SIRK. Bransjen hyller en hedersmann Knut Løken. Risiko Kontroll. Nummer 2, vinter 2013, 21. årgang. Fokus på mislighets- og korrupsjonsrisiko

Transkript

1 SIRK Styring Internrevisjon Risiko Kontroll Nummer 2, vinter 2013, 21. årgang Bransjen hyller en hedersmann Knut Løken Trine S. Grande om internrevisjon Fokus på mislighets- og korrupsjonsrisiko Intervju med Deanna Sullivan fra IAA om de nye COSO prinsippene.

2 REDAKTØRENS SPALTE I dette nummeret har vi valgt å organisere temaene etter de hovedområdene til SIRK Virksomhetsstyring, Risikostyring / Internkontroll og Internrevisjon. I seksjonen om internrevisjon deler Knut Løken sine erfaringer og reflek - sjoner etter et langt liv som intern - revisor. Han er æresmedlem i Norges Interne Revisorers Forening (NIRF) og ble tidligere i år hedret med Kongens fortjenstmedalje i gull for sitt virke innen musikk og revisjon. I seksjonen kan dere også få innsikt i Stortings - representant og Venstres leder Trine Skei Grandes tanker om internrevisjon i offentlig sektor. I delen om virksomhetsstyring ser vi nærmere på et av de fremvoksende områdene innenfor virksomhetsstyring, nemlig samfunnsansvar. Pål Brun fra revisjons- og rådgivningsselskapet EY skriver om finansinstitusjoners samfunnsansvar og internrevisors rolle. Nettopp samfunnsansvar er et område som i Norge har blitt satt tydeligere på agendaen gjennom en endring i regnskaps - lovens 3-c) som pålegger store foretak å redegjøre for sitt samfunnsansvarsarbeid. I tillegg reflekterer NIRFs tidligere president Martin Stevens over lærdommer fra tillitssvikten i det engelske bankvesenet. En kartlegging gjennomført av konsulentselskapet CEB (Risk Intelligence Quarterly) viser viktige endringer blant de fem viktigste fremvoksende risikoene ledende internasjonale selskap fokuserer på: cyber-sikkerhet, vedvarende svak økonomisk utvikling, misligheter, skattereformer og avtakende vekst i utviklingsmarkeder. I seksjonen om risikostyring og internkontroll setter revisjons- og rådgivningsselskapet BDO fokus på forebygging av misligheter og bruk av risikoanalyser for å forebygge misligheter og korrupsjon. I tillegg har NIRFs egen Ellen Brataas intervjuet Deanna Sullivan fra IIA den verdensomspennende foreningen for internrevisorer som var i Oslo i oktober for å presentere de 17 nye prinsippene i internkontrollrammeverket COSO. Vi lever i en verden som blir stadig mer digital og øyeblikkelig, der vi kontinuerlig bombarderes med nyhetsbrev, tweeter og kursinvitasjoner. SIRK-redaksjonen presenterer derfor noen publikasjoner som har vært spesielt verdifulle for oss i arbeidshverdagen. Vi oppfordrer alle lesere til å gjøre det samme i tråd med IIAs eget motto «Progress Through Sharing». Personlig har jeg endret arbeidsgiver, og gått over fra konsulentsiden til rollen som Compliance Officer. I den forbindelse har jeg tre refleksjoner jeg gjerne vil dele med dere: Som ny i rollen har jeg fått oppleve hvor verdifull bakgrunnen og tankesettet jeg har med meg fra internrevisjonsyrket faktisk er. Dette er noe man til stadig vekk hører, men det er en glede å oppleve selv at det stemmer. Som fagnerd er det selvsagt en glede å vite at det finnes mengder med publikasjoner i ulike kanaler å støtte seg på, og er spesielt takknemlig for de som har gode oppsummeringer. Den største positive overraskelsen i ny jobb har absolutt vært erfaringsutveksling med fagkollegaer innenfor virksomhets - styring, risikostyring og internkontroll. Jeg opplever fagmiljøet i Norge som særdeles åpent og villig til å dele en styrke det er viktig at vi tar godt vare på. Som redaktør oppfordrer jeg alle lesere til å komme med innspill på tema som opptar dere, og gjerne bidra med artikler basert på egne erfaringer. Retter også en takk til alle som har bidratt til dette nummeret, og ikke minst til vårt æresmedlem Knut Løken. Da er det bare å finne frem ballkjolen, CIA-pinsen og glede seg til julehøytiden. Ønsker dere alle en fredelig høytid. Alt godt Mari REDAKSJONS KOMITEEN Ansvarlig for dette nummeret av SIRK Mari Vonen Schibsted ASA M: sirk.redaksjon@gmail.com Jan Wilhelm Kavli, Utlendingsdirektoratet jaka@udi.no Reidar Døli Oslo Børs reidar.doli@oslobors.no Esa Leporanta Nets Norway AS elepo@nets.eu Kristoffer Igdun NAV Kristoffer.igdun@nav.no Martin Stevens Gjensidige Forsikring M: martin.stevens@gjensidige.no Se mer info på 2 SIRK nr

3 Innhold 2 Redaktørens spalte 4 Styrets leder har ordet Virksomhetsstyring 5 En bærekraftig og samfunnsansvarlig internrevisor? 8 Bærekraftig investerings- og finansieringsvirksomhet 12 Changing Banking for good Risikostyring / Internkontroll 14 SIRK-redaksjonens favorittpublikasjoner i Intern kontroll et integrert rammeverk, COSO-rapporten Intervju med Deanna Sullivan 18 PwCs 2013 seminar om antikorrupsjon 20 Risikostyring har aldri vært viktigere 23 Internrevisjonens rolle i kampen mot økonomisk kriminalitet Internrevisjon 27 Bedre nattesøvn 28 Knut Løken en stor inspirator 30 Ny utredning om bruk av internrevisjon i statlig sektor 32 Internrevisjonsfunksjonen 34 Overordnet uttalelse som et alternativt verktøy for å forbedre virksomhetens styring og kontroll 38 Effektiv internrevisjon i finanssektoren Økte krav til internrevisor 40 The ECIIA 43 The Sound of Audit Foreningsnytt 45 Nyheter fra sekretariatet, IIA og andre samarbeidspartnere 47 På tampen NORGES INTERNE REVISORERS FORENING President Jørgen Bock NAV Internrevisjon Postboks 5 St. Olavs plass 0130 Oslo M: jorgen.bock@nav.no INFORMASJONS- OG PROMOTERINGSKOMITÉEN Einar Døssland Faktum NOR AS Postboks Oslo M: einar@faktum.no KONFERANSEKOMITÉEN Carl Gunnar Lunde SG Finans AS Postboks Lysaker M: carl.gunnar.lunde@sgfinans.no PROGRAMKOMITÉEN Hans Oskar Hansen Skattedirektoratet Postboks 9200 Grønland 0134 Oslo M: hansoskar.hansen@skatteetaten.no REDAKSJONSKOMITÉEN Mari Vonen Schibsted ASA Postboks 490 Sentrum 0105 Oslo M: mari.vonen@schibsted.no NOMINASJONSKOMITÉEN Petra Liset PricewaterhouseCoopers AS Postboks 748 Sentrum 0106 Oslo J: petra.liset@no.pwc.com FORENINGSSEKRETARIAT Ellen Brataas Generalsekretær Tlf: ellen.brataas@iia.no Svein Stabekk Foreningssekretær Tlf.: svein.stabekk@iia.no Hilde Tanggaard Rådgiver Tlf: hilde.tanggaard@iia.no Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika, 0115 Oslo post@iia.no Besøksadresse: Munkedamsveien 3 B, 3. etg Oslo SIRK: Publikasjon fra Norges Interne Revisorers Forening, NIRF Antall utgivelser pr. år: 2 Opplag: Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: Juni 2014 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.m. Årsabonnement: Kr. 150 Annonsepriser: Kr for en helside Kr for en halvside (mva. tilkommer) Grafisk produksjon: Dalby Grafisk Forsidebilde: Foto: Anette Andresen/Budstikka

4 Styreleder HAR ORDET Virksomhetsstyring Trendene innen virksomhetsstyring (Governance) fra USA, Europa og kanskje særlig Storbritannia har også nådd Norge. Internrevisjonen har kommet på radaren til myndighetene. Vår rolle innen virksomhetsstyring er i ferd med å bli ytterligere anerkjent også i Norge. Modellen med de såkalte «3 forsvarslinjer» har vunnet aksept som beste praksis og plasserer som kjent internrevisjonen i 3. linjen. Vi er en uavhengig og objektiv aktør som skal bidra til måloppnåelse og kontinuerlig forbedring. Styret 1 har ansvaret for at styringssystemet er etablert og fungerer tilfredsstillende. Administrasjonen rapporterer til styret om systemene for styring og kontroll er tilfredsstillende for å nå målene i virksomheten. En uavhengig internrevisjon (3. linje) gir styret en vurdering av dette og kommer med forslag til forbedringer. Privat sektor I høst ble NIRF kontaktet av Nærings- og handelsdepartementet (NHD) for å delta i en undersøkelse om Risk Management and Corporate Governance i regi av OECDs komité for Corporate Governance. Undersøkelsen gjøres i forbindelse med OECDs arbeid med å oppdatere rammeverket for virksomhetsstyring. (OECDs Corporate Governance Principles). NHD inviterte relevante myndighetsorganer samt organisasjoner med detaljert kunnskap om risikostyring i børsnoterte selskaper inn til diskusjon sammen med representanter fra OECD. Øvrige deltagere er Norsk utvalg for eierstyring og selskapsledelse (NUES), Næringslivets hovedorganisasjon, Næringslivets aksjemarkedsutvalg, Revisorforeningen, Oslo Børs, Norsk styreinstitutt, Finansdepartementet, Finanstilsynet og Justisdepartementet. Bakgrunnen for arbeidet er at risikostyring i liten grad er utdypet i rammeverket til OECD. Risikostyring i statlige børsnoterte selskaper er særlig omtalt i undersøkelsen. Det er ventet at dette vil få en større plass i den nye versjonen av prinsippene som komiteen vil arbeide med de neste par årene. Det er krav om at selskaper på New York Stock Exchange har en internrevisjon. Også de fleste EU landenes governance koder, enten anbefaler eller stiller krav til at styrene må vurdere å etablere internrevisjon. Landene Portugal, Polen og Litauen stiller ikke slike krav. Dessverre stiller heller ikke den norske NUES koden krav til internrevisjon eller at styret skal vurdere funksjonen. Offentlig sektor Et annet OECD arbeid, rapporten Value for Money in Government Norway 2013, er også interessant for alle som er opptatt av god, hensiktsmessig og effektiv styring og kontroll i statlig virksomhet. Rapporten anbefaler å styrke regulatoriske policyer, tilsyn med departementene og en bedre koordinering mellom departementene, slik at skattebetalerne får «mest valuta for pengene» og opprett - holder tillit til den offentlige forvaltningen. Svært interessant for vår bransje er også OECDs forslag om at departementene i Norge bør opprette mindre uavhengige intern - revisjonsenheter under ledelse av toppkvalifisert og erfaren revisjonssjef. I Norge har forsvarssektoren etablert denne modellen. Internrevisjonen bør fokusere på risikostyring i departementene og i underliggende enheter. Funksjonen bør motta internrevisjons - rapportene fra de underliggende enhetenes internrevisjon, heter det i anbefalingene. I dette nummeret av SIRK kommenterer også Trine Skei Grande, leder i Venstre, denne rapporten. I Storbritannia er det krav om revisjonsutvalg og internrevisjon i offentlig sektor. HM Treasury har engasjert seg i betydelig grad for å styrke ordningen fordi man anser at internrevisjonen gir viktig bidrag til målet om «value for money» for offentlige tjenester. Det har i lengre tid vært krav om at virksomhetsledelsen skal redegjøre for internkontroll og at internrevisjonen skal avgi en uttalelse om dette. I 2013 ble det krav om at virksomhetsledelsen i årsrapporten skal avgi et «Governance statement» istedenfor. Internrevisjonen skal avgi uttalelse til virksomhetens Governance statement. I kjølevannet av Value for Money rapporten har Finansdeparte mentet i Norge startet et arbeid for å utrede internrevisjon i staten. NIRF deltar i en referansegruppe i dette arbeidet sammen med flere internrevisjonsenheter i offentlig sektor. Vi må være bevisst denne utviklingen og vårt ansvar med å bidra til måloppnåelse og forbedring hos våre respektive virksomheter. Vi trenger alle med jevne mellomrom å løfte blikket og stille oss selv disse spørsmålene: Reviderer vi de riktige områdene og er vi opptatt av de viktigste risikoene og mulighetene for virksomhetens måloppnåelse? Er vårt arbeid avstemt med toppledelsen og interessentene i virksomheten? Hvilke uttalelser gir vi til ledelsen? Har vi tilstrekkelig kompetanse og kapasitet til å møte forventninger og krav? Vår profesjon går en meget spennende tid i møte. Kontinuerlig videreutdannelse er en av nøklene for å være med på denne viktige og spennende reisen. Jeg ønsker dere alle en God Jul og et Godt Nytt År. Jørgen Bock Styrets leder NB: NIRF er i utvikling! Følg oss på Facebook LinkedIn og få daglig siste nytt fra bransjen og fagområdet styring og kontroll. 1 Styret defineres av IIA som den øverste myndighet med ansvar for overvåking av organisasjonens virksomhet og ledelse. Dette vil typisk inkludere en uavhengig gruppe medlemmer (eksempelvis et styre, et tilsynsstyre, «board of governors or trustees».) Hvis en slik gruppe ikke eksisterer, kan «styret» vise til virksomhetsleder. «Styret» kan også referere til et revisjonsutvalg eller til andre funksjoner de med styringsansvaret har delegert visse funksjoner til. 4 SIRK nr

5 En bærekraftig og samfunns ansvarlig internrevisor? Virksomhetsstyring Av Mari Vonen, Compliance Officer Schibsted og redaktør SIRK Som tradisjonell internrevisor 1 er det enkelt å tenke at samfunnsansvar og bærekraft er forbeholdt Blekkulf-klubben og velmenende «do-gooders». To artikler fra COSO og IIA avfeier dette synet, og belyser internrevisors rolle med hensyn til virksomhetenes samfunnsansvar. Disse miljøgreiene angår da ikke meg? Som tradisjonell internrevisor har man kanskje tenkt at samfunnsansvar og bærekraft er forbeholdt Blekkulf-klubben og velmenende «do-gooders». Heldigvis har trenden snudd, og samfunnsansvar og bærekraftig forretningsdrift løftes i økende grad til et strategisk plan. Akkurat som innenfor virksomhets - styring (også kjent som foretaksstyring, corporate governance, osv.) finnes det en minst like stor begrepsjungel for samfunnsansvar (sustainability, corporate social responsibility, bære kraftig forretningsdrift, forretningsnært samfunns - ansvar, corporate responsibility ). Også investor og Ferd-eier Johan H. Andresen har meninger på feltet og ytret seg på Twitter den 17. oktober i år: «CSR is a very dead set of letters. If you insist on keeping them, rearrange them into SRC, Socially responsible companies». Siden SIRK ikke er en språkpublikasjon, slår vi fast at uavhengig av hvilke betegnelse man bruker, er sannheten at norske bedrifter ikke lenger kan ignorere sam - funnets forventinger og de nye lovkravene i regnskapsloven. Spesielt innføring av regnskapslovens paragraf 3-3 c) 2 gjør samfunnsansvar mer relevant for internrevisor. Dette er et område som kanskje ikke ligger de fleste internrevisors hjerte nærmest, men NIRF har identifisert to nyttige publikasjoner som hjelper oss å navigere i et hittil ukjent farvann. I det følgende vil begrepet samfunns - ansvar benyttes som over settelse av ordet sustainability. Kilde: COSO Risikostyring og samfunnsansvar Den 25. juni 2013 ga COSO ut et thought leadership paper i serien Risk Rewards. Publikasjonen Demystifying sustainability risks med den fengende (?) undertittelen: «Demystifying the triple bottom line into an enterprise risk management program» ser på hvordan og hvorfor samfunnsansvar kan integreres i COSO ERM. Publikasjonen er tilgjengelig for alle på COSOs hjemmesider 3. Forfatterne slår innledningsvis fast at verden har endret seg. Sustainability eller samfunnsansvar har tvunget seg frem som et strategisk imperativ for bedrifter som står overfor både risiko og muligheter relatert til områdene miljø, sosiale forhold og økonomi/finansielle fordeler (såkalt triple bottom line). Denne trenden speiles også i virksom - heters markedsverdi. I 1975 utgjorde fysiske og finansielle eiendeler hele 83 % av S&P 500 virksomheters markedsverdi. I 2010 sank dette tallet til bare 20 %. Resten består av immateri - elle (intangible) elementer som menneskelig kapital, intellektuell kapital, merke - vare, omdømme og forholdet til lov - givende organer, NGOs, kunder, leverandører og andre eksterne stakeholders. Et hvert styremedlem som hører denne analysen burde stille seg to spørsmål: 1) Hvordan er vår profil for markeds - ansvar? 2) Har vi strategier, prosesser og metoder som sikrer at vi styrer (manage) denne profilen på en måleffektiv/hensikts - messig måte? 1 Merk at den tradisjonelle internrevisor og internrevisor i artikkelen speiler forfatterens fordommer og er å oppfatte som en fiktiv person. 2 Regnskapslovens 3-3 c pålegger store foretak å gi informasjon om sin håndtering av samfunnsansvar i årsberetningen eller i annet offentlig tilgjengelig dokument. 3 SIRK nr

6 Virksomhetsstyring Forfatterne fremholder at en virksomhets suksess er avhengig av mer enn bare policier og prosedyrer. Publikasjonen tar for seg de ulike COSO-komponentene sett med samfunnsansvarsbriller. Selv om etterlevelses- (compliance) og rapporteringsrisiko er best beskrevet, gir publikasjonen også interessante eksempler innenfor strategiske og operasjonelle risiko. Kilde: COSO thought paper Videre tar publikasjonen for seg COSOkomponentene internt miljø, etablering av målsettinger, identifisering av risikohendelser, risikovurdering, risikohåndtering, kontrollaktiviteter, informasjon og kommunikasjon og oppfølging. Kilde: COSO Social Public policy and advocacy Community investmenst Working conditions Health/nutrition Driversity Human rights Socially responsible investing Anticorruption and bribery Safety Environmental Energy-fuel, oil, alternative Water Greenhouse gases Emissions Waste reduction: medical; hazardous, non-hazardous, construction Recycling Reprocessing/re-use Green cleaning Agriculture/organic foods Packaging Product content Biodiversity Economic Accountability/transparency Corporate governance Stakeholder value Economic performance Financial objectives 7 tips for å øke bevissthet om samfunnsansvar i organisasjoner: 1. Involver ledelsen 2. Engasjer interessentene 3. Integrer samfunnsansvar i virksomhetens strategi 4. Identifiser og vurder vesent - ligheten av risiko 5. Identifiser quick-wins 6. Vær åpen og transparent 7. Velg riktige ledelsesverktøy Forfatterne argumenterer at virksomheter som velger å integrere samfunnsansvar i et risikostyringsprogram basert på COSO kan oppnå følgende komparative fortrinn: Samsvar mellom virksomhetens risikoappetitt for samfunnsansvar og organisasjonens strategi En helhetlig tilnærming til samfunns - ansvarsrisiko for å vurdere samfunns - ansvar på tvers av hele virksomheten, ruster virksomheten til å bedre forutse og reagere på utfordringer når de oppstår. Økt synlighet og innsikt i forhold til/sammenlignet med kompleksiteten i dagens forretningsmiljø Gjennom å inkludere samfunnsansvar i virksomhetens rammeverk for risiko - styring, kan de ansvarlige for samfunnsansvar få verdifull innsikt i samfunns - ansvarsrisiko virksomheten står overfor, samt vesentligheten av disse risikoene. Dette er innsikt som kan deles med ledelse og styre slik at disse har en klar forståelse av virksomhetens samfunns - ansvarsrisiko. Sterkere kobling av selskapets markedsverdi og ikke-finansielle konsekvenser for virksomhetens risikostyring Det kan være utfordrende å identifisere muligheter og risiko knyttet til samfunnsansvar. Derimot kan organisasjoner som skjønner hvordan disse relaterer seg til virksomhetens verdidrivere være bedre rustet for å forstå påvirkning/ konsekvenser på virksomheten på ikkefinansielle måter. Bedre evne til å håndtere strategisk og operasjonell ytelse Organisasjoner kan skape komparative fortrinn ved å håndtere samfunnsansvarsrisiko for å forbedre resultater, øke innovasjon og styrke bunnlinjen. Selskap som skaper produkter og tjenester i et samfunnsansvarsperspektiv vil tiltrekke seg kapital fra eksterne investorer og øke interessentenes tillit. Bedre allokering av kapital Organisasjoner som bruker COSO ERM rammeverket i sitt arbeid med samfunnsansvar er bedre rustet til å allokere kapital på en bedre og mer effektiv måte. Organisasjonen kan derfor maksimere utnyttelse av kapitalen og samtidig sende «riktig» signal til interessenter basert på virksomhetens verdier og strategi. Sjansen for å nå både virksomhetens målsettinger innenfor samfunnsansvar - og enda viktigere - forretningsmessige mål øker altså. Et strategisk imperativ Kunder og aksjonærer forventer det og ansatte krever det. På noen få år har samfunnsansvar gått fra å være et «feelgood» initiativ til et strategisk imperativ. Vi ser nå et økende momentum for å bygge en mer integrert tilnærming til samfunnsansvar og tilhørende risiko. Virksomheter som integrerer samfunnsansvarsrisikoene i COSO ERM rammeverket, får et mer fullstendig bilde av hvordan de ligger an i forhold til sin samfunnsansvarsagenda og ikke minst hvordan de best kan omsette dette til markedsverdi. Hvordan revidere samfunnsansvar? Den andre publikasjonen som er nyttig for en søkende internrevisor er IIAs egen practice guide Evaluating Corporate Social Responsibility/Sustainable development fra februar Publikasjonen er tilgjengelig for NIRF medlemmer på de internasjonale IIA hjemmesidene. Practiceguiden understreker at Chief Audit Executives har et ansvar for å 6 SIRK nr

7 Virksomhetsstyring Kilde: IIA forstå hvordan de kan støtte ledelsen med hensyn til samfunnsansvar. En internrevisjon som aktivt bekrefter at de opererer i henhold til IPPF (International Professional Practices Framework) er kvalifisert til å revidere og gi assurance til styret og ledelsen på virksomhetens samfunnsansvarsprogrammer og rapportering. Practiceguiden er designet med formål å støtte planlegging og implementering av internrevisjonens revisjonsstrategi og programmer innenfor samfunnsansvar. Internrevisor må altså forstå virksom - hetens risiko og kontroller knyttet til virksomhetens CSR-mål. Når hensiktsmessig, skal CAE planlegge å revidere, fasilitere control self-assessments, undersøke resultater og konsultere innenfor ulike områder. Internrevisor må vedlikeholde den kompetanse og kunnskap som er påkrevd for å forstå og evaluere governance, risiko og kontroller relatert til CSR-strategier. Eksempel på CSRrisiko: Omdømme Compliance Forpliktelser Operasjonell Aksjemarked Ansatte Salg Eksterne forretningsforhold Publikasjonen tar for seg ulike CSR forretningsaktiviteter: 1. Definere policies og prosedyrer for områder innenfor corporate governance, etikk, HR, verdikjede, interessent - relasjoner, miljø, helse og sikkerhet 2. Definere målsettinger, målekriterier og strategier som for eksempel: Redusere CO2-utslipp Etterleve lover og regler Redusere sikkerhetsrelaterte hendelser Redusere avfall Skape en kultur for åpenhet 3. Kommunisere og integrere CSRprinsipper i den forretningsmessige beslutningsprosess CSR inkludert i prosjektbeslutninger Kultur basert på å gjøre de riktige beslutningene for den riktige grunnen Livssyklus verdivurdering for å vurdere påvirkning av virksomhetens produkter og drift 4. Måle, følge opp resultater og ana - lysere trender og gjennomføre bench - marking av bl.a.: Utslipp Helse- og sikkerhetsrelaterte hendelser Korrupsjonshendelser Veldedighet og sponsing Medarbeidertilfredshet Lovbrudd Forpliktelser overfor interessenter 5. Dialog med interessenter: Referanse- eller fokusgrupper som en del av forskning og utvikling Engasjement i politikkutforming og tilbakemeldinger (lobby-aktiviteter) Tilfredshetsundersøkelser Styringsprosesser for varsling (inkludert beskyttelse av klagere fra represalier eller skremsler) 6. Revisjon: Opplysninger i offentlige rapporter Interne kontroller og styringssystemer Overholdelse av avtalefestede CSR vilkår og betingelser (både internt og med eksterne forretningsforbindelser). 7. Rapportering av resultater internt og eksternt, sammen med styringsprosesser for rapportering: Publikasjonen gir også ulike vinklinger for revisjonsstrategi for å evaluere CSR som er detaljert beskrevet. I tillegg gir den gode innspill på bruk av audit opinions, uavhengighets- og objektivitetshensyn og et forsøk på en CSR modenhetsmodell. I mine øyne er dette verdifull lesning og en nyttig verktøykasse ikke bare for internrevisorer, men også de som sitter med ansvaret for samfunnsansvar. Hva er internrevisjon? Og hvordan kan det være et nyttig verktøy for ledelsen og styret i god virksomhetsstyring? Ta kontakt med Norges Interne Revisors Forening. Vi kommer gjerne til din virksomhet og holder en presentasjon! Ring eller send oss en e-post til post@iia.no SIRK nr

8 Virksomhetsstyring Bærekraftig investerings- og finansieringsvirksomhet hvordan bør internrevisjonen forholde seg til nye forventninger og risikoer? Av Pål Brun, Executice Director/Sustainability Services Leader EY og Tine Fossland, Senior Konsulent Sustainability Services EY Finansinstitusjoner er utsatt for en rekke nye lovkrav og reguleringer. De møter også press og nye forventninger fra viktige interessentgrupper. Samtidig opplever finansinstitusjonene at deres evne til å integrere faktorer knyttet til miljø, sosiale forhold og foretaksstyring (ESG) 1 i måten de driver sin investerings- og kredittvirksomhet på, blir viktigere for å redusere risikoeksponering og sikre god avkastning på lang sikt. Hvordan bør internrevisjonene i disse institusjonene forholde seg til disse utfordringene? I kjølvannet av finanskrisen og etterfølgende skandaler har finansinstitusjoner møtt et stadig økende press for å endre sitt fokus fra kortsiktige resultater til å ha et lengre tidsperspektiv. Presset er drevet av interessenter som myndigheter, institusjonelle investorer og kunder. Disse interessentgruppene krever større åpenhet og ansvarliggjøring av finansbransjens rolle for å skape velfungerende markeder og stabile økonomiske ramme - betingelser for selskaper og individer. For internrevisjonen i et finansforetak vil dette på sikt medføre at styre og ledelse forventer at internrevisjonen kan gi relevant støtte og inneha kompetanse også innenfor disse områdene. Dette handler dels om evne til å identifisere de mest vesentlige risikoområdene og dels om å identifisere de riktige revisjons - prosjektene. I tillegg handler det også i alle fall i en overgangsfase inntil man har bygget opp tilstrekkelig intern kompetanse - om å tilknytte seg riktig ekstern spisskompetanse og å sørge for utvikle hensikts messige og tilpassede revisjonskriterier innenfor et fagfelt i rask utvikling. Hvilke bærekraftrisikoområder er mest vesentlige for finansbransjen? Et vesentlig bærekraftsområde kjennetegnes ved at det er viktig for foretakets strategioppnåelse og interessenters informasjonsbehov og beslutninger. For et finansforetak vil det derfor i liten grad være selve driften av kontorvirksomheten som er mest vesentlig i et bærekraftperspektiv. Det er ikke gjennom den operasjonelle driften at de har sin største miljø- og samfunns - påvirkning. Der finansforetak derimot har stor samfunnspå - virkning er gjennom sin kjernevirksomhet og da spesielt hvordan de tar hensyn til miljø og samfunnspåvirkning i finansierings- og investeringsprosesser. I det følgende vil vi peke på tre områder som vi mener kan utgjøre vesentlige risikoer for finansforetak, og som vi derfor mener det blir spesielt viktig for internrevisjonene i disse selskapene å ha et økt fokus på fremover: Åpenhet om produkter og ansvarlig kunderådgivning ESG integrering i investeringsvirksomheten ESG integrering i kredittvirksomheten Åpenhet om produkter og ansvarlig kunderådgivning Finansinstitusjoner er involvert når enkeltmennesker skal ta viktige beslutninger, enten det er kjøp av bolig eller investering av sparepenger eller pensjoner. De er avhengig av rådene som blir gitt av finansforetaket, og det er derfor viktig at disse rådene har høy integritet. I kjølvannet av finanskrisen har forholdet mellom finansinstitusjoner og allmenheten gjennom flere enkeltsaker blitt satt på prøve, noe som har økt betydningen av åpenhet om produkter og ansvarlig kunderådgivning. I Norge har den såkalte Røeggen-saken 2 bidratt til økt publisitet og bevissthet om betydningen av ansvarlig kunderådgivning. Reguleringsmessig skjer det mye på området. Stadig flere produkter og tjeneste-/ produktleverandører vil omfattes av kommende regelverk som PRIPs (Package Retail Investment Products), MiFID II (Markets in Financial Instruments Directive) og IMD II (Insurance Mediation Directice). Overordnet formål med alle disse er å sikre at investerings - rådgivning gjennomføres i samsvar med kundenes interesser. Det stilles krav både til rådgiver og til informasjonen kunden skal motta i forkant av forretningsutførelse. ESG integrering i investerings virksomhet ESG integrering i investeringsvirksomhet ble for alvor satt på dagsorden gjennom etableringen av FNs prinsipper for ansvar lige investeringer (PRI 3 ) i PRI er et investorinitiativ hvor medlemmene har forpliktet seg til å implementere og etterleve PRIs prinsipper for ansvarlig investeringsvirksomhet. En rekke norske institusjonelle investorer har signert prinsippene, deriblant DNB, Folketrygdfondet, NBIM, KLP og Storebrand. På globalt nivå er det nå mer enn 1000 institusjo - nelle investorer som står bak prinsippene, og til sammen har disse en samlet forvaltningskapital på nærmere mrd. USD. 8 SIRK nr

9 Virksomhetsstyring Bærekraftig finansieringsvirksomhet Ekvatorprinsipper ESG kredittverktøy Retningslinjer ESG risikovurderinger Risikoprofil Kostnadsstruktur Incentiver for kunderådgivere. Åpenhet om produkter og ansvarlig kunderådgivning Bærekraftig investeringsvirksomhet Utelukkelse Negativ screening Positiv screening Aktivt eierskap Figur 1: Eksempler på bærekraftområder som kan være vesentlige for et finansforetak.illustrasjon: EY. Utgangspunktet for PRI er den forpliktelsen institusjonelle investorer har til å handle i tråd med de langsiktige interessene til de som eier eller tilgodesees av kapitalen som forvaltes. Dette ansvarliggjør kapitalforvaltere i å ta hensyn til ESG faktorer fordi disse kan påvirke avkastningen på investeringsporteføljer (i varierende grad på tvers av selskaper, bransjer, regioner, aktivaklasser og tidsperspektiv). Siden PRI ble lansert i 2006 har det skjedd en betydelig ut - vikling i praksis innenfor ansvarlige investeringer. Fokus har beveget seg fra utelukkelse av uetiske selskaper til hvordan ESG faktorer kan vektlegges i investeringsanalyser og i investeringsbeslutningsprosessen (PRI prinsipp 1). ESG integrering i kredittvirksomhet ESG faktorer kan innebære vesentlige risikoer og muligheter som kan påvirke selskaper, aktiva og prosjekter på tvers av bransjer. Ved vurdering av kredittrisiko og beslutninger om långivning blir det derfor i økende grad viktig å hensynta disse faktorene. Banker kan også indirekte bidra til negative eksternaliteter, for eksempel når de gir lån til prosjekter som genererer betydelige klimagassutslipp eller har betydelig negativ påvirkning på biomangfold. En slik praksis vil også medføre en betydelig omdømmerisiko for bankene. Banker som integrerer ESG hensyn i sin kredittvirksomhet bruker gjerne ekvatorprinsippene, et sett med retningslinjer knyttet til miljømessige og sosiale risikoer ved prosjektfinansiering, i dette arbeidet. Hensikten med prinsippene er å unngå og/eller minimere prosjekters negative påvirkning på miljø og samfunn. Hva gjør de ledende finansforetakene? Praksis utvikler seg raskt innenfor alle de tre nevnte områdene og det finnes få kodifiserte standarder som kan legges til grunn for internrevisjonens arbeid. Det er derfor viktig at internrevisor har god innsikt i internasjonal god praksis og et forhold til hvordan de ledende aktørene internasjonalt håndterer de vesentlige risikoområdene. I det følgende vil vi synliggjøre noen konkrete eksempler på tiltak innenfor hvert av de tre utvalgte områdene som ledende internasjonale finansinstitusjoner har iverksatt. Hovedpoenget er å belyse tiltak som også vil kunne få betydning for hvilke forventninger som vil bli stilt til andre finansforetak i fremtiden. Åpenhet om produkter og ansvarlig kunderådgivning RBS er eksempel på en bank som prøver å endre kulturen i banken gjennom å endre insentivstrukturen. Bakteppet for initiativet er at banken har blitt kritisert for sin rolle som råd - giver, både i markedet for privatpersoner og små- og mellom - store bedrifter. RBS ønsker å bygge opp en bærekraftig bank hvor kundeservice er et grunnelement og å endre kulturen for å sikre at de ansatte er fokusert på de rette behovene til kundene. Dette gjennomføres ved en endring i insentivordningene. De ansatte blir ikke lenger belønnet på grunnlag av produktsalg, men heller for å møte høy standard for kundeservice, samt deres bidrag til økonomiske resultater for den samlede virksomheten. Et annet eksempel er SEB, som har tatt et bevisst valg om å være åpne om fundingkostnadenes innvirkning på prising av boliglån. Banken oppdaterer daglig sine fundingkostnader i en graf som er tilgjengelig på SEB sine hjemmesider samt i nettbank. SEB vurderer å innføre større åpenhet rundt andre produkter på lik linje som det de har for boliglån. SIRK nr

10 Virksomhetsstyring ESG integrering i investeringsvirksomhet Som et ledd i å videreutvikle Société Générales tilnærming til ESG integrering i sin investeringsvirksomhet jobber teamet for Cross Asset Research med å tilby integrerte investeringsanbe - falinger. Bakgrunnen for bankens integrerte investeringsan - befalinger er analyse av tradisjonelle finansielle drivere, vesentlige ESG aspekter og makroøkonomiske drivere. Société Générale benytter seg av en fire-stegs evaluerings metode for å bestemme kvaliteten på selskapers ESG arbeid og til - nærming. Først identifiseres vesentlige ESG aspekt og den relative vektingen av E, S og G dimensjonen per sektor. Deretter bestemmes relevante prestasjonskriterier per vesentlige aspekt. Basert på dette utarbeides det en kvantitativ ESG rangering. Denne rangeringen utarbeides på bakgrunn av selskapenes arbeid og rapportering på de forhåndsbestemte prestasjons kriteriene. Det fjerde punktet i evalueringen er tradisjonell finansiell analyse. Prosessen resulterer i at det identifiseres «top picks» innen de 26 sektorene som dekkes. Société Générale har utviklet integrerte investeringsanbefalinger som et virkemiddel for å i større grad kunne vektlegge ESG i sine investeringsanbefalinger. ESG integrering i kredittvirksomhet Nordea har utviklet to verktøy for å måle miljømessig- og sosiopolitisk risiko for innvilgelse av kreditt til bedriftskunder, henholdsvis Environmental Risk Assessment Tool (ERAT) og Social and Political Risk Assessment Tool (SPRAT). Nordea benytter seg av ERAT og SPRAT parallelt. Hensikten er å analysere hvordan bedrifter håndterer miljø- og sosiopolitisk risiko og krav knyttet til disse aspektene. ERAT gir den enkelte bedrift en overordnet miljømessig risikoprofil mens SPRAT bygger tre risikoprofiler knyttet til land/ geografisk eksponering, sektor og sosiopolitisk eksponering. Hovedformålet med SPRAT er å kartlegge hvilke sosiopolitiske risikoer hos den enkelte bedrift som potensielt kan påvirke selskapets evne til å møte sine betalingsforpliktelser hos banken. I tillegg er verktøyet laget for å bestemme sannsynlighet for at finansiering av selskapet kan påføre Nordea skade, eksempelvis gjennom forverret omdømme. Resultatene fra ERAT og SPRAT inntas i den generelle kreditt - vurderingen av den enkelte bedrift. Det er obligatorisk å bruke ERAT på bedrifter med kredittgrense fra EUR. For bedrifter med kredittgrense fra fem millioner euro og oppover er også SPRAT obligatorisk. Verktøyene benyttes også for bedrifter med lavere kredittgrense dersom bedriftens karakteristika indikerer at bedriften kan være eksponert for betydelig miljøeller sosiopolitisk risiko. Hvordan bør internrevisjonen forholde seg til forventninger og risiko knyttet til bærekraft i finansinstitusjoner? Finanskrisen og etterfølgende skandaler har ført til at viktige interessenter, som investorer og myndigheter, krever større åpenhet og ansvarliggjøring av finansbransjens rolle for å skape velfungerende markeder og stabile økonomiske rammebetingelser for selskaper og individer. Det er derfor aspekt knyttet til kjernevirksomheten, ikke den operasjonelle driften, som er kjernen i finansforetakenes samfunnsansvar. I denne sammenheng har internrevisjonen en viktig oppgave i å bidra til å identifisere de mest vesentlige risikoområdene knyttet til ESG integrering i kjernevirksomheten og tilhørende revisjons - prosjekter. 1 Environmental, social and governance 2 Småsparer Ivar Petter Røeggen vant i 2013 sin mangeårige kamp mot DNB i Høyesterett. DNB ble dømt til å erstatte Røeggens tap etter at de hadde solgt ham et spareprodukt som han ble anbefalt å lånefinansiere kjøpet av. 3 The United Nations-supported Principles for Responsible Investment. Foreningen gratulerer følgende medlemmer med ny tittel siden forrige nummer av SIRK: CIA Anette Strømsnes, Det Norske Veritas AS Thomas Hager, Statoil ASA Annalena Baer, Deloitte AS Cecelie Lyngnes, KPMG AS CGAP Knut Blikeng, Forsvarsdepartementet CRMA Annalena Baer, Deloitte AS Tove Albrektsen, Ernst & Young AS Berge Johan Graf von Rothenburg, Deutsche Bahn AG Dipl.I.R. Merete Skjelsbæk, Kirkens Nødhjelp Mette D. Storvestre, BKK AS Lisa Jensen, BDO AS Siw-Hilde Holmen, Norsk Tipping AS Elisabeth Aaserud, Avinor AS Leif Erik Dahl, Forsvarssjefen Anita Kleppe Sivertsen, Statens vegvesen Cecelie Lyngnes, KPMG AS Øystein J. Hoff, PwC AS Anders Tautra, PwC AS Anders Tømmerås, Riksrevisjonen Kristin Tengs Grundy, Arbeids- og velferdsdirektoratet Daniel Heggelund, Riksrevisjonen Izabella Salicath, AbbVie AS 10 SIRK nr

11 Vi vokser! Deloitte er et av de ledende internrevisjonsmiljøene i Norge. Vi bidrar til å skape resultater for våre kunder gjennom en strategisk tilnærming til utfordringer, men også gjennom praktiske handlinger og gjennomføringsevne. Vi har i dag over 100 rådgivere som leverer tjenester innenfor internrevisjon, strategisk og taktisk risikostyring, intern kontroll, corporate governance, compliance, informasjonssikkerhet og granskning. Deloitte er verdens største leverandør av profesjonelle tjenester med over medarbeidere i over 150 land, hvorav ca i Norge. Ønsker du å vite mer om våre tjenester eller være del av et dynamisk og innovativt miljø, kontakt oss gjerne for en hyggelig samtale. Stein Ove Songstad, Partner ssongstad@deloitte.no Tlf Eivind Skaug, Partner eskaug@deloitte.no Tlf Helene Raa Bamrud, Partner hbamrud@deloitte.no Tlf Deloitte AS SIRK nr

12 Virksomhetsstyring Changing Banking for Good Av Martin Stevens, Gjensidige Forsikring Bakgrunn I juni 2013 ga det britiske parlamentet ut en rapport om banketikk under tittelen «Changing Banking for Good». Denne tittelen har en dobbel betydning, og viser både til at bankvesenet må forandres til det bedre og til at det må forandres for godt. 1 Rapporten ble utarbeidet på bakgrunn av en alvorlig og allmenn svikt i tilliten til det britiske bankvesenet etter bank - krisen i Denne krisen krevde statlige utbetalinger på ufattelige NOK 1200 mrd. Banklederne slapp unna ansvaret for fiaskoen, og fortsatte til og med å være generøst belønnet. Dette skurret mot den alminnelige rettferdighetsfølelsen. På toppen av dette ble det påvist at banker hadde lurt sine kunder til å kjøpe låneforsikring de ikke hadde bruk for, og derivater med risikoer som de ikke forsto. Senere er det blitt kjent at storbankene over mange år har manipulert fastsettelsen av markedsrenten LIBOR, samt bistått kriminelle og sanksjonsbelastede regimer med å hvitvaske sine skitne penger. I rapporten prøver kommisjonen å identifisere hva som hindret de mange som så eller burde ha sett farene, fra å si ifra. Under har jeg valgt ut seks av temaene kommisjonen har identifisert, og presenterer hva den mener kan og bør gjøres for å hindre at denne situasjonen gjentar seg. I håp om at bankvesenet skal lære av sine feil «Banking history is littered with examples of manipulative conduct driven by misaligned incentives, of bank failures born of reckless, hubristic expansion and of unsustainable asset price bubbles cheered on by a consensus of self-interest or selfdelusion. An important lesson of history is that bankers, regulators and politicians alike repeatedly fail to learn the lessons of history: this time, they say, it is different. Had the warnings of past failures been heeded, this Commission may not have been necessary.» Parlamentsrapportens sammendrag, punkt 9 1. Ansvarsfraskrivelse Den amerikanske artisten Shaggy hadde en hit med sangen «It wasn t me». I sangen holder han fast på sin uskyld og forlanger å bli trodd, på tross av åpenbare bevis for at han har bedratt sin kjæreste med andre kvinner. Dette kan minne om bankenes holdning etter avsløringene i kjølvannet av krisen. Da toppledelsen ble konfrontert med at de måtte ha skjønt og godtatt disse store risikoer og uregelmessigheter, var forsvaret todelt. I første omgang kunne de si at ingen hadde meldt fra til dem om disse problemene. Dette var delvis forklart med komplekse organisasjoner og en kultur om kun å gi gode nyheter oppover. Hvis presset likevel var for stort, ble den andre unnskyldningen brukt: «Alle var med på den beslutningen». På denne måten var det ikke mulig å holde noen bestemt person ansvarlig. Den foreslåtte løsningen Kommisjonen foreslår å opprette et opplegg der ansvar tildeles bestemte personer for hver vesentlig forretningsaktivitet og risiko. På den måten vil man opprette et system der det er klart hvem som har apekatten (som man sier i London) hvis det går galt. Er oppførselen i forbindelse med arbeidsutførelsen for dårlig, er riset bak speilet at man skal kunne miste sin lisens til å være ansatt i bankvesenet i Storbritannia. 2. Svikt i kontrollansvar De fleste banker opererte med en modell med tre forsvarslinjer for sin internkontroll. Rapporten kritiserer ikke selve modellen, men peker på tre svakheter ved hvordan modellen har blitt praktisert. For det første: Dersom Compliance tok på seg en rolle der de godkjente alle nye forretningstyper, kunne første linjen fra - skrive seg sitt ansvar for oppfølging av lover og forskrifter. For det andre: Risikostyring og Compliance har hatt for lav status, slik at de ikke har blitt hørt som motvekt til sterke krefter på forretningssiden. Funksjonene kunne også være fragmenterte, med noe ansvar lokalt og noe sentralt. For det tredje: Hele organisasjonen har vært preget av at kritikk tolkes som tegn på manglende solidaritet. Svikt i kontrollansvar Første forsvarslinje Andre forsvarslinje Tredje forsvarslinje 2 Risikostyring Linjeledelse Internkontroll 1 Etterlevelse (Compliance) Annet Compliance tar på seg en første linje rolle. Risikostyring og Compliance har for lav status og er fragmentert Kulturproblemer Modell - ECIIA «Guidance on the 8th EU Company Law Directive» Internrevisjon Ekstern revisjon 1 Rapporten kan hentes ned gratis fra professional-standards-in-the-banking-industry/news/changing-banking-for-good-report/ 12 SIRK nr

13 Virksomhetsstyring Den foreslåtte løsningen Kommisjonen foreslår at rollene til andrelinjen må styrkes og rendyrkes. For å sikre «standing» til andrelinjefunksjonens ledere skal de beskyttes gjennom rapportering til uavhengige styremedlemmer. På denne måten håper man at det blir sikkerhetsventiler både i andre- og tredjelinjer, som vil varsle når fare er på ferde. 3. Uhensiktsmessig organisering De fleste bankvirksomheter ble av kommisjonen beskrevet som et forbund av småkongedømmer, der overblikk og strategisk kontroll var så godt som umulig. Utover dette var den ansattes lojalitet til teamet (motivert av ønsket om å beholde jobb og bonus) sterkere enn sin lojalitet til firmaet. Den foreslåtte løsningen Kommisjonen håper at dette vil løses gjennom forslaget i det første punktet ovenfor om å allokere et unikt og personlig ansvar, sammen med forslaget i det andre punktet om å styrke kontrollfunksjoner i andre og tredje linje. 4. Feil insentiver Hensynet til at forretningene var i kundens og selskapets beste interesse ble svekket av fokuset på kortsiktige mål, herunder spesielt salgsmål og egenkapitalavkastning, ved fastsettelse av lønn og godtgjørelse. Den foreslåtte løsningen Kommisjonen fremhever at det er ønskelig at banker utvikler en kultur der man er åpen for å utfordre beslutninger og strategien uten å bli stemplet som illojal. De uavhengige styremedlemmene har her en viktig rolle å spille, som korreksjon til gruppetenkning og flokkmentalitet. Avslutning Kommisjonen er ikke udelt optimistisk hva gjelder om at fremtiden blir bedre enn fortiden, jamfør sitatet i tekstboksen. Mye av løsningen ligger i å endre holdninger til det bedre, og det er ikke noe som vil skje over natten. Og dette arbeidet kan kreve at man må takke nei til «gode» forretninger på kort sikt. Gevinsten ligger i at man overlever på lang sikt, men det vil være uvant å måtte prioritere slik. Uavhengige styremedlemmer og compliance-, risikostyringsog internrevisjonsfunksjoner med høy faglig integritet har en viktig rolle å spille for å sørge for at firmaets langsiktige overlevelse ikke settes på spill i jakten på kortsiktige gevinster. Forretningsledelse må tåle å bli utfordret. Dette kan, etter min mening, innebære at de nevnte funksjoner ikke vil være de mest populære i virksomheten, men til gjengjeld vil de for - håpentligvis oppnå respekt over tid. Den foreslåtte løsningen Kommisjonens hovedtiltak for å få et sunnere fokus og mer langsiktig tenkning, er å låse bonusutbetalinger opp til ti år, samtidig som uavhengige styremedlemmer ikke skal motta noen lønn eller annen godtgjørelse som er resultatbasert. 5. Manglende etterlevelse av etiske verdier Uetiske handlinger ble ikke stoppet av de fine etiske retningslinjer som organisasjonene opererte under. Delvis var dette et bevisst valg fordi insentivene om å tjene penger på kort sikt var sterkere. Varslingskanalene fungerte ikke som de skulle, på grunn av at det å si fra ble oppfattet av de ansatte som karriereselvmord. Den foreslåtte løsningen Kommisjonen mener at varslere må sikres en større trygghet ved å sørge for beskyttelse fra et uavhengig styremedlem. Generelt ønsker man å oppnå en større samstemmighet i kulturen fra toppen til midten og bunnen av organisasjonen, men man mangler konkrete anbefalinger på hvordan man skal få dette til. Kommisjonen erkjenner at det å endre kultur er vanskelig og vil ta tid. En liten, men interessant, detalj er forslaget om å øke kvinneandelen i meglerrommene for å få bukt med den ekstremt macho-kulturen som ellers råder. 6. For dårlig risikofokus Banken hadde ekstrem tro på matematiske modeller skulle gi det hele og sanne bildet av risikoeksponeringen. I virkeligheten var det store og viktige risikoer (eksempelvis gearing- og likviditetsrisiko) som ikke ble ivaretatt i disse modellene. Slike risikoer holdt på å ta knekken på flere banker. Med andre ord så man ikke skogen for bare trær. SIRK nr

14 Risikostyring / Internkontroll SIRK-redaksjonens favorittpublikasjoner i 2013 CEB Risk Intelligence Quarterly Publikasjonen utgis av Legal, Risk & Compliance Practice i CEB. Den første utgaven ser blant annet nærmere på top 5 fremvoksende risikoer, compliance risiko i vekstøkonomier (emerging markets). Her er det konkrete eksempler, tall og grafer som gir gode argumenter i interne diskusjoner. PwC Risk Resilience serie PwCs US risk resilience rapporter tar for seg ulike dimen - sjoner av risikostyring. Her finner man blant annet modenhetsmodeller for å vurdere egen risikostyring, og flere av artiklene har «5 questions for the Board» som enhver internrevisor, risk manager eller compliance officer burde tenke gjennom. IIA Practice Guidance Sustainability Usikker på hvordan du skal revidere virksomhetens satsning på samfunnsansvar? Da gir IIAs practice guide deg gode tips og triks. Deloitte Audit Committee Resource Guide Mange internrevisorer sitter som sekretær i revisjonsutvalg. Da er Deloitte US oppdaterte versjon av god praksis for revisjonsutvalg god å ha. Veiledningen inneholder flere ulike problemstillinger og gjeldende reguleringer basert på det amerikanske lovverket, men er likevel interessant for norske lesere SIRK nr

15 Risikostyring / Internkontroll Intern kontroll et integrert rammeverk, COSO-rapporten 2013 Intervju med Deanna Sullivan Av Ellen Brataas, generalsekretær i NIRF I de 20 årene som har gått siden COSO (Committee of Sponsoring Organizations of the Treadway Commission) gav ut «Intern kontroll et integrert rammeverk, COSO-rapporten», har forretningsmiljø og ramme - betingelser endret seg drastisk. Denne våren kom COSO ut med en oppdatert utgave av rammeverket. Tidligere brukere av COSO-rapporten vil finne mye kjent i den oppdaterte utgaven. Definisjon av intern kontroll og de fem komponentene 1 er de samme som i forrige versjon. Kravet om å ta hensyn til alle de fem komponentene når man skal vurdere effektiviteten i et internkontrollsystem, er i det store og hele uendret. Den oppdaterte utgaven beskriver 17 prinsipper som knyttes til de fem komponentene. Prinsippene skal tydeliggjøre hvordan komponentene skal vurderes, men gir samtidig mulighet for at brukerne selv finner den beste måten å gjøre det på. Målsettinger knyttet til finansiell rapportering har blitt utvidet til å omfatte andre viktige former for rapportering, herunder ikke-finansiell og intern rapportering. Rammeverket reflekterer også de siste tiårenes mange endringer i forretningsmiljø og rammebetingelser, som: forventninger til virksomhetsstyring globalisering av markeder og virksomheter endringer og større kompleksitet i forretningslivet (herunder outsourcing) krav fra myndigheter og andre standarder kompetanse og ansvarlighet ny teknologi forebygging og avdekking av misligheter Ved utgangen av 2014 vil ikke lenger rammeverket fra 1992 være gyldig, og det forutsettes at alle som anvender COSOrapporten har konvertert til den oppdaterte utgaven innen den tid. Om det er en stor jobb å konvertere spørs på hvor godt systemet som er etablert for intern kontroll fungerer i dag. Til hjelp for implementering og oppfølging har COSO laget et «Illustrative Tools», Volume II. På tampen av oktober var NIRF så heldige å få Deanna Sullivan fra IIA til Oslo for å holde et todagers kurs: «COSO Internal Control Integrated Framework: Turning Lecturer: Deanna Sullivan, CIA, CRMA, CPA, CGMA, CFE Deanna Sullivan has a diverse background ranging from auditing and accounting to consulting and training. She is an experienced facilitator and motivational speaker. Formerly a partner with Arthur Andersen s Risk Consulting Practice, Deanna led the development effort for the firm s Business Self-Assessment methodology, Quality Assurance Review methodology and Global Best Practices for Internal Audit. She is an active member of the Institute of Internal Auditors (IIA) and was Chairman of the IIA s 2006 International Conference held in Houston, Texas. Deanna delivers a highly-rated ethics course certified by the Texas State Board. She is a frequent speaker at conferences and events around the globe and has been a top rated speaker at the last six IIA International Conferences. Principles Into Positive Action». Tittelen er hentet fra tidligere styreleder i COSO, Larry Rittenberg, sin bok. Kurset ble avholdt på BI slik at studentene på Flemming Ruuds Master of Management-program også fikk mulighet til å delta. På to intensive dager gjennomgikk vi de 17 prinsippene og fikk de demonstrert i praksis gjennom en kombinasjon av engasjerte forelesninger og gruppeopp - gaver. Samtidig benyttet jeg anledningen til å spørre Deanna nærmere om enkelte detaljer i rammeverket, hvilke fordeler det nye rammeverket bringer og om hun har noen tips til internrevisorer: Ellen: In your opinion, what is the most value given by the changes and why is this so? SIRK nr

16 Risikostyring / Internkontroll Kilde: Privat Deanna: First I believe that just by releasing a new version of COSO, the committee has called attention to the frame - work and caused us to consider the components of the framework and its function. After 21 years, people tend to take things for granted if they haven't changed or evolved. So just adding a new focus to a great framework is worthwhile in itself. Ellen: Which changes do you feel are most important? Deanna: I think the addition of the 17 principles provides for a more detailed, comprehensive approach to evaluating an organization's internal controls. The wording of the principles, e.g. Management demonstrates a commitment to ethics and integrity, makes it very clear that management must take ownership for each of the principles. I also like the addition of the fraud risk principle and evaluating potential pressures or incentives within the organization which could promote fraud. Ellen: In what way has the COSO Framework become a better tool for implementing and evaluating internal control? Management demonstrates a commitment to ethics and integrity. Deanna: I like the change from factors to principles and the assessment tool. The principles are written so it is very clear what the organization should be doing to have an effective system of internal controls and what management's responsibilities are. Also with the previous version, people struggled with how to actually implement the concepts. The assessment templates in Volume II provide specific examples on how to use the framework at various levels within the entity and how to handle deficiencies. The prepopulated template which is available makes it very easy for organizations to immediately begin using the new framework. Ellen: In the seminar you mentioned the previous version was read and put on a shelf because there were no incen - tives for implementing and monitoring. In what way does this new COSO Framework contribute or give incentives to the use of the framework, if any? Deanna: Management will always push back on "implementing" things without having a strong stick or a tasty carrot. Implementing means resources, time, people and money so the pressure or desire needs to be great. So we do have to be prepared with a marketing pitch to demonstrate where other organizations have suffered because they didn't address one or more of the 17 principles. Management has to want to improve and we have to be able to articulate the value proposition. You can start slow; try the framework on one process or one entity. Just getting management up to 16 SIRK nr

17 Risikostyring / Internkontroll speed on the principles and having them think about the concepts, is a step in the right direction. Ellen: In what way does the updated Framework present leadership opportunities for internal auditors? Deanna: This is a great opportunity for internal audit to take the lead in educating the organization on the new frame work. The organization can take a fresh look at the five components and ensure that they have adequately implemented them. Internal audit is perfectly positioned to make the board and the audit committee, as well as management, aware of the new framework and the opportunities for enhancing the organization's system of internal controls in the achievement of business objectives. Ellen: Do you have any tip to internal auditors on how to get started using the Framework? Deanna: Internal audit can use the framework to perform their audits, even if management hasn't implemented COSO. The five components and 17 principles provide a good roadmap for evaluating a process or an entity. And the framework is a great tool for determining the root cause of an issue within an area. Ellen: According to Larry Rittenberg s book: "Although it does not happen now, I believe that future reporting will require more transparency and users will be interested in the amount of risk that an organization accepts. It may take more than a decade, but the time may come when the amount of risk and the risk appetite of the organization will be communicated in external reports." What is your perspective on this? Deanna: I believe organizations will always push back on sharing their risk assessments. The press tends to take this information and distort it. I gave the example of the hospital who determined through their risk assessment process that they could save more patients in a disaster if they moved the healthiest patients first. The press was quick to publish that the hospital was leaving the elderly and disabled to die. The hospital was trying to save more lives and the press turned the information around to make them Kilde: Privat Internal audit can use the framework to perform their audits, even if management hasn't implemented COSO. look as if they were deliberately destroying patients. So organiza - tions will never be keen on sharing some details of their risk assessment. Will this be a requirement in the future? I couldn't say. I'm not very good with a crystal ball. Ellen: And lastly; this seminar emphasizes turning principle into positive action. Do you believe we are capable after the seminar? Deanna: This seminar and Larry Rittenberg s book focus on taking theory and making it reality. Turn the 17 COSO principles into action within the organization. Hopefully everyone left the seminar motivated to take a stab at making this a reality within their organizations. 1 Kontrollkomponenter: Kontrollmiljø, Risikovurdering, Kontrollaktiviteter, Informasjon og kommunikasjon, Oppfølging SIRK nr

18 Risikostyring / Internkontroll PwCs 2013 seminar om antikorrupsjon: Hva er myndighetenes forventninger til norske virksomheters arbeid med antikorrupsjon? Av Janne Britt Saltkjel, Compliance Officer i Multiconsult PwCs årlige seminar om antikorrupsjon gikk 13. juni av stabelen for 6. gang. Tema i år var myndighetens forventninger til virksomheters arbeid med antikorrupsjon. Arrangement var i år lagt opp som et debatt - seminar, med tre panel bestående av generalsekretær Guro Slettemark i Transparency International, Group Compliance Officer Carine Smith Ihenacho i Statoil, Compliance officer Janne Britt Saltkjel i Multiconsult, førstestatsadvokat Arnt Angell fra Økokrim og forsker Tina Søreide fra Christian Michelsens Institutt/ Universitetet i Bergen som del - takere. Debatten ble ledet av Helge Kvamme, daværende og mangeårig partner i PwC Norges granskningsenhet. I tillegg holdt Glenn Ware fra PwC i Washington og Keith McCarthy fra PwC UK et innlegg om retningslinjer fra myndighetene i hhv USA og UK og de erfaringene man hadde gjort seg. Det nytter ikke med verdens strengeste lover om ikke de håndheves. - Helge Kvamme, korrupsjons - jeger og tidligere partner i PwC / partner i Selmer. Helge Kvamme med Arnt Angell fra Økokrim, Tina Søreide fra Christian Michelsens Institutt/UiB og Carina Smith Ihenacho fra Statoil. Fotograf: Tania W. Leporowski Blant de over 60 deltakerne var representanter fra Aker Solutions, Statoil, PGS, Wilhelmsen Ship Service, NORAD, Oljefondet, DNB m.fl. Ingen av de inviterte representantene fra Stortinget eller regjeringen kunne stille, noe som i og for seg under - streket temaets aktualitet; behovet for pro aktive tiltak fra myndighetene for bedre samarbeid med virksomhetene i kampen mot korrupsjon. Det ble i tillegg debattert hva som kjennetegner et godt antikorrupsjonsprogram og hvordan dette kan tillegges vekt i en eventuell straffe- eller sanksjonsprosess. Kvamme innledet med at selv «verdens strengeste korrupsjonslov» er nytteløs om den ikke håndheves og at det er uklart hva norske myndigheter forventer av virksomhetene. Britiske og amerikanske myndigheter har laget retningslinjer for hvordan virksomheter bør arbeide med antikorrupsjon, herunder hvordan håndtere konkrete situasjoner der man er eksponert for korrupsjonsrisiko, samt etablert organer for å håndtere henvendelser fra virksomhetene. Liknende tiltak bør vurderes i Norge, men er p.t. ikke på agendaen til norske myndigheter. Både Multiconsult og Statoil og andre virksomheter støtter seg derfor til retningslinjer fra USA og Storbritannia, som gir en pragmatisk og praktisk tilnærming til håndtering av konkrete korrupsjonsforsøk, men uten å vite om dette kan være i konflikt med forventningene til norske myndigheter. Det foreligger altså ikke signaler eller anbefalinger fra norske myndigheter 18 SIRK nr

19 Risikostyring / Internkontroll om hva som er et «godt nok» antikorrupsjonsprogram, men internasjonalt har en beste praksis utviklet seg. Både Transparency International og virksomhetene påpekte at det må være forankret i toppledelsen og tydelig kommunisert ut i organisasjonen. I det daglige arbeidet er risikovurderinger og integritetsundersøkelser av tredjeparter kritisk viktig. I følge Glenn Ware fra PwC Washington kan hele 80 % av korrupsjonstilfellene tilskrives virksomhetens tredjeparter. Statoil har ti heltidsansatte som kun jobber med IDD (Integrity Due Dilligence) av tredjeparter, både leveran - dører og samarbeidspartnere og da ser de kun på et utvalg av disse, basert på risikovurdering. Mindre selskaper har ikke mulighet til å mobilisere like store ressurser. I Multiconsult, som har ansatte mot Statoils , utføres integritetsundersøkelser av tredjeparter av Compliance Officer i samarbeid med ansatte fra linjen som besitter erfaring og spesialkunnskap om enkelte aktører, bransjer og regioner. De interne integritetsundersøkelsene suppleres med ekstern bistand dersom det er behov for ytterligere undersøkelser, da typisk tredjeparter i land med høy korrupsjonsrisiko. Ut fra spørsmål fra salen var hånd - tering av tredjeparter, og da særlig i land med korrupsjon og såkalte facilitation payments («tilretteleggingsbetalinger») som en del av forretningskulturen, et tema som opptok flere organisasjoner. Risikovurderinger, integritetsundersøkelser og bakgrunnssjekker er altså helt klart et arbeid som flere virksomheter må fortsette å prioritere. Prinsipper og rutiner for dette må være nedfelt i skriftlige styringsdokumenter policyer og prosedyrer og operasjonalisert gjennom opplæring og bevisstgjøring av medarbeidere, og fulgt opp og monitorert av Compliance-funksjoner. Når det gjelder straffeansvar, utfordrer foretaksstraff norsk rettspraksis, som baserer seg på å plassere skyld og straff på personer. Tina Søreide støttet av Arnt Angell fremholdt at i verste fall kan alle som har en kontrollfunksjon som skal forhindre korrupsjon, bli straffeforfulgt dersom man ikke griper inn. Men til tross for en uttalt «nulltoleranse» mot korrupsjon, er det enda ingen utstrakt bruk av foretaksstraff eller straffeansvar for ledelse eller styremedlemmer i Norge. Manglende retningslinjer, straffesaker og dom - fellelser i de nordiske landene har medført at det i noen antikorrupsjonsmiljøer utenlands hersker en oppfatning om at nordiske myndigheter er for passive og verner om nordiske virksomheter. En slik «Nordic conspiracy» kan representere en omdømmerisiko for norsk næringsliv. Denne bør tas på alvor av myndighetene i arbeidet med antikorrupsjon fremover. Helge Kvamme avrundet debattseminaret med en erkjennelse av at nulltoleranse «er en drøm»; et godt antikorrupsjonsprogram vil generere saker, men nettopp det å avdekke disse og håndtere dem er sentralt for antikorrupsjons - arbeidet; det behøves mer innsats fra myndighetene enn bare verdens strengeste lover. Innføring i internrevisjon På denne dagen vil du få en innføring i internrevisors roller og ansvar, begrepsavklaringer og definisjoner, samt hvilke etiske regler og hvilke krav som ligger i internrevisjonens standarder. Formål med kurset: Gi deltagerne de nødvendige grunnkunnskaper i internrevisjon gjennom introduksjon til intern - revisjonens rammeverk, spesielt rettet mot de obligatoriske delene. Innholdet i kurset er nødvendig basiskunnskaper for øvrige kurs. Kurset dekker følgende: Internrevisjon roller og ansvar, definisjoner og avgrensninger, eksempler Governance: Hva ligger i begrepet og hvorfor er dette relevant for oss Internkontroll Risikostyring De etiske reglene De faglige standardene Veien videre; utdanning, diplomering og sertifisering Hvem kurset er beregnet på: Nyutdannede, personer som er nye i internrevisjonen, internrevisorer som ønsker oppfriskning av basiskunnskaper, ansatte i stabsfunksjoner eller andre som ønsker mer informasjon om hvilken nytteverdi internrevisjonen kan bidra med. Krav til forkunnskaper: Ingen. Vedlikeholdspoeng (CPE): Gjennomføring av kurset gir 8 CPE-poeng for CIA, CCSA, CGAP, CFSA, CRMA og Diplomert Intern Revisor. Pris: Medlemmer kr Ikke-medlemmer kr Tid: 5. februar 2014, Sted: Oslo Forelesere: Ellen Brataas (CIA, CRMA, CISA), generalsekretær i NIRF Karl-Ludvig Mauland (siviløkonom), partner BDO Påmelding: eller telefon SIRK nr

20 Risikostyring / Internkontroll Risikostyring har aldri vært viktigere Av: Are Jansrud (Partner) Eirik Øsebak (Director) og Magnus Digernes (Manager), KPMG En internasjonal undersøkelse i regi av KPMG forteller oss at det vil være et økt fokus på risikostyring i tiden fremover. Men for å lykkes med risikostyring er det viktig å synliggjøre verdien. Dette er en av hovedutfordringene med risikostyring som fremkommer i undersøkelsen. Om undersøkelsen Economist Intelligence Unit har på vegne av KPMG gjennomført en undersøkelse blant 1092 direktører over hele verden. 28 prosent av dem er adm. direktører eller konsernsjefer, 18 prosent er økonomidirektører, syv prosent er styre - medlemmer og de øvrige er direktører innen drift, risiko - styring, juridisk, IT, compliance eller internrevisjon. Hovedtrekk i resultatene De viktigste funnene fra undersøkelsen var som følger: 1. Risikostyring blir sett på som et viktig bidrag til virksom - heten, men organisasjonene trenger å forbedre hvordan de måler verdien av risikostyringen 2. Ledere sliter med å fastsette et helhetlig risikobilde 3. Få virksomheter har formulert en risikoappetitt 4. Regulatorisk press og endringer i regelverk er den typen hendelse som de fleste ser på som den viktigste trusselen 5. Linjeledelsen er bedre til å identifisere og vurdere risiko enn det funksjoner som risk management, compliance og internrevisjon er 6. Mangel på menneskelige ressurser og kompetanse hindrer samhandling mellom risiko- og kontrollfunksjoner 7. Svake insentiver hindrer risikobasert beslutningstaking Risikostyring er strategisk viktig Undersøkelsen viser at risikostyring spiller en strategisk viktig rolle for virksomheten. 47 % sier at risikostyring er avgjørende for å nå virksomhetens mål. Undersøkelsen spør ikke om risikostyring har blitt viktigere enn før, men avdekker at investeringer i risikostyring har vokst i prosent av totale inntekter de siste tre årene. Hele 65 % oppgir at denne andelen har steget, og av disse svarer 18 % at den har vokst betydelig. Ledere sliter med å vurdere risiko på tvers av virksomheten Toppledere vurderer risikostyring å være svært viktig. Flertallet av respondentene sier at risikovurderinger er inkludert i den strategiske planleggingen minst en gang årlig. En viktig del av helhetlig risikostyring er å aggregere risiko på tvers av virksomheten, men 20 % av ledere oppgir at de ikke har etablert noen prosess for aggregering av risikoer. Source: Expectations of Risk Management Outpacing Capabilities It s Time For Action, 2013 Illustrasjon: KPMG The risk management function performs a bottom-up risk assessment process at least annually The business has a risk and control self assessment process in place The risk assessments of all risk and control functions are aligned to ensure a complete risk profil There is no process in place to aggregate risks For komplekse virksomheter er det avgjørende å ha en god tilnærming til nedenfra og opp-risikovurdering for fullt ut å forstå de operasjonelle risikoene. Nesten halvparten av ledere sier at virksomheten utfører en nedenfra og opp-risikovurderingsprosess minst en gang årlig. Videre sier 38 % at virksomheten har en prosess for å gjøre en egenevaluering av sine risikoer. Dette er et godt grep hvis virksomheten ønsker at de ansatte skal få eierskap til risikoene. Etter å ha utført en nedenfra og opp-vurdering, er neste skritt å sikre at alle risikovurderinger er justert for å lage en helhetlig risikoprofil for virksomheten. Men bare 34 % av respondentene gjør dette. Undersøkelsen illustrerer avstanden mellom teori og praksis. Få virksomheter definerer sin risikoappetitt Et overveldende flertall (86 %) av de spurte sa at risikostyring er viktig i beslutninger knyttet til strategisk planlegging. Virksomheter vil ha problemer med å utvikle en strategisk plan uten å ha definert sin risikoappetitt, herunder om risikoeksponeringen i virksomheten er i samsvar med ønsket avkastningsnivå. Selv om mange toppledere tror de har intuitiv kjennskap til virksomhetens risikoappetitt, er det en utfordring å få en felles forståelse blant ledere og eventuelt styre om hva 20 SIRK nr

21 Risikostyring / Internkontroll virksomhetenes risikoappetitt faktisk er. Resultatene fra undersøkelsen viser at mindre enn en femtedel (19 %) av virksom - hetene har fastsatt og kommunisert risikoappetitten for hele virksomheten. 22 % sier at dette er under utvikling. Videre sier om lag 40 % at en formell risikoappetitt er etablert, men ikke kommunisert i hele virksomheten. 19 % sier dette ikke har blitt utviklet i det hele tatt. Source: Expectations of Risk Management Outpacing Capabilities It s Time For Action, 2013 Fully developed and implemented Developed but has not been communicated or vetted to the organization Not at all 74 % og 73 %), mens tredjelinjen (internrevisjon) ble vurdert som effektiv av henholdsvis 67 % og 66 % av respondentene. Dette samsvarer med den ønskede dynamikken i et linjeforsvar der førstelinjen har hovedansvaret for risikostyringen i virksomheten. Ideelt sett bør alle tre linjene integreres effektivt med hverandre. Utfordringen er å sikre at det ikke finnes store mangler i risikohåndteringen, eller ineffektivitet ved duplisert innsats. Dette krever klare definisjoner av roller og ansvar av de forskjellige funksjonene, samt tverrfaglig opplæring i risikostyring for alle tre forsvarslinjer. Source: Expectations of Risk Management Outpacing Capabilities It s Time For Action, 2013 Somewhat Slightly Very ineffective/ Very effective effective ineffective Not at all effective Not applicable First line of defense: Identifying / assesing risk Communicated among the risk management function but not within the business In process of development First line of defense: Managing risk Illustrasjon: KPMG Regulatorisk press blir sett på som den største trusselen mot virksomhetene Det var nesten uunngåelig at myndigheter rundt om i verden ville stramme inn regelverkene etter finanskrisen. Det er ikke kun finansnæringen som har merket regulatoriske innstramminger også energisektoren og virksomheter i «andre næringer», som forbruksvare, bygg og kjemikalier, har merket det regulatoriske trykket. Vi ser heller ikke noen signifikant forskjell mellom regionene. Regulatorisk press ble ansett som nesten like stor trussel for de fleste næringer i Asia, som det var for dem i Europa og Nord-Amerika. Linjen identifiserer risiko bedre enn andre- og tredjelinjefunksjoner Det er vanlig å inndele virksomhetens system for risikostyring og internkontroll i «tre forsvarslinjer». Her representerer førstelinjen linjeledelsen i virksomheten de som tar og eier risikoen. Andrelinjen utgjøres av sentrale funksjoner som compliance og risikostyring, med ansvaret for overvåking av risiko samt eierskap til prosesser og verktøy for risikostyring. Den tredje forsvarslinjen er ansvarlig for uavhengige vurderinger av virksomhetens system for risikostyring og intern - kontroll, og utgjøres ofte av internrevisjonen. Respondentene i undersøkelsen ga generelt sine egne virksomheter gode skussmål for sin evne til å identifisere, vurdere og håndtere risiko i sammenheng med de «tre forsvarslinjer». Den første linjen i forsvaret (linjeledelsen) blir regnet som den sterkeste, hvor 78 % av respondentene sier denne funksjonen er effektiv når det gjelder å vurdere risiko og 75 % av respondentene sier denne funksjonen er effektiv i håndtering av risiko. For andre forsvarslinje (blant annet risikostyrings- og compliance-funksjoner) falt vurderingen noe (til henholdsvis Second line of defense: Identifying / assessing risk Second line of defense: Managing risk Third line of defense: Identifying / assessing risk Third line of defense: Managing risk Illustrasjon: KPMG Mangel på menneskelige ressurser hindrer god risikostyring Det er ingen tvil om at tekniske hjelpemidler og systemer spiller en avgjørende rolle i å samle og analysere data for å aggregere risiko, slik at ledere kan ta velinformerte beslutninger. Økende evne til å analysere store mengder data og kontinuerlig oppdatere ledere på interne og eksterne trender bør gi et mer helhetlig bilde av risikoene i virksomheten. Derfor er det ikke overraskende at 74 % av respondentene oppgir teknologi som viktig eller svært viktig for å integrere risikostyring i virksomheten. Teknologien er spesielt viktig for å integrere risikoinformasjon på tvers av funksjoner. Men undersøkelsen viser også en skepsis til tekniske løsninger; 26 % av respondentene sa at teknologi er heller marginalt viktig eller ikke viktig i det hele tatt i risikostyringen. Deres mangel på entusiasme deles av nesten en tredjedel av topp - lederne. Dette forteller oss at teknologi er viktig, men at teknologi alene ikke er løsningen. Menneskelige faktorer er avgjørende dersom selskapene skal håndtere kompleksiteten i risikostyringen. At 42 % av de spurte oppgir mangel på kompetanse SIRK nr

22 Risikostyring / Internkontroll som den viktigste hindringen for samhandling mellom risikoog kontrollfunksjoner i virksomheten kan gi grunn til bekymring. Få tviler på at investeringer i risikostyring er verdifullt hvis dette reduserer usikkerheten for å oppnå bedriftens mål. Men unøyaktige eller mangelfulle målinger er en utfordring. For bedre å kunne vurdere gevinster fra risikostyring bør virksomheter sikre etableringen av kvalitative og kvantitative KPI er med tydelig kobling til virksomhetens øvrige mål. Lack of human Complexity of There are more Potential benefits Geographic resources/expertise convergence process important priorities are not clear dispersion of our organization We use quantifiable measures to value the risk management program (e.g., capital costs, hedging or insurance costs, etc) We have no mechanism to measure the ROI of the risk management program Cost of convergence Resistance to Existing technology Lack of financial Other process change of Board is inadequate resources and executive level Illustrasjon: KPMG We review past results or risk events to assess the effectiveness of risk management response Stress testing of core business processes against specific scenarios We rely on the rating agency to review our risk management program Det kan være en stor utfordring å håndtere krav om bedre risikostyring og kontroll, samtidig som risiko også skal hånd - teres mer effektivt. Ansatte må ha god kompetanse til å kunne vurdere kompleksiteten i risikobildet, og de må ha evnen til å kommunisere med resten av virksomheten og forstå virksomhetens behov. Samtidig er ansatte i risiko- og kontroll - funksjoner avgjørende når risikokulturen skal bygges. Risikobasert beslutningstaking hemmes når det er en svak kobling mellom incentiver og risiko. De fleste respondentene innrømmer manglende bruk av risikobaserte metoder i beslutningstaking. En sannsynlig årsak er at 65 % av de spurte innrømmet at koblingen mellom risiko - styring og insentivsystemer var svak eller ikke-eksisterende. En god kobling mellom insentiver og risikostyring er viktig for å gi ansatte motivasjon til å vurdere både risiko og muligheter i beslutningene. 74 % av virksomhetene med en sterk kobling mellom insentiver og risikostyring oppgir at de hadde en god risikokultur, mens kun 42 % av virksomhetene med svak kobling mente det samme. Organisasjoner bør forbedre måling av gevinster fra risikostyringen En klar trend i undersøkelsen er at bedriftene bruker stadig mer ressurser for å styrke risikostyringen sin. Men selv i virksomhetene som svarte positivt på at de ønsket å styrke risikostyringen i tiden fremover, var det bekymringer rundt hvorvidt virksomheten oppnår merverdi som følge av dette. Mer enn en fjerdedel av respondentene (28 %) sier de ikke har noen mulighet til å vurdere gevinster fra investeringene i risikostyringen. Blant dem som oppgir at virksomheten har en avansert form for risikostyring, svarte 52 % at de brukte kvantiserbare teknikker for å måle risikostyringen. Illustrasjon: KPMG Hva betyr funnene? Rapporten viser tydelig at risikostyring tas på alvor. Med stadig økende kompleksitet og regulatorisk trykk har risiko - styring aldri vært viktigere. Likevel ser mange manglende kompetanse til å håndtere risiko. Virksomheter sliter med å bygge et helhetlig risikobilde, hvilket vanskeliggjør strategisk planlegging. Mange selskaper har ikke utført nedenfra og opp risikovurderinger eller utviklet en formell risikoappetitt. Virksomheter øker sine investeringer i risikostyringsløsninger i håp om at teknologi kan hjelpe, ikke minst med å bryte ned barrierer mellom risiko- og kontrollfunksjoner men opplever vurdering av verdien av disse investeringene som en utfordring. Ved å analysere fellestrekk blant virksomheter som vurderer seg selv høyt i de ulike kategoriene kan vi trekke ut enkelte suksessfaktorer. Disse virksomhetene har innarbeidet kontinuerlig forbedring av risikostyring og stiller store krav til denne. Virksomhetene innser at risikoene som skaper usikkerhet rundt deres fremtid er i stadig utvikling, og at deres kompetanser og evner må følge denne utviklingen. Samtidig ser disse virksomhetene at dokumentasjon av risikostyringens verdi er påkrevd for å rettferdiggjøre investeringer. Rapporten Expectations of Risk Management Outpacing Capabilities Its time for action 1 finner du på KPMGs hjemmesider (kpmg.no). Her finnes også en rekke eksempler på god praksis innen helhetlig risikostyring. 1 Expectations of Risk Management Outpacing Capabilities Its time for action. KPMG International, May SIRK nr

23 Risikostyring / Internkontroll Internrevisjonens rolle i kampen mot økonomisk kriminalitet Av Mads Blomfeldt og Kristian Thaysen, BDOs granskingsavdeling. Å forebygge økonomisk kriminalitet handler ikke bare om å redusere risiko, men også om å ta samfunns - ansvar. I tillegg til å ramme den enkelte virksomhet, påvirker ulike former for kriminalitet både sam - funnet og enkeltindivider på en negativ måte. Korrupsjon, sosial dumping, hvitvasking og miljø - kriminalitet har åpenbare negative konsekvenser for både samfunnsutviklingen og konkurransesituasjonen i næringslivet, og det er de svakeste i samfunnet som rammes hardest. Forebygging av økonomisk krimi - nalitet skjer først og fremst gjennom god internkontroll, og dette er internrevisjonens kjernekompetanse. Internrevisjonen bør derfor ha en sentral rolle i arbeidet med å vurdere virksomhetens rammeverk for å forebygge. De negative samfunnskonsekvensene av korrupsjon og andre former for økonomisk kriminalitet bør være den viktigste motivasjonen for norske virksomheters forebyggende arbeid. Økonomisk kriminalitet og korrupsjon representerer dessuten et betydelig risikobilde for den enkelte virksomhet, herunder risiko for straff, bøter, tap av omdømme og ikke minst risikoen for å bli utestengt fra anbudskonkurranser. I enkelte tilfeller kan også de direkte økonomiske tapene som følge av misligheter innebære utfordringer for selskapets likviditet, eller påvirke selskapets verdi i en salgsprosess. I tillegg til anbefalinger fra Økokrim, og organisasjoner som Transparency International og OECD, har både amerikanske og britiske myndigheter gitt Kristian Thaysen og Mads Blomfeldt. Foto: BDO retningslinjer for hvordan virksomheter skal arbeide med å forebygge og av dekke korrupsjon. Det er enkelte ulik heter både i lovgivningen og hvilke krav som forventes, men de overordnede prinsipper er langt på vei like. Det viktigste er imidlertid å forhindre korrupsjon i vid forstand, og da blir nyansene mindre avgjørende. Et godt utgangspunkt kan for eksempel være å legge Transparency Internationals definisjon til grunn: Korrupsjon er misbruk av makt i betrodde stillinger for personlig gevinst. Økokrim har via Dagens Næringsliv tidligere i år formidlet ni sjekkpunkter både for å unngå foretaksstraff og eventuell unngå etterforskning i forbindelse med korrupsjonshandlinger begått av ansatte. Det vil således kunne være av svært stor betydning om selskapet i sitt arbeid med å forebygge korrupsjon har på plass de elementer som Økokrim fremhever. Økokrim sine ni sjekkpunkter er i all hovedsak i tråd med den etablerte beste praksis, men fortjener en nærmere forklaring for at de som har ansvaret for dette, styret og bedriftsledere, faktisk skal ha mulighet til å vurdere om de er rustet i den grad som forventes. Korrupsjon er bare en av flere typer økonomisk kriminalitet virksomhetene kan rammes av. Annen type kriminalitet som typisk rammer norske virksomheter kan være miljøkriminalitet, underslag og økonomisk utroskap, bedrageri, regnskapsmanipulasjon og ikke minst ulike former for informasjonstyveri eller cyber crime. Det er svært få virksomheter som bare møter korrupsjonsrisikoen i sitt risikobilde. Vi mener derfor at virksomheter bør ha en mer helhetlig tilnærming til temaet og sette fokus på hele bildet knyttet til økonomisk kriminalitet. Noen virksomheter møter en større risiko for SIRK nr

24 Risikostyring / Internkontroll Viktige elementer for å forebygge økonomisk kriminalitet Illustrasjon: BDO korrupsjon enn andre, og dette må da selvsagt gjenspeiles i de kontrolltiltak som etableres. I bunn og grunn handler dette om god internkontroll. Det handler om at topp - ledelsen må sette standarden, det må gjennomføres risikovurderinger og ikke minst er det essensielt at de kontrolltiltak som etableres, adresserer virksomhetens risiko. Gjennom BDOs rammeverk for å forebygge misligheter og korrupsjon for - klarer vi de ni sjekkpunktene på en enkel måte som gjør at leseren kan vurdere om ens foretak er tilstrekkelig rustet. Vårt rammeverk er basert på COSO-rammeverket. Vårt rammeverk er illustrert under, og de mest sentrale momentene er nærmere redegjort for under illustrasjonen. Kontrollmiljø handler om kultur, prinsipper og prosedyrer og ikke minst styret og toppledelsen sin kommunikasjon rundt forebygging av økonomisk kriminalitet. Dette er helt avgjørende for å etablere en kultur der korrupsjon blir forhindret. Selskapet må etablere og kommunisere prinsipper knyttet til hva som er akseptabel adferd og, ikke minst, konsekvenser dersom ansatte går ut over akseptabel adferd. Virksomhetens risikobilde, herunder korrupsjonsrisikoen må reflekteres i virksomhetens etiske regelverk. Enkelte virksomheter opererer i bransjer og i land der medarbeidere møter på andre problemstillinger enn hva som kanskje er vanlig i Norge. Dette kan for eksempel være krav om betaling av 5000 dollar for å få havnesjefen til å sørge for at skipet med viktige materialer får anledning til å legge til kai umiddelbart. Virksomheten vil kunne risikere å tape betydelig beløp ved forsinkelser og er avhengig av denne materialleveransen. I slike tilfeller må den enkelte medarbeider være godt kjent med selskapets prinsipper og prosedyrer og være trygg på ledelsens støtte i de valg som tas. Gode systemer for varsling er ansett som kanskje det aller viktigste tiltaket for å avdekke misligheter og korrupsjon. Virksomheten bør legge til rette for varsling både fra ansatte (i tråd med arbeidsmiljølovens krav) og for eksterne. Vi gjør her oppmerksom på personvernlovgivningen og at varslingsordning for eksterne krever konsesjon fra Datatil - synet. Dette vil, i følge Datatilsynet, bli vurdert endret. Varslingskanaler må gjøres kjent på virksomhetens internett og/eller intranett. Gode saksbehandlingsregler og varslervern er svært viktig i denne sammenheng. Vurdering av risikobildet - for å kunne ha et velfungerende system for å forebygge økonomisk kriminalitet, herunder korrupsjon er man avhengig av å kjenne risikobildet. Risikobildet er varierende, alt etter hvilke land man opererer i, hvordan man er organisert, hvilke bransjer man opererer i osv. For å ha god oversikt over hvilken risiko som må adresseres må risikoen kartlegges. Risikoen for korrupsjon bør kartlegges ved å involvere relevante deler av organisasjoner, både i linje og i stab. Spesielt de ansatte som kan være mest berørt, typisk selgere, innkjøpere og andre i tilsvarende funksjoner, bør involveres. Krav til gjennomføring av risikovurderinger bør 1 Riksrevisjonens rapport om den årlige revisjon og kontroll for budsjettåret Kriminalitets- og sikkerhetsundersøkelsen utført av Næringslivets Sikkerhetsråd 24 SIRK nr

25 Risikostyring / Internkontroll være formalisert, herunder krav til frekvens. Ved store endringer i virksomhetens omgivelser, f eks, inntreden på nye markeder, ved store omorganiseringer mv., bør det vurderes å gjennomføres særskilte og/eller nye risikovurderinger. Undersøkelser, både Riksrevisjonens undersøkelse 1 og KRISINO-under - søkelsen , viser at virksomheter i både offentlig og privat sektor i alt for liten grad gjennomfører risiko - vurderinger. Kontrollaktiviteter - virksomheten må etablere kontrollrutiner som adresserer viktig risiko, spesielt korrupsjonsrisikoen. Kanskje noe av det viktigste er gode rutiner for sikre at virksomheten har tilstrekkelig kunnskap om sine ulike samarbeidspartnere. Dette sikres gjennom bakgrunnsundersøkelser, så - kalte (Ethical) Integrity Due Diligence. Spesielt ved bruk av agenter, salgs- og markedsrepresentanter eller lignende er dette viktig. Ved kjøp av virksomhet er det også viktig å ha god innsikt i transaksjonens motpart. Virksomhetens kontrollaktiviteter må ta utgangspunkt i gjennomførte risikovurderinger. Det er svært viktig at virksomheten har en oversikt som viser sammenhengen mellom identifisert risiko og etablerte kontrollaktiviteter. Informasjon og kommunikasjon - ansatte må få tilstrekkelig opplæring og ofte vil det være hensiktsmessig at ulike kategorier ansatte får ulik opplæring. Ansatte i stillinger som lett kan bli utsatt for krav om bestikkelser, bør få særlig opplæring, herunder dilemmatrening, for å være rustet mot slike situasjoner. Regnskapspersonell bør være trenet til å avdekke faresignaler og indikasjoner på korrupsjonsbetalinger og tilsvarende. Virksomheten bør ha klare prosedyrer for intern og ekstern kommunikasjon med hendelser eller mistanke om hendelser og ikke minst tror vi det er viktig at virksomhetens ansatte deler kunnskap og erfaringer, også på dette området. Til slutt minner vi om at virksomheten må ha teknologi som understøtter virksomhetens arbeid med å forebygge økonomisk kriminalitet. Kristian Thaysen. Foto: BDO Kontinuerlig overvåking og for - bedring av tiltak - virksomhetens arbeid med å forebygge og avdekke økonomisk kriminalitet og korrupsjon må løpende overvåkes for å sikre at det i tilstrekkelig grad adresserer virksomhetens risiko - bilde og er velfungerende. Tiltak, eksempelvis etablert varslingsordning, må regelmessig evalueres. Både ledelse og styre har ansvar for at virksomheten har etablert et rammeverk som beskrevet i denne artikkelen, dog tilpasset den enkelte virksomhet og dens særegen - heter. Hva med internrevisjonens rolle? Vi ligger til grunn at internrevisjonens rolle er å støtte den daglige ledelsen og virksomhetens styrende organer gjennom uavhengige vurderinger av virksom - hetens risikostyring og internkontroll. Med en slik forutsetning synes det åpenbart at internrevisjonen både kan og bør spille en svært viktig rolle for å sikre at virksomheten nettopp har etablert et program som vi har beskrevet. Vi anbefaler at virksomhetens rammeverk for å forebygge, avdekke og håndtere øko - nomisk kriminalitet bør inn på intern - revisjonens årsplan. En full og over - ordnet gjennomgang bør gjøres regelmessig, og dessuten bør det settes særlig fokus på enkeltelementer som for eksempel rutiner og prosedyrer for krav til (Ethical) Integrity Due Diligence av risikoutsatte tredjeparter og etterlevelse av disse rutinene. Kampen mot korrupsjon og økonomisk kriminalitet vil neppe vinnes en gang for alle. Men med et effektivt og helhetlig program for å forebygge og avdekke økonomisk kriminalitet, som er revidert av virksomhetens internrevisjon, vil virksomheten kunne bidra til å redusere omfanget, og dermed også skadevirkningene av korrupsjon. Risikoen for virksomheten blir betraktelig redusert, og virksomheten vil, i følge Økokrim, kunne unngå etterforskning og straff. SIRK nr

26 BDO RISK ADVISORY SERVICES SØKER MEDARBEIDERE I BDO lever vi etter verdiene nær, åpen og modig. Kunder opplever oss som reaksjonsdyktige og initiativrike. Åpenhet skal bidra til forbedring. Vi skal evne å tenke nytt og skape de gode løsningene. Vi skal stille de riktige og viktige spørsmålene i jakten på å sikre og skape verdier for våre kunder. Vi står ikke stille, men søker alltid utvikling. Det betyr at vi må ha mot til å utfordre både kundene, markedet og oss selv. Risk Advisory Services i BDO består av spesialiserte og erfarne medarbeidere som jobber med IT-revisjon, internrevisjon, risikostyring, internkontroll, informasjonssikkerhet samt gransking og mislighetsforebygging. Vi søker løpende kandidater til alle disse tjenesteområdene. For mer informasjon og for å søke på stillingen, kontakt: Karl-Ludvig Mauland - tlf: karl-ludvig.mauland@bdo.no BDOS VARSLINGSTJENESTE DET VIKTIGSTE ENKELTTILTAKET FOR GOD INTERNKONTROLL Oppfyller din virksomhet lovbestemte krav til varsling? BDOs varslingstjeneste sikrer at du overholder arbeidsmiljølovens krav til varsling (jf. AML 2-4, 2-5, og 3-6), samt Datatilsynets krav til personvern. BDOs varslingstjeneste: Komplett løsning som kan tas i bruk umiddelbart Sikrer anonymitet Trygg, tillitsskapende og effektiv Kontakt oss for mer informasjon: Tlf: forensic@bdo.no BDO - Et bevisst valg 26 SIRK nr

27 Bedre nattesøvn Internrevisjon Av Trine Skei Grande, leder i Venstre Offentlig styring og kontroll handler på mange måter om måloppnåelse. Gang på gang løftes temaet i Kontroll- og konstitusjonskomiteen på Stortinget. Komiteens jobb er å kontrollere om regjeringens politikk er i overensstemmelse med Stortingets vedtak og intensjoner. Under en høring i komiteen i fjor stilte jeg spørsmål om internrevisjon kan være et nyttig verktøy for å bedre kontrollsystemene som skal sikre riktig bruk av offentlig midler. Jeg opplevde at flere igjennom høringen ikke kunne gi et godt svar på dette. Jeg skjønte også at internrevisjon ikke engang var vurdert. Det er en tankevekker. Jeg mener det er viktig å vurdere alle verktøy som kan bedre styring og kontroll, og at internrevisjonen er et slikt verktøy. For å kunne vurdere hvorvidt virksom - heter bør etablere internrevisjon, er det essensielt å forstå hva det dreier seg om. Det er ikke snakk om en form for «tall - revisjon», men handler om systemer og prosesser. Definisjonen av internrevisjon beskriver funksjonen som «en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til organisasjonen oppnår sine målsettinger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og governance.» Dette høres både positivt og ganske voldsomt ut. Det jeg legger spesielt merke til er ordene uavhengig og objektiv. Det må være nyttig for toppledelsen i et departement å motta uavhengige og objektive råd om organisasjonen. Departementsråden er ansvarlig for at departementet, under - liggende etater og virksomheter drives på en hensiktsmessig og god måte. Kan internrevisjon bidra til at departements - råden kan sove litt bedre om natten? Jeg tror det er mange virkemidler som kan bidra til mer effektiv styring av offentlig sektor. Internrevisjon er en måte å forbedre en organisasjon og for å bedre måloppnåelsen. Nettopp i offentlig sektor er det viktig at ledelsen jevnlig vurderer om virksomheten er organisert slik at en oppnår de målene en vil nå. Å se på organisasjonen utenfra kan være veldig nyttig. OECD kom tidligere i år med en ny Value for Money-rapport. I disse rapportene søker man å identifisere positive utviklingstrekk i organiseringen av offentlig sektor, og gi anbefalinger som skal, sagt på godt norsk; gi valuta for pengene. Med dette menes økt kvalitet (value) på tjenester, med en mer effektiv (money) offentlig sektor. I årets rapport anbefales det blant annet å etablere små intern - revisjonsenheter i departementene. Det er en interessant anbefaling. I dag har kun 12 statlige virksomheter og ett departement etablert internrevisjons - enheter. I Sverige er det krav til at alle større offentlige virksomheter skal ha en internrevisjon. Det er finnes ingen felles kriterier eller rammer for hvem som skal ha internrevisjon i sin virksomhet. Finansdepartementet har nedsatt et utvalg som skal se nærmere på etableringen av internrevisjon i offentlige virksomheter. Utvalget skal vurdere hvordan best mulig organisere en internrevisjonen i offentlig sektor, ressurser og kompetanse, relasjonen til Riksrevisjonen, og rapporteringslinjer til overordnet departement. Det er ledelsen ansvar å etablere mål og treffe tiltak som skal sikre at målene oppnås. Etablering av tiltak skal, i følge økonomiregelverket for staten, baseres på en risikovurdering. 22. juli-kommisjonens analyse slo blant annet fast at ledelsen evne og vilje til å etablere mål, iverksette tiltak og organisere virksomheten på en hensiktsmessig måte for å nå målene, har vært mangelfull. Dette er trekk som dessverre går igjen på flere områder i offentlig sektor. En internrevisjon kan vurdere og bekrefte en virksomhets risikoforståelse og se etter at risikohåndteringen bidrar til måloppnåelse. I Gjørv-rapporten blir det også påpekt en manglende forståelse av ansvar og roller, og en såkalt «ansvarspulverisering». Foto: Stortinget/Terje Heiestad Internrevisjon ser etter hvorvidt tiltak faktisk blir gjennomført, at roller og ansvar er forstått og fungerer hensiktsmessig. Jeg tror det er viktig at vi får mer fokus på styring, kontroll og effektivitet i offentlig sektor, og at vi ser dette opp mot fastsatte mål. Vi ser at gode tiltak kan bli dyrere enn først planlagt, eller at gjennomføringen uteblir med dårlig planlegging. Jeg vil påstå at Olje- og energidepartementets risikostyring med Mongstad-anlegget i Hordaland hadde svakheter. Mye tyder på at det også var svakheter i Gassnovas internkontroll ved CO2-håndtering på Mongstad-anlegget. Dette har medført høyere kostnader og lengere gjennomføringstid. Det er stor variasjon i virksomheter organisering av arbeidet med intern kontroll og styring frem mot måloppnåelse. Dette resulterer dessverre altfor ofte i sløsing av offent lige ressurser. Det er en økende internasjonal trend at man ser verdien av en uavhengig, objektiv vurdering av virksomheter. Dette må vi også følge opp i offentlig sektor. Klarer vi det, går vi en spennende utvikling i møte. SIRK nr

28 Internrevisjon Knut Løken en stor inspirator Av Reidar Døli, Oslo Børs VPS Knut Løken er et høyt skattet æresmedlem i Norges Interne Revisorers Forening (NIRF) og er fortsatt en ivrig støttespiller i revisjonsmiljøet. Han ble tidligere i høst tildelt Kongens Fortjenstmedalje for sitt virke innen musikk og revisjon. Redaksjonskomiteen fant dette som en god anledning til å invitere Knut til en markering med kaffe og kake. Knut ble møtt i NIRFs lokaler av Reidar Døli, Ellen Brataas, Hilde Tanggaard og Svein Stabekk. Markeringen ble også benyttet til å dele erfaringer om hvordan revisjonsfaget har utviklet seg over tid i Norge. Knut startet med revisjon i 1952, hvilket betyr at han har fulgt med på utviklingen innen faget i 50 år. Selv om han nå er pensjonist følger han fortsatt med fra sidelinjen. Da Knut startet med revisjon, var revisjonens arbeid ensbetydende med kontroll av bilag, tall og summering av journaler. Alle transaksjoner skulle kontrolleres og kontrollene ble behørig dokumentert. Den gang var ikke internkontroll et begrep, men det var noe som en revisor gjorde. Noe senere, slik Knut refererer til, begynte man i revisjonen å arbeide med noe som ble kalt for rutinerevisjon, dvs med revisjon som skulle bekrefte at alle rutiner og instrukser ble fulgt. Denne typen revisjoner hadde selvfølgelig en viss nytteverdi, men eventuelle vurderinger av om formålet med de forskrevne rutinene ble oppnådd, kom først i neste fase. Parallelt med utviklingen innen revisjonsfaget skjedde store endringer i de virksomhetene som revisorene var satt til å revidere. I bankene var man tidlig ute med moderne teknologi og ved at de tok i bruk EDB. Nye produktområder som vokste frem bidro ytterligere til å stille krav til revisorene. Foto: Karl Braanaas/Budstikka. Slike banebrytende endringer i omgivelsene skapte spenninger og diskusjoner innen revisjonsmiljøet. Noen var fornøyd med det bestående, mens andre stod for nytenkning. Revisors rolle i forhold til styret og administrasjonen, og hvorvidt revisor skulle opptre som en rådgiver for styret var temaer som ble diskutert. Et annet aktuelt spørsmål fra den tiden var om revisor skulle følge opp iverksettelsen av beslutninger. I denne utviklingen presset enkelte ressurser på for å vinne terreng for revisjonen. Knut sto som en eksponent for å fremme utvikling innen revisjonsfaget. Selv om det kunne forekomme opphetede diskusjoner og steile fronter, hvor Knut fra tid til annen befant seg i skuddlinjen for kritikk, har han positive minner fra denne tiden. Anekdotene kommer på løpende bånd. I dag er det lett å dra på smilebåndet når en hører om holdninger blant revisorer og hvordan de arbeidet. Knut poengterer at han fortsatt har stor respekt for revisorene fra tidligere tider. De gjennomførte et samvittighetsfullt arbeid og for mange var revisjonen noe mer enn en jobb, det var nærmest et kall. Arbeidet de utførte var viktig og samfunnsnyttig ut fra den tid de levde i. Et interessant spørsmål knytter seg til revisors uavhengige stilling før og nå. Knut viser til at det tidligere var til dels stor avstand mellom revisor, ledelsen og de ansatte i virksomheten. Revisor var kledd i mørk dress og det var lite kommunikasjon mellom de berørte utover det som revisjonen krevde. I det hele tatt var revisor avsondret fra den øvrige virksomheten, også i lunsjpausen. Revisorene var respektert, men respekten gikk kanskje noen ganger over i frykt. En følge av dette var at revisorene sam - tidig holdt godt på sin uavhengighet. I dag inviteres revisor med i diskusjoner og involveres i mye større grad løpende i virksomhetenes arbeid. I spørsmålet om dette er en ønsket utvikling, humrer Knut og sier at der kommer alderen hans inn. 28 SIRK nr

29 Internrevisjon Han sier at han i utgangspunktet har en konservativ tilnærming til dette spørsmålet, og mener at det ligger en form for konflikt i det å skulle holde på den nødvendige avstanden og samtidig ha muligheten til gi råd. Men Knut er likevel enig om at det må være greit å spørre revisor som råd, men revisor trenger ikke uttale seg eksakt om hvordan saken skal løses. For Knut er det en stor forskjell i aktiv og passiv rådgivning. Knut poengterer at den nødvendige autoritet og avstand oppnår revisor i dag i kraft av sin faglige dyktighet. Knut blir også fortsatt sitert på sitt utsagn: «intern revisjon er et konsekvensfag hva som gjøres og hvordan det utføres er avhengig av forholdene det utføres under og hva formålet er». Den utvikling i revisjonen som Knut har beskrevet er vel nettopp dette. Knuts kommenterer med et glimt i øyet at dette er nok noe av det bedre han har sagt. Knut konkluderer på at utviklingen innen internrevisjon har vært udelt positiv. Både faglig sett og med det spekteret av oppgaver som revisorene har og de metoder de legger til grunn. Knut oppfatter det også som interessant at nye utdannings - retninger som samfunnsvitere tiltrekkes av revisjonsfaget og nikker over til Hilde. Etter Knuts mening er mange av de spørsmålene som revisorene tidligere håndterte selv i dag besvart og regulert i standarder. Dette kan i sin tur medføre at det ikke diskuteres nok innen faget. La oss håpe at det ikke legger en demper for videre faglig utvikling. Intervjueren har ikke unngått å registrere to begivenheter. Den ene er Knuts 82 årsdag dagen i forveien. Den kommer for så vidt av seg selv, men for det fortjener jubilanten blomster. Den andre begivenheten kommer ikke av seg selv, nemlig at Knut Løken er tildelt Kongens Fortjenstmedalje tidligere i høst. Det må være en stor ære for Knut, og vi tolker det også som en fjær i hatten til vår profesjon. Vi spør om det er greit at NIRF får en liten aksje i denne fortjenestemedaljen. Som forventet sier Knut at det selvfølgelig er greit og at det var veldig hyggelig å motta fortjenestemedaljen og at han setter pris på å bli satt pris på. Knut forteller videre at musikk og revisjon har vært en stor del av hans liv. Til spørsmål om hva som er fellesnevneren mellom musikk og revisjon tenker Knut seg om et kort øyeblikk før han svarer at er at begge deler er interessant, morsomt og man blir glad i det. Det at det fortsatt blomstrer etter Knut på begge arenaer er NIRF et bevis på. Det samme gjelder for musikken der Knut for kort tid siden var på konsert i regi av Det Norske Kammerorkester. Tre av ni musikere i ensemblet var tidligere elever av Knut. Intervjueren satt som ivrig tilhører på Knuts forelesninger på NHH på 80-tallet. Senest for noen år tilbake holdt Knut en utmerket takk for maten tale på foreningens konferanse. Vi stiller oss spørsmålet hva disse egenskapene som kommunikator og kunnskapsformidler kan ha betydd i hans virke. Knut forteller at han har vokst opp i en familie av pedagoger og at han selv også var tidlig engasjert i undervisning. For Knut medførte undervisningsaktiviteten to store fordeler. Illustrasjon: Cappelen Damm Akademisk. For det første ble han nødt til å tenke nøye gjennom faget og lære seg det selv for i det hele tatt å kunne undervise. For den andre var det gjennom undervisningen han traff representanter for den neste generasjonen av revisorer. De var åpne, kritiske og ville forstå. Dette var flinke mennesker som ville bidra og Knut slapp disse unge til. For Knut ga dette yrket en mening. Internrevisjon var et flott yrke, fortsetter han, det var mye opp til deg selv å påvirke faget og man kunne jobbe selvstendig. Revisjon har hele tiden vært hevet over konkurranse mellom virksomhetene hvor man kunne dele kunnskap på et faglig nivå, hvilket har vært veldig bra. Intervjueren påpeker avslutningsvis at felles for innsatsen på musikkarenaen og innen internrevisjonen må være Knuts evne til å inspirere andre til å bli gode. Han svarer at det har han ikke tenkt på tidligere, men at han for så vidt kan si seg enig. Knut ga til slutt uttrykk for at han er forbauset over at han fortsatt er interessant og aktuell så mange år etter at han ga seg som yrkesaktiv. Vi som delte ettermiddagen med Knut er ikke det. SIRK nr

30 Internrevisjon Ny utredning om bruk av internrevisjon i statlig sektor Av Ola Otterdal, Direktoratet for økonomistyring. Finansdepartementet satte i september 2013 ned en arbeidsgruppe for å utrede mer forutsigbare rammer for bruk av internrevisjon i staten, ledet av avdelingsdirektør Knut Klepsvik. Utredningen kommer i kjølvannet av OECDs rapport Value for Money in Government (2013) som kommer med anbefalinger til Norge om bruk av internrevisjon i norsk statsforvaltning. Målet med utredningen er å legge til rette for beste praksis i innretning og bruk av internrevisjon, og å etablere et grunnlag for en mer effektiv arbeidsfordeling mellom internrevisjon og ekstern revisjon. Prosjektet har som ambisjon å vurdere og foreslå løsninger, herunder i økonomiregelverket, for blant annet: 1. Behovet for forpliktende faglige standarder som skal gjelde for internrevisjon i staten. 2. Rapportering og dialog med over - ordnet departement om internrevisjon. 3. Relasjonen til Riksrevisjonen. 4. Organisering av internrevisjon, herunder eventuelt kjøp av intern - revisjonstjenester fra andre. 5. Ressurser, kompetanse, rekruttering og eventuell sertifisering. Arbeidsgruppen vil også se på behovet for mer utbredt bruk av internrevisjon i staten og eventuelt foreslå kriterier for hvilke statlige virksomheter som, i samråd med sitt departement, bør vurdere å etablere en internrevisjonsenhet. Utredningen vil i stor grad bygge på erfaringer fra norsk statsforvaltning og enkeltvirksomheters bruk av intern - revisjon. Arbeidsgruppen vil støtte seg på en referansegruppe med representanter fra noen statlige virksomheter med intern - revisjonsenheter: NAV, Skatteetaten, Statens vegvesen og Universitetet i Oslo. Arbeidsdepartementet, Finans departe - mentet, Forsvarsdepartementet, Kunnskapsdepartementet, NIRF og Riksrevisjonen vil også delta i referansegruppen. Andre statlige virksomheter med internrevisjonsenheter vil bli trukket inn bl.a. gjennom seminarer. I OECD-rapporten Value for Money in Government ble det påpekt at Norge har standarder for internkontroll, men ikke for internrevisjon. Det anbefales at Norge regulerer bruken av internrevisjon og at man også vurderer å etablere små sentrale internrevisjonsenheter i de viktigste departementene. Eventuelle nye standarder for internrevisjon bør, i følge OECD, også inkludere krav til bemanning, rekruttering, opplæring og sertifisering av internrevisorer. Arbeidsgruppens mandat er ikke direkte knyttet til en oppfølging av OECDs anbefalinger. I Norge er det per i dag bare finans - markedet som har krav om internrevisjon. Kravene ble fastsatt i forskrift med virkning fra 1. januar 2003, etter at det i 1994 var kommet krav til internkontroll. Bestemmelsene ble oppdatert senest i Det har pågått en debatt om behovet for internrevisjon i statlig sektor de siste årene. I kontrollhøringen i Stortinget 1. oktober 2012 og i stortingsbehandlingen av saken om departementenes tilskuddsforvaltning 10. januar 2013, tok stortingsrepresentant Trine Skei Grande opp behovet for internrevisjon. Det å ha kloke, gode internrevisjoner som både har fokus på varslingskultur og på at det er lett å si fra om ting man stusser på, og som gjør at man ikke nødvendigvis trenger å gå til Riksrevisjonen for å påpeke ting, tror jeg hadde økt tilliten, skjerpet kvaliteten og også ført til at du hadde fått en bedre forvaltning generelt, uttalte Skei Grande under stortingsbehandlingen. Direktoratet for økonomistyring (DFØ) kartla i 2009, på oppdrag fra Finansdepartementet, bruken av intern - revisjon og internkontroll i statlig sektor i Norge. Praksisen for bruk av internrevisjon i Sverige og Danmark inngikk også som en del av den samme kartleggingen. I 2011 utga DFØ en veileder for statlige virksomheter som vurderer å etablere en internrevisjonsfunksjon. Utgangspunktet var at statlige virksomheter, eventuelt i samråd med overordnet departement, står fritt til å vurdere etablering av internrevisjon og til å konkludere i en slik vurdering. Kartleggingen i 2009 viste at 12 statlige forvaltningsorganer hadde etablert en internrevisjonsenhet. Etter dette har flere vurdert etablering, og antallet internrevisjoner har økt. Det finnes ingen offisiell oversikt over hvor mange som har kommet til, organisering, hvilke standarder de følger osv. Selv om de fleste virksomhetene som har etablert internrevisjon er både store og kom plekse, er det ikke gitt at det er nettopp de med størst behov som faktisk ender opp med å etablere internrevisjoner. I Sverige har man en egen forskrift (förordning) for internrevisjon i staten, og det gjøres årlig en oppdatering av hvilke virksomheter forskriften gjelder for. I 2013 gjelder den for 66 virksom - heter. I Danmark er internrevisjonenes hovedfokus finansiell revisjon, og grensesnittet til Riksrevisjonen er mer formelt og tydelig. Virksomheter som oppretter en internrevisjon inngår en avtale med Riksrevisjonen, og man ser Riksrevisjonens og eventuell intern - revisjons ressursbruk i sammenheng. Grunnen til dette er at Riksrevisjonen kan basere seg på arbeidet fra internrevi - sjonen. I tillegg til Sverige og Danmark, vil arbeidsgruppen også se på erfaringene fra land som Storbritannia og Nederland. Det er ventet at arbeidsgruppen avgir sin rapport i løpet av SIRK nr

31 information services and digital security solutions, with one of the most extensive and innovative product portfolios in Europe. Our ambition is to become an even stronger partner to our customers by supporting their business nationally as well as internationally. We want to make the handling of both financial and information assets easier and more secure. Nets employs over 2,600 people and has its registered office in Copenhagen, as well as competence and commercial centres in Oslo, Stockholm, Helsinki and Tallinn. Find out more about us at Job type: Permanent Working hours: Full-time Working days: Day Application deadline: Expected Start Internal auditor Contacts: Date: Peder Toft to be agreed Internal Systems Audits vision is to create internal value in Nets through consultancy and recommendations, and to create external value and trust for Nets through audits of Mobile: controls and processes of relevance for our customers. We are 11 people in internal 2766 Location: Systems Audit in Oslo, Copenhagen and Helsinki. We work closely together with our Oslo external IT-auditor KPMG in accordance with Danish legislation. Send application to Key responsibilities and tasks Audit and consultancy regarding applications and processes. Audit and consultancy regarding critical projects. Audit and consultancy regarding general IT controls, including outsourced IT operation etc. You will have a close cooperation with the external systems auditor, as your work often will be part of external reporting (ISAE 3402). Participate in audits in Denmark and Finland in areas where you have special competences. Act as point of contact in Norway for the external audit firms, that Nets use to perform part of the audit. Act as point of contact in Norway, when other members of the audit team participate in audits in Norway. Contacts: Peder Toft Mobile: Home page: Preferred background and qualifications Strong process audit skills, preferably with experience from external audit or consultancy firm Experience with IT audit of applications, general IT controls, processes and projects. Relevant certifications (CISA, CIA or other). Language: Scandinavian (NO/DK/SWE) and English. Preferred personal qualities You are persistent and sharp on details without losing the overview. Analytical and structured. You can formulate yourself in writing and it is natural for you to document your work. You like to interact with colleagues across different areas and organisational levels. You are a teamplayer, but can also work alone. SIRK nr

32 Internrevisjon Internrevisjonsfunksjonen Intervju med Heidi Holwech og Morten Thorbjørnsen i Finanstilsynet Av Randi Almås, Norges Bank, og Reidar Døli, Oslo Børs. Et hovedtema i første nummer av SIRK i 2013 var internrevisjonens rolle og organisering. Vi så på insourcing og outsourcing og publiserte en spørreundersøkelse med ansatte internrevisjonsledere. I tillegg presenterte vi enkelte intervjuer med personer i virksomheter der det nylig har skjedd endringer i modell. SIRK ønsker også å få et innblikk i hva Finanstilsynet, som regulatorisk myndighet, mener om internrevisjonsfunksjonen. Vi møtte Heidi Holwech og Morten Thorbjørnsen fra Seksjon for banktilsyn, som delte sine tanker med oss. De to rådgiverne fra Finanstilsynet er aktive bidragsytere til kompetanseutvikling for NIRFs medlemmer. I år har de holdt foredrag om Basel III / Solvency II, arrangert av NIRFs nettverk for finanssektoren 11. april. Under det årlige seminaret i NIRFs nettverk for revisjonsledere i finans den 2. september snakket de også om Internrevisors rolle i Basel III / Solvency II og Internrevisjons funksjonen i norske banker. Finanstilsynets representanter kunne fortelle at det gjennom Solvency II i EU vil komme krav om internrevisjon i alle for - sikringsselskaper. Selskaper som er en del av finanskonsern vil også bli regulert og vil være omfattet av både Solvency II og internkontrollforskriften. Heidi Holwech Morten Thorbjørnsen Noen betraktninger om intern revisjonsfunksjonen I forbindelse med Finanstilsynets høringsbrev om revisjon av Internkontrollforskriften i 2002 var det drøftinger om innføring av krav om internrevisjon i finansnæringen. Kravet ble diskutert med bakgrunn i behov for bedre risikostyring og som følge av nytt kapitaldekningsregelverk. Flere andre land hadde allerede innført et slikt krav. Temaet ble oppfattet som svært viktig både hos daværende Revisjonssjefkretsen (nå Nettverk for revisjonsledere i finans) og Norsk Finansrevisorforening (som senere er gått inn i NIRF) i deres høringsuttalelser. Kredittilsynet (Finanstilsynet) gjorde i 2005 en vurdering av internrevisjonsfunksjonen i 12 større finansinstitusjoner. En rapport om dette kom 28. juni Noen interessante observasjoner og kommentarer i rapporten fra dette tema tilsynet var: Der en har valgt utkontraktering synes det å ha vært grundige og ryddige beslutningsprosesser. Det er svært varierende praksis mht. internrevisors deltakelse i styremøter og annen kontakt med styrets leder. I enkelte av institusjonene ble det påpekt at styrets bekymring for om kostningene ved internrevisjon synes å ha ført til at en legger seg på et slags minimumskrav, men da ikke oppnår «kritisk masse» i revisjonsarbeidet etter Kredittilsynets vurdering. Internkontrollforskriftens 4-2 utelukker ikke at internrevisjonsfunksjonen helt eller delvis kan utkontrakteres. I sin rapport framhevet Kredittilsynet gjeldende rammer for ekstern og intern revisor, avtaleregulering og styrets rolle som internrevisjonens oppdragsgiver. Pliktig internrevisjon innenfor finansnæringen: En oversikt fra Finanstilsynets årsmelding for 2012 viser noen tall. Innen bank og forsikring var antallet foretak under tilsyn pr : 109 Sparebanker 17 Forretningsbanker 12 Livforsikringsselskaper 43 Skadeforsikringsselskaper Forskrift om risikostyring og internkontroll sier at dersom et slikt foretak i mer enn 12 måneder har hatt en samlet forvaltningskapital for egen og kunders regning på mer enn 10 milliarder kroner - eller inngår i finanskonsern med samlet forvaltningskapital som overstiger dette - er foretaket pålagt å ha internrevisjon. Regelen omfatter nå 28 av bankene, 7 av livselskapene og 3 av skadeselskapene. Oslo Børs ASA, Verdipapirsentralen ASA og Oslo Clearing ASA samt alle verdipapirforetak er også pålagt å ha intern - revisjon gjennom denne forskriften og er samtidig underlagt tilsyn fra Finanstilsynet. 32 SIRK nr

33 Internrevisjon Kredittilsynet presiserte at uansett utkontraktering må det være intern kompetanse til å vurdere om intern - revisjonsleveransen er tilfredsstillende. Foretaket bør vurdere å utpeke en egen oppdragsansvarlig som skal ha ansvaret for oppfølging av at avtalen overholdes. Det var på dette tidspunktet ikke etablert ordninger med co-sourcing i de bankene som inngikk i tematilsynet. I institusjoner hvor man ikke tidligere har hatt internrevisjon eller har skiftet fra en internt ansatt til outsourcing, kan det være en problemstilling hvordan en kan opparbeide eller vedlikeholde kompetanse til å følge opp outsourcings avtalen. Vi er nysgjerrige på om Finanstilsynet har gjort nye erfaringer eller endret syn på disse temaene. Det må understrekes at Finanstilsynet ikke har gjort noen undersøkelse eller uttalt en offisiell holdning, spesifikt når det gjelder spørsmålet om intern internrevisjon eller outsourcet løsning. Med utgangspunkt i undersøkelsen, artiklene og intervjuene i SIRK nr. 1/2013, og basert på egne erfaringer fra tilsyn med banker, har dere gjort dere noen tanker for eller mot utkontraktering av internrevisjonen? Det er vanskelig å gi et klart svar på dette. IIAs Standarder for utøvelse av internrevisjon ligger som grunnlag for metodikk og arbeid enten det er internt ansatte eller en ekstern leverandør av internrevisjon. Når det gjelder konti nuitet i arbeidet og kjennskap til virksomhetens organisasjon og kultur, vil vel en intern internrevisjon ha et fortrinn. Men en ekstern konsulent vil kanskje lettere kunne ha oppdatert eller spisset kompetanse på ulike fagfelt, og også ha større tilgang til ulike typer fagressurser. Det siste gjelder kanskje spesielt for de større revisjonsselskapene. Det er store krav til kompetanse på mange områder, f.eks. innenfor IKT, og det kan være vanskelig å ha nok interne ressurser. Virksomhetens størrelse og kompleksitet, internrevisjonens størrelse og personlige egenskaper spiller også inn. Det gjelder å finne en modell som passer den enkelte institusjon. De to rådgiverne vil ikke være bombastiske i sitt svar, men foretrekker nok modellen med fast ansatt internrevisor. En kjerne med ansatt internrevisor supplert med kjøp av tilleggsressurser kan også være en god modell. Hva er etter Finanstilsynets observasjoner status for outsourcing av internrevisjon i norske virksomheter i dag? Finanstilsynet har ikke gjort noen formalisert undersøkelse eller datainnsamling om dette. Det er lenge siden det er gjennomført spesifikt tilsyn med internrevisjonsfunksjonen. De største nordiske bankkonsernene har store interne revisjonsavdelinger. I mellomstore banker er co-sourcing mer vanlig, med en eller få internt ansatte og samarbeidsavtale med et eksternt revisjonsselskap. Er alle outsuorcingsavtaler gitt til de store revisjonsselskapene? Vi har ikke kjennskap til om andre enn de fire store revisjonsselskapene benyttes i Norge. Hvilken trend ser dere for utvikling av krav til internrevisjon og kontrollfunk sjoner innenfor finansvirksomhet? Grensen på 10 milliarder i forvaltningskapital for finanskonsern er mange år gammel. En mulig høyning av denne grensen er uavklart. Den inngår for eksempel ikke i banklovkommi - sjonens utredning om ny lovgivning. Det er enda større fokus på helhetlig risiko styring og krav til kapital i forhold til risikonivå nå. I de senere årene har det dukket opp andre interne kontroll/etterlevelse/ compliance funksjoner og risiko styringsfunksjoner som rapporterer til administrerende direktør, men som også kan ha rapporteringslinje til styret. Hvordan er Finanstilsynets rolle ved reguleringen av disse? Vi ser at det er økt fokus på risiko styringsfunksjoner med bakgrunn i Basel II. Med CRD IV (Basel III) vil det stilles krav om risikostyringsfunksjon i alle banker. I større banker er det i dag vanlig å ha kontrollfunksjoner som har complianceoppgaver. Dessuten er det krav til slike funksjoner i Verdi - papirhandelloven og Fondsfor valt ningsloven. Sverige kommer etter planen med en ny forskrift om risiko - styring og intern kontroll fra Endringer i forskriften har sammenheng med Basel III og det nye kapitaldeknings - regimet. Man går langt i krav til internrevisjonen og i tillegg skal det etableres risikostyrings- og compliancefunksjoner. Hvordan ser Finanstilsynet på om slike funksjoner overlapper (fortrenger) internrevisjonens arbeid eller bidrar i tillegg til internrevisjon? IIA utøvelsesstandarder sier noe om internrevisjonens vurdering av og forhold til virksomhetens styrings-, risiko- og kontrollfunksjoner. Vi forventer at profesjonelle intern - revisorer følger standardene også på dette området. I tillegg har enkelte virksomheter andre avdelinger som skal ivareta for eksempel sikkerhet og kvalitetssikring. Kostnader ved å ha flere kontrollfunksjoner er synlige for styret, og det kan føre til konkurranse mellom dem. Dette kan gjøre det mer utfordrende for internrevisjonen å få tilstrekkelig ressurser. Bør internrevisjonen på vegne av styret også «overvåke» disse funksjonene? Det kan kanskje være en utfordring. Risk management og compliance er 2. linje kontrollfunksjoner, og de rapporterer som regel direkte til administrerende direktør. Vi vil tro at det f. eks. kan være utfordrende for internrevisjonen å ha tilstrekkelig kompetanse til å vurdere risikofunksjonens arbeid, som gjerne er ganske «teknisk» lagt opp. Det er også et interessant tema i hvor stor grad internrevisjonen kan «lene seg på» de to andre kontrollfunksjonenes arbeid. Det er sterke krav i IIA standardene til uavhengighet, integritet osv. Dette skal også rapporteres årlig til styret fra internrevisor. Internrevisjonen har uansett krav om å gjøre selvstendige vurderinger. Avslutningsvis ga de to rådgiverne uttrykk for at de ulike organiseringene av internrevisjonsfunksjonen er et viktig og interessant tema. Kanskje burde Finanstilsynet gjøre en ny evaluering som den de gjorde i 2005? Det observeres å være økende interesse i Europa for tilsyn med internrevisjonsfunk - sjoner. EBA (The European Banking Authority) gjør under - søkelser og kartlegginger om dette innenfor EU. SIRK nr

34 Internrevisjon Overordnet uttalelse som et alternativt verktøy for å forbedre virksomhetens styring og kontroll Av Esa Leporanta, Nets Norway AS (ansatt i Forsvarsdepartementet frem til 1. november) Internrevisjonen i Forsvarsdeparte mentet (heretter kalt FD Led IR) har hele forsvars - sektoren som sitt revisjonsunivers, det vil si FD og de fire etatene som er underlagt FD 1. Utover å være departementsrådens verktøy leverer FD Led IR også internrevisjonsfunksjonen til de tre minste etatene etter egne leveranseavtaler. Den store etaten, Forsvaret, har i tillegg sin egen internrevisjon. I henhold til FD Led IRs strategidokument skal årsrapporter for 2013 fra internrevisjonen i de tre minste etatene inkludere en overordnet uttalelse om kvaliteten på den enkelte etats virksomhetsstyring, risikostyring og internkontroll. Uttalelsen skal bidra til forbedret evne til måloppnåelse gjennom å gi innsikt i styring og kontroll, og å skape et effektivt og hensiktsmessig grunnlag for kort- og langsiktig forbedring. For å kunne utarbeide et gjennomtenkt grunnlag for uttalelsene, ble det besluttet å gjennomføre et pilotprosjekt i Forsvars - bygg. Utarbeidelsen av internrevisjonens verktøy Ved vurderingen av utgangspunkt for bedriftens styring og kontroll, som brukes her som et samlebegrep for virksomhets styring, risikostyring og internkontroll, startet vi med COSO 2 som har utviklet globale rammeverk både for internkontroll (COSO IK) og helhetlig risikostyring (COSO ERM 3 ). Markedet har også utviklet modenhetsmodeller til begge rammeverkene. Det finnes også flere rammeverk som omhandler governance. Markedet har imidlertid utviklet betydelig færre modenhets modeller på virksomhets - styringen i forhold til internkontroll og risikostyring. For å evaluere modenheten i Forsvars - byggs styring og kontroll, valgte FD Led IR å benytte CoCo-rapportens 4 fire hovedkategorier: Hensikt - Vet hva som skal gjøres, Engasjement og forpliktelse - Vilje til å gjøre det, Dyktighet og evne - Klarer å gjøre det og Lederoppfølging og læring - For å forbedre seg. CoCo-rapporten kom i 1995 og har i tillegg 20 delkategorier som er dokumentert i den norske oversettelsen av de to veiledningene, som er utgitt av The Canadian Institute of Chartered Accountants. Bilde 1: FDs modell med tre forsvarslinjer og eksternrevisjon. For å oppdatere CoCo-rapporten til dagens forhold, ble det i tillegg hentet inspirasjon fra andre relevante kilder 5. 1 Forsvaret, Forsvarsbygg (FB), Nasjonal sikkerhetsmyndighet (NSM) og Forsvarets forskningsinstitutt (FFI) Forvaltning, styring og kontroll - CoCo-rapporten (1995) 5 DFØ (Direktoratet for Økonomistyring), COSO, OCEG (Open Compliance and Ethics Group), COBIT, King III samt IIA (Institute of Internal Auditors) 34 SIRK nr

35 Internrevisjon arbeidsmøter med forretningsområdenes ledergrupper. Disse og de innledende arbeidsmøtene med forretningsområdedirektørene la grunnlaget for en oversiktsrapport for hvert forretningsområde i Forsvarsbygg slik ledelsen selv vurderer modenheten. FD Led IRs evaluering av Forsvarsbyggs styring og kontroll For å ferdigstille internrevisjonens overordnede uttalelse om kvaliteten i Forsvarsbyggs styring og kontroll, gjennomgikk og sammenstilte intern - revisjonen informasjonen fra cirka 100 eksisterende dokumenter som tidligere hadde blitt utarbeidet av ulike interne og eksterne kilder og som omhandlet Forsvarsbyggs styring og kontroll. Bilde 2: Coco-rapportens fire hovedkategorier. Etter en samlet vurdering av disse kildene ble det utarbeidet en modell med fem modenhetsnivåer som støtter seg på disse rammeverkene. Modellen ble til slutt avstemt med Forsvaret i forhold til relevans over hele forsvarssektoren. Bruk av selvevalueringer som et ledd i en overordnet uttalelse For å øke sannsynligheten for at revisjonens eventuelle funn ikke skaper motsetninger i virksomheten, og at modellen blir godt nok forankret hos toppledelsen, ble Forsvarsbyggs ledelse direkte involvert i evalueringen av virksomhetens styring og kontroll. Dette skjedde gjennom at alle ledere for Forsvarsbyggs forretnings - områder selv skulle evaluere sitt eget forretnings område i begynnelsen av prosjektet. Etter at internrevisjonen hadde bearbeidet og sammenstilt informasjonen fra de innledende arbeidsmøtene, ble det holdt nye Denne dokumentasjonen ble deretter kategorisert i henhold til NIRFs modell med tre forsvarslinjer for å skape en oversikt over hvilke styrings- og kontrollelementer de ulike kontrollfunk sjonene har gjennomgått. Deretter ble det faglige innholdet i de eksisterende dokumentene vurdert på en skala fra 1-5. For å evaluere virksomhetens styring og kontroll per delkate gorier i CoComodellen, ble dokumentene deretter fordelt mellom de ulike delkategoriene. Denne tilnærmingen gjorde det mulig å se om flere av kontrollfunksjonene har evaluert de samme delkategoriene eller om noen av delkategoriene ikke har blitt vurdert overhodet. Dersom vi bruker kvaliteten i informasjonssystemer som et eksempel på et slik delområde, kunne det for eksempel konkluderes, etter at internrevisjonens revisjonsoversikt er ferdigstilt, at Forsvarsbyggs internkontrollfunksjon har evaluert delområdet i fjor, mens intern - revisor og eksternrevisor ikke har gjort noen tilsvarende vurderinger hverken i år eller i fjor. Dette kan være verdifull informasjon ved planleggingen av fremtidige revisjonsaktiviteter. Til slutt ble karakterene fra de ulike delområdene presentert grafisk etter CoCo-rapportens fire hovedkategorier og sammenlignet med toppledelsens og Bilde 3: Practice Guides for Reliance by Internal Audit on other Assurance Providers og Formulating and Expressing Internal Audit Opinions IIA desember 2011 & mars SIRK nr

36 Internrevisjon Bilde 4: Illustrasjon av modellen med tre forsvarslinjer. deres ledergruppers selvevalueringer. Hensikten med å fokusere på disse fire hovedkategorier var å forenkle fremstillingen og derigjennom kommunikasjonen på tvers av forretningsområder og videre på tvers av virksomhetene i sektoren. Avslutningsvis ble de mest alvorlige observasjonene fra de gjennomgåtte dokumentene sammenstilt i en overordnet uttalelse med anbefalte forbedringer. Gjennom å delta i modenhetsprosjektet, fikk Forsvarsbyggs ledelse større innsikt i virksomhetens styring og kontroll. I tillegg kunne ledelsen etter hvert sammenligne sin egenevaluering med internrevisjonens observasjoner, som kunne dokumenteres med henvisninger til skriftlige kilder. Bruk av henvisninger muliggjorde også at andre uavhengige interessenter kan vurdere kvaliteten i internrevisjonens arbeid. Avsluttende kommentarer 1. april 2013 ble nye krav til intern - revisjonen offentlig sektor i UK innført. Internrevisjonen skal nå gi en overordnet uttalelse om kvaliteten i virksomhetens styring, risikostyring og internkontroll. Dette kravet vises også i IIAs Internal Audit Capability Model, som kan anvendes for å evaluere intern revisjonens modenhet. Dette viser at fokuset på overordnede uttalelser antageligvis vil bli mer dominerende fremover. Det finnes flere hypo - teser nedenfor som støtter denne antagelsen. Hypotese 1: For å øke effektiviteten i kontrollfunksjonene, må arbeidet mellom og 3. linjeforsvaret koordineres i større grad. En vel fundamentert uttalelse forutsetter normalt også at internrevisjonen støtter seg til andres arbeid, så lenge kvaliteten i dette arbeidet tilfredsstiller kriteriene som er beskrevet i IIAs retningslinjer. Hypotese 2: Kravet til effektivitet og hensiktsmessighet i internrevisjonens arbeid forventes å øke fremover. Det er som oftest ikke nok å kunne gjennomføre enkeltrevisjoner som kun dekker mindre deler av toppledelsens styrings- og kontrollbehov. De fleste virksomhetsledere er etter hvert mer opptatt av å sikre at bedriftens samlede virksomhetsstyring, risikostyring og internkontroll dekker 36 SIRK nr

37 Internrevisjon bestemte minimumsbehov, og at dette kan dokumenteres. Hypotese 3: En prosess med selv - evalueringer og en overordnet uttalelse, som beskrevet her, gir ledelsen en mye bredere, og ved behov også dypere, innsikt i hvor det reelt sett eksisterer utfordringer på virksomhetens styring og kontroll. Bilde 5: Public Sector Internal Audit Standards for UK issued by IIA UK 1. April 2013 og Practice Guide for Selecting, Using and Creating Maturity Models IIA juni Hvis resultatet av gjennomgangen skulle vise at virksomhetens dyktighet og evne er blitt karakterisert til å ligge på nivå 3 (Dokumentert design og etterlevelse) av 5, sier det seg selv at dette ikke kan heves til nivå 4 (Systematisk design og etter - levelse) året etter uten å entydig kunne dokumentere hvilke forbedringstiltak som er implementert, og hvor systematisk tiltakene er etterlevd i løpet av de siste 12 månedene. Bilde 6: Internal Audit Capability Model - For the Public Sector. - IIA, Level 4: Overall Assurance on Governance, Risk Management and Control SIRK nr