Pa depotomrildet kan fulgende forhold vrere al<tuelle a fulge opp gjennom overvaldngen: FOlil0pende overvaking: rapportering av feilproduksjon rapportering av antall saker i «ventearkiw og alderen p1\ disse rapportering av antall ikke depotfurte saker og alderen pa disse rapportering ihht. Internkontrollforskriftens 3-1 Periodisk overvaking: ilrlig gjennomgang av risiki og tiltak, jfr. Internkontrollforskriftens 2-2 rapporter og gjennomganger fra internrevisjonen, jfr. Internkontrollforsluiftens 3-2 Dersom svikt avdeld,es gjennom overvajdngen, rna oodvendige koriigerende tiltak iverksettes! Ellers har ikke overvilkingen noen reell verdi: Figur 4: S1ydllgssirldell 5.6 Oppsummeling: Praktiske depotrutiner Hovedbudskapet i dette avsnittet har vreli fulgende: 1& God kompetanse (bade i depot og hos saksbehandlere) og en kritisk holdning er helt grunnleggende! "'. Organiser depotfunksjonen slik at muligheter og behovfor spesialisering, spisskompetanse og rasjonalisering hensyntas! ",- Utfonn kontrollrutinen slik at: "'> unodvendig dobbeltkontroll unngas "'> intern dokumenttransport minimaliseres "'> ansvarsforholdene er Idare ",. Utnytt EDB-systemene og automatiserte kontroller i sa stor grad som mulig! "" Unnga un0dvendige manuelle rutiner og rapporteringer! "" S0rg for en god informasjonsflyt! '"" Overvak prosessene og iverksett nfjdvendige koriigerende tiltald 1& Avstem tiltakene mot risiko, depotenes kompleksitet, medarbeidernes dyktighet og erfaring! """ Tellk kost/ilytte! 6. TOTAU{oNKLUSJON Hovedbudskapet i denne artilden kan oppsummeres i fulgende seks punkter: 1. Det er styret og ledelsell som har ansvaret for a etablere depotrutiner som bade gir god nok depotkvalitet og som sarntidig er kostnadseffektive 2. Intemrevisor rna ogsa ha kunnskap om hvordan gode og kostnadseffektive rotiner kan etableres 3. COSO-modellen lilin benyttes til a strokturere arbeidet med a utvilde effektive og gode rotiner for kvalitetssikdng av IAne- og sild<erhetsdokumenter 4. Utvilding av gode depotrutiner krever en kombinasjon averfaring, kreativitet og fomuft 5. Kost/nytte-vurdedngen rna sm sentralt i dette arbeidet 6. Fasitsvar finnes ild<e. Man rna tenke selv og ta utgangspunkt i forholdene i egen organisasjoll 1 TIle Institute of Internal Auditors: "Codification of Standards for TIle Professional Practice of Internal Auditing') 2 Utgitt av: Committee of Sponsoring Organizations of the Treadway Commission, ivied egenskaper forstfts i denne samme-nheng grad av korrekthet 4 Oppdagede fei1: 15% -Kan ikke re-ties: 5% +Rrr! fei1pmd' ~.. Sum nyue: 12% 5 Depot: (20+10)*500'" Kurs: 2"" 500'., Direkle lmrslw"ln. Sum kostnad; ' 1.000' -.fui!l: '

19 Referat fra medlemsmate vedre9 Kredittilsynets IT-tilsyn, samt battur 2019 juni 1995 I samarbeid med ISACA, NIRF DC NFl{ arrangene NBRF avd. (jstlandet medlemsmote den 20. juni i UNI Storebrands auditorium, med etteifolgende Mttur. Ca. 40lorventningsfulle deltakere motte /rem lor a hore IT-rMgiver i l{redittilsynet Svein Erik Dovran orientere om l{redittilsynets IT-tilsyn, og lor a nyte reker m.m pa den arlige Mtturen med MIS LANAN. Tilsynsenhetene inndeles i 2 kategorier: er status pi'! omriidet, vurdering av risiko og eventuelle tiltak. Sp0rreskjemaet skal underskrives av daglig leder. Sp0rreskjemaet, som inneholder 43 sp0rsmru, bemrer blant annet f0lgende: Svein Erik Dovran, Kredittilsynet. Resyme fra Dovrans foredrag om Kredittilsynets IT-tilsyn: Med utgangspunkt i IT-forskrift datert og Lov om Kredittilsyn av med endringer, slcal l<redittilsynet wre tilsyn med at tilsynsenhetenes anvendelse av IT er hensiktsmessig og betryggende, samtidig som anvendelsen legger et forsvarlig grunnlag for rapportering internt og eksternt. A Virksomheter hvor IT iklze er en del av den lorretningsmessige virksomhet, men a//vendes lor a optimalisere virksomhetens administrative rutiner. B Virksomheter hvor bruken av IT er av fundamental betydning for tilsynenhetens lorretningsmessige tilbud, j eks. datasentraler og storre enheter. Gjennomfuring av tilsyn skjer ved at Kredittilsynet oversender et SP01Teskjema til tilsynsenheten sammen med varsel om tilsyn. Svarftist er 2 uker for enheter som faller inn under 1, og 1 maned for enheter under 2. Etter mottatt svar fra tilsynsenheten blir sp01teskjemaet gjennomgiltt av inspekt0r og IT-rildgiver i Kredittilsynet, som vurderer besvarelsen, konkluderer og pi\f0rer evt. forslag til tiltak. Dette danner bakgrunn for gjennomfuring av inspeksjon. Sp0rsmiilene i sp0rreskjemaet besvares med ja eller nel Dersom sporsmill blir besvart med nei mil ilrsaken dolmmenteres i eget vedlegg som beskriv- Administrative forhold: styrets mal lor IT virksomheten strategi, planer og budsjetter sikkerhetspolicy rapponeringsrutiner lor svakheter revisjonsrapponer nokkelpersoners ku1l1tskap organisering, kapasitet og kompetanse standarder og rutiner system-, drifls- og brukerdokumentasjon oversikt over organisasjon, utstyr og systemer avtaler med leverandorer stabiliteten i IT-systemene uavhengig kontroll av IT-systemene Utvikling: kriterier for nye utvildingsprosjekter kvalitetsplan lor - og kvalitetssikring av prosjekter prosedyrer lor oppfolging og overleveriug til drift prosedyrer for avvikling og arhiveriug av tidligere systemer tilgang til kildelwde for innlljopte pakke,. 19

20 Drift: retningslinjer for overtagelse til drift og iverksetting av nye systemer og maskiner telmologisk arkitektur iltht vedtatte losninger planleggingsprosess for endringer registrering, transport og oveiforing av data kontroller og avstemminger arkivering, kopiering og dokumentaslim av data makulering av data organisering av drift sikring av data reservelosninger Vedlikehold: kriterier for endringer i besttlende forhold ptlvirkning av eilsterne fellessystemer rutiner for registrering, evaluering og prioritering av vedlikehoidsoppdrag Sikring: tilgangskontroll sikring av bygninger, data, nettverk, maskiner, operativsystem, software, programmer og dokumentasjon mot fysisk eller logisk ptlvirkning katastrofeplan Dovran bemrte videre mulige endringer i IT-forskriften samt forholdet til god IT-skikk. Inntrykk fra batturen Etter foredraget vandret de fleste videre til Aker Brygge forforfriskninger av ymse slag, fur avgang med MIS IANAN. Vreret val' ild<e helt pa viii' side, med temperatur pi! rundt 10 grader og overskyet, men vi slapp iallfall regno For meg som horer til en del mil sydvest for hovedstaden var det en del nye ansikter a skue, men ogsa enkelte «gamle travere». Ombord i MS IANAN kom reker, loft og majones raskt pa bordet, og de ivrigste var igang med rekeskrellingen fur biiten gild, fra kai. Vi spiste og drald< oss ut fjord en, og praten gild< livlig, mens vi not utsikten til holmer, skjrer og diverse millionpalasser. Etter a ha «cruiset» rundt pa kryss a tvers ito, tre timer tror jeg det var flere enn meg som mistet retningssansen - for diskusjonen gikk h0}'lytt om i hvilken retning biiten gildc Enkelte lokalkjente kunne imidlertid «berolige» oss om at vi var pa vei inn, og ikke ut Oslofjorden. Etterhvert kom ogsa dansen igang pa dekk, med 0yvind Tobiassen i spissen - som vanlig. Kaffe med naget attat ble ogsa inntatt fur Oslo Rildhus val' 11 skue. Vel i land sa noen takk for seg, mens den harde kjernen vandret videre til Aker Brygge for a avslutte pagiiende diskusjoner og for pi'tfyll av fluidum fur natten fait pa. En trivelig tur sammen med nye og gamle bekjentskaper frister til gjentagelse. Til slutt vil jeg sende en OPPfordring til ovrige medlemmer av de 4 foreningene - mot frem til neste i\r - biiten har plass til minst 50 personer til!! GryAllu1I! Sandefjordbanl,en MIS liinan fylt til randen av revisorer ptl Osiofjorde". 20