Velkommen til fjerde og siste samling samarbeidsforum. 12. november 2015

Transkript

1 Velkommen til fjerde og siste samling samarbeidsforum 12. november 2015

2 Innhold og mål for 4. samling oppfølging Ha et dokumentert og kvalifisert grunnlag for å vurdere internkontrollen i virksomheten, herunder grunnlag for å skrive Årsrapport kap. IV Styring og kontroll Har vi tilstrekkelig grunnlag for å underbygge konklusjonene som inngår i rapportering knyttet til internkontroll? Har virksomheten et hensiktsmessig internkontrollsystem tilpasset risiko, vesentlighet og egenart? Blir etablert internkontroll etterlevd og gir den ønsket effekt? Hvordan vet du det? Kan det dokumenteres? Brukes informasjonen fra oppfølging til styring, læring og forbedring? Relevante verktøy: Veiledning test av internkontroll Veiledning prosedyre for registrering og håndtering av avvik Mal registrering og håndtering av avvik Side 2

3 Innhold og mål for 4. samling rapportering Ha kunnskap om hvordan informasjon fra oppfølgingen: Rapporteres til rett nivå til rett tid (prioritere og kommunisere resultater) Integreres med øvrig rapportering (se ulike rapporteringer i sammenheng, se styring og kontroll i sammenheng) Kan sammenstilles (ulike nivå i virksomheten) 3

4 Agenda 1. halvdel av dagen DFØs metode og verktøy knyttet til oppfølging og rapportering internkontroll. Innlegg fra UiO Krav til årsrapport, herunder del IV Styring og kontroll DFØs anbefalinger og erfaringer Gruppearbeid hvordan utarbeide et grunnlag for del IV i årsrapport Felles lunsj med samarbeidsforum departementer 4

5 Agenda 2. halvdel av dagen lederne til stede Sesjon med lederne deres til stede Diskusjon og avrunding samarbeidsforum virksomheter Innledning ved DFØ Hva er oppnådd? Hvordan skal arbeidet tas videre? Hvordan lederforankre? Felles sesjon med departementene Innlegg fra Jens Gunvaldsen i Riksrevisjonen Gode råd på veien videre fra Øystein Børmer, direktør DFØ Diskusjon/spørsmål til Gunvaldsen og Børmer i plenum 5

6 Oppfølging 12. november 2015

7 Slå på lyset! Har vi en effektiv internkontroll? Hvordan vet du egentlig det? Hvordan kan du dokumentere det? OPPFØLGING

8 Typer av oppfølging To hovedtyper av oppfølging Løpende oppfølging Frittstående oppfølging Krav og risikovurderinger ligger til grunn for type, omfang, frekvens på oppfølging som gjennomføres 1. Sørg for å ha god løpende oppfølging 2. Sørg for oppfølging knyttet til de viktigste/ risikoutsatte områdene! 8

9 Økonomiregelverket om oppfølging 4 «Styring, oppfølging, kontroll og forvaltning må tilpasses virksomhetens egenart samt risiko og vesentlighet.» 9 «Alle virksomheter skal innenfor sitt ansvarsområde sikre at fastsatte mål og resultatkrav oppnås på en effektiv måte» Bestemmelsene 2.4: «Alle virksomheter skal etablere intern kontroll. Virksomhetens ledelse har ansvaret for å påse at den interne kontrollen er tilpasset risiko og vesentlighet, at den fungerer på en tilfredsstillende måte og at den kan dokumenteres». Intern kontroll skal primært være innebygd i virksomhetens interne styring» 9

10 Oppfølging knyttet til ulike mål Risiko (interne og eksterne) innsatsfaktorer aktiviteter/ prosesser produkter/ tjenester brukereffekter samfunnseffekter Innenfor virksomhetens interne kontroll Utenfor virksomheten Side 10

11 Eksempler på oppfølging satt i system - dokumentasjon Risiko og kontrollmatriser, nøkkelkontroller Eksempel fra Skatt Øst Assurance mapping Eksempel fra UK Testplaner Eksempel fra DFØs verktøy Test av internkontrollen Oppfølging og evaluering av COSO komponenter COSOs oppfølgingsmodelle Avikssystemer Eksempel fra DFØs verktøy 11

12 Mal Skatt øst - skjema for dokumentasjon ISK

13 Assurance Mapping (2) Business Management (First Line) Identifying risks and improvement actions. Implementing controls. Reporting on progress. Management Assurance Assurance Providers Corporate Oversight (Second Line) Designing policies. Setting direction. Ensuring compliance. Assurance oversight Independent Assurance (Third Line) Independent challenge, audit. Reporting on assurance. Audit of assurance providers. Entity level assurance. Control RAG Rating (See Key) Assessment Assurance Sufficient? Y/N Improvement Actions Strategic Objective/ Risk Risk Owner Priority Controls Fraud and Error Deliver demonstrable value for money for the taxpayer Operating Procedures Training programmes System reports on specific areas of potential fraud Internal Quality Control checks Whistle blowing policy Management reports on targeted fraud and error reduction action plans Active use of Managing Risks of Financial Loss toolkit National Quality Control Checks Counter fraud policy compliance checks Internal Audit Other Independent Sources of Assurance Internal Audit review of Adjudicators/ Tribunals counter fraud policy and NAO audits implementation G Y Customer Service Deliver reliable, Operating Procedures modern and Training programmes affordable Internal Quality Control checks customer service Monitoring intake levels & balancing of resources MI: Performance Management reports Internal Quality Control checks Intake and capacity reviews Governance Structures: e.g. Board Customer satisfaction surveys & Complaints A N Consider need for independent assurance reviews - e.g. Performance MI quality Programme & Project delivery Improve our Project management processes business by Project Boards driving efficiency New system testing processes and service Internal "approval to proceed" modernisation reviews Project Management delivery reports Programme Office reviews Programme and main Board reviews Corporate Risk Management/ Assurance reviews Internal "approval to proceed" project stage reviews Internal audit reviews of project management and project risk management OGC/MPA Gateway reviews A Y Ensure effective integration of internal audit and MPA assurance reviews Review change implementation processes Core Systems/Processes System/ Process Financial Processes Functional Head Strategic Objective/ Priority Deliver demonstrable value for money for the taxpayer Controls Finance Manual Delegated authority processes Finance control reports (IT & manual) MI: Financial Management & Reporting Active use of Managing Risks of Financial Loss toolkit Finance team compliance checks Internal Audit financial system reviews NAO audits A Y Ensure effective integration of internal audit and NAO reviews. Review assurances on shared services. Increase systemisation of finance control checks Information Security Supply Chain management Deliver high standards of integrity and reliability in our data management Improve our business by driving efficiency and service modernisation IS policy, guidance & training DPA policy, guidance & training Incident reporting Supplier contracts & SLAs Supplier performance reviews Contract management processes Business Continuity Plans Management Reporting Structures Management Assurance Incident reporting MI: Performance Management reports - internal Supplier performance reports Internal Quality Control checks Information Security Compliance Reviews Incident reviews Contract management reviews Board etc. reporting Information Commissioner's Office reviews External Accreditation (e.g. RMADS) A A N N Consider need for additional internal audit activity - e.g. DPA compliance Consider options for Strategic Partner assurance reports. Consider need for independent assurance reviews Key: RAG rating on the effectiveness of controls from assurance work undertaken Low: Significant concerns over the adequacy/effectiveness of the controls in place in proportion to the risks Medium: Some areas of concern over the adequacy/effectiveness of the controls in place in proportion to the risks High: Controls in place assessed as adequate/effective and in proportion to the risks Insufficient information at present to judge the adequacy/effectiveness of controls UNCLASSIFIED 13

14 Verktøy: Oppfølging Test av internkontrollen Veiledning i hvordan teste ulike teknikker Mal testplan og mal for å dokumentere testing Eksempel 14

15 Verktøy: Oppfølging Registrering og håndtering av avvik Veiledning prosedyre for registrering og håndtering av avvik Mal registrering og håndtering av avvik Eksempel 15

16

17 Andre eksempler? Hvordan gjør dere det hos dere?

18 Rapportering 12. november 2015

19 1. Oppfølging og rapportering av de «rette tingene» Hva er vesentlig informasjon? 1. Planlagt/styrt rapportering Risiko(vurderinger) (før og etter tiltak restrisiko) Tiltak (gjennomført innen tidsfrist «Hva er gjort») VP, handlingsplaner, kontrollplaner, resultat av test nøkkelkontroller/kontrollaktiviteter, lukking av RR merknader ol. Resultat/effekt (Resultatindikatorer, SP, KPIer, etc. «Hva er oppnådd») Direkte eller indirekte svar på om internkontrollen er god Internkontrollsystemet Egenevalueringer av internkontrollen/lederbekreftelser Risikobasert og behovsrelatert rapportering på alle nivå! Side 19

20 Oppfølging og rapportering av de «rette tingene» forts. 2. Løpende rapportering/behovsrelatert utenfor den planlagte rapporteringen, eksempelvis Svikt i internkontrollsystemet Vesentlige endringer i risikobildet (early warning) Vesentlige forbedringer (forbedringsdatabaser/kvalitetssystem) Avvik (avviksystem) Misligheter og uønskede hendelser (varslingskanal) Etc. Side 20

21 2. Roller og ansvar. Rapportering til hvem? Resultater fra planlagt oppfølgingen av interkontrollen rapporteres til rett nivå til rett tid Løpende/behovsrelatert rapportering til rett nivå til rett tid (ulike typer avvik og svikt i internkontrollen, forbedringer etc.) Prosedyrer for både planlagt og behovsrelatert rapportering for å sikre at informasjonen blir kommunisert til rett nivå til rett tid 21

22 3. Kvalitet i oppfølging og rapportering Hva innebærer kravet om pålitelig rapportering? (Tredje målsetningskategori i COSO rammeverket) Pålitelig informasjon forutsetter kvalitet i arbeidet med innhenting, bearbeiding og rapportering av informasjon (Bestemmelsene pkt. 2.3) Oversikt over hvilke krav som gjelder At datakilder og grunnlag er definert og kan etterprøves Kvalitetssikring At rapporteringen tjener sitt formål Korrekt, rettidig, relevant og tilpasset mottakerens behov Relevant Pålitelig Rettidig Side 22

23 Eksempel mal rapportering styring og kontroll forsvaret - COCO 23

24 Eksempel - Rapportering knyttet til effektiviteten elementene i IK systemet COSO 17 prinsipper 87 fokus områder 24

25 Anvendelsen av COSO har en tendens til å bli sjekklistebasert og lite ledelsesrelevant? Control Environment Risk Assessment Control Activities Information & Communication Monitoring Activities 1. Demonstrates commitment to integrity and ethical values 2. Exercises oversight responsibility (the board) 3. Establishes structure, authority and responsibility 4. Demonstrates commitment to competence 5. Enforces accountability 6. Specifies suitable objectives 7. Identifies and analyzes risk 8. Assesses fraud risk 9. Identifies and analyzes significant change 10. Selects and develops control activities 11. Selects and develops general controls over technology 12. Deploys through policies and procedures 13. Uses relevant information 14. Communicates internally 15. Communicates externally 16. Conducts ongoing and/or separate evaluations 17. Evaluates and communicates deficiencies 25

26 Rapportering internkontroll i årsrapporten Kap. 1: Nye krav til årsrapport i bestemmelsene Årsrapporten skal inneholde seks deler, med følgende benevnelse og rekkefølge: I II III IV V VI Leders beretning Introduksjon til virksomheten og hovedtall Årets aktiviteter og resultater Styring og kontroll i virksomheten Vurdering av framtidsutsikter Årsregnskap Eksempel på årsrapport

27 27

28 ksempel lederbekreftelse DFØs verktøy rapp. 28

29 Eksempel lederbekreftelse forts. Sammenstilling fra lavere nivå 29

30 Uttalelse om internkontrollen i virksomheten Sammenstilling fra lavere nivå til overordnet nivå Grunnlag for årsrapport og input til øvrig virksomhetsstyring Side

31 4. Integrering i virksomhetsstyringen Rapportering knyttet til internkontrollen integreres med øvrig rapportering Tidsplan for oppfølging og rapportering tilpasset styringsbehov/ årssyklus. Rapportering IK benyttes inn i styring og forbedring Bruk av eksisterende kommunikasjonskanaler Rapportering eksternt (halvårs, - kvartals- og årsrapport, styringsdialogen) Rapportering internt (månedsrapporter, i avdelingsmøter, seksjonsmøter, teammøter ol.) Samlet vurdering av internkontrollsystemet og vurdering av om kritiske enkeltrisikoer er tilstrekkelig håndtert Overordnede føringer og strategier Revurdering Fastsettelse av mål Analyse Oppfølging og Rapportering Budsjettering Planlegging Gjennomføring Side 31

32 Hvordan integrere internkontroll i styringen? Årshjul Revurdering Fastsettelse av mål og strategi Analyse Oppfølging og Rapportering Internkontrollprosessen Styringsprosessen Budsjettering Planlegging Halvårsrapport 32

33 Årshjul for risikostyring er integrert med øvrig virksomhetsstyring Statens pensjonskasse 20/11: Risikoforum: Evaluering av risikokartlegging 2. tertial + langtidsagenda 2015 Etatsstyringsmøte (2T) 25/11 DFØ: Rapportering 11/12-13 DFØ: Risikovurdering Risikokartlegging 3. tert. (oppdatering) Tildelingsbrev /1: Risikoforum: Sammenstille risikobildet 3. tertial Mål- og resultatstoppfølging i TLG (presentere resultat) November Desember Januar Ca. 17/1: Mål- og resultatstoppfølging i TLG (presentere resultat) Årsrapport Årlig vurdering styringsdokumenter Etatsstyringsmøte (år) TLG Budsjettkonferanse Oktober Februar 13/2: Risikoforum: Slagplan for «stor» risikokartlegging 1.tertial 4/3 DFØ: Utforme og implementere tiltak 2. Tertialrapport September Mars 28/8: Risikoforum: Sammenstille risikobildet 2. tertial Ca. 17/3: Mål- og resultatstoppfølging i TLG (presentere resultat) Risikokartlegging 2. tertial (oppdatering) August April Juli Mai Strategikonferanse (revidert strategidokument) Intern mål- og resultatstyring Intern mål- og resultatstyring med resultater fra risikokartlegging Juni 15/5 Risikoforum: Evaluering av risikokartlegging 1. tertial+ planlegge risikokartlegging 2. tertial Aktiviteter TLG Ca. 20/5: Mål- og resultatstoppfølging i TLG (presentere resultat) Resultatoppfølging med ASD Etatsstyringsmøte (1T) 1. Tertialrapport Risikokartlegginger Møter risikoforum 3/6 DFØ: Utforme og implementere tiltak DFØ-samlinger 33

34 Krav til å vurdere bruk av internrevisjon Nytt rundskriv om internrevisjon i staten (R-117/15) Vurderingen skal gjennomføres basert på fastsatte vurderingskriterier; Størrelse Kompleksitet Risiko Vesentlighet Modenheten og kvaliteten på styring og kontroll Nytt veiledningsmateriell fra DFØ: Direktoratet for økonomistyring

35 Praktisk eksempel: Forbedring og oppfølging av internkontrollprogrammet i Regnskaps-seksjonen ved Universitetet i Oslo Ingeborg Brekke Mathisen, UiO

36 Krav til innholdselementer i årsrapport og implikasjoner for oppfølging og rapportering av internkontroll Helge Spildrejorde, DFØ

37 Gruppeoppgave Diskuter i gruppen hvordan grunnlaget for kap. IV i årsrapport bør utarbeides (med utgangspunkt i løpende og frittstående oppfølging/rapportering av internkontroll). De som ikke har kap. IV: Hvordan kan løpende og frittstående oppfølging/rapportering knyttet til internkontroll bidra til et grunnlag for overordnet status på internkontroll i virksomheten? Presentasjon og oppsummering i plenum 37

38 Forslag til gruppeinndeling Gruppe 1 Høyskolen i Lillehammer Høgskolen i Hedmark Høgskulen i Volda Gruppe 2 Universitetet i Oslo NTNU Gruppe 3 Norad Fredskorpset Gruppe 4 Hdir DNK Gruppe 5 Arbeidstilsynet SSB Gruppe 6 Finanstilsynet PU Direktoratet for økonomistyring Side 38

39 LUNSJ 39

40 Avslutning 4. samling Statusgjennomgang og diskusjon med lederne

41 De neste timene Internkontroll et lederansvar Ledelsesforankring en KSF for god internkontroll

42 Bestemmelsene om økonomistyring 2.4 Intern kontroll Alle virksomheter skal etablere intern kontroll. Virksomhetens ledelse har ansvaret for å påse at den interne kontrollen er tilpasset risiko og vesentlighet, at den fungerer på en tilfredsstillende måte og at den kan dokumenteres. Intern kontroll skal primært være innebygd i virksomhetens interne styring

43 Felles mål: God styring og kontroll! virksomheten skal etablere et system for internkontroll tilpasset risiko, vesentlighet og egenart innsatsfaktorer aktiviteter/ prosesser produkter/ tjenester brukereffekter samfunnseffekter

44 Innhold samarbeidsforum november Oppfølging Rapportering 4 presentasjoner/ eksempler Eksempler Praktiske verktøy Gruppeoppgave Diskusjon og refleksjon i plenum 12. og 13. mars Fundamentet, Planlegging, 3 presentasjoner/ eksempler 3 praktiske verktøy Diskusjon og refleksjon i plenum 9. september Utforming Implementering 5 presentasjoner/ eksempler 1 praktisk verktøy Gruppeoppgave Diskusjon og refleksjon i plenum 26. mai Risikovurdering 2 presentasjoner/ eksempler 1 praktisk verktøy Diskusjon og refleksjon i plenum Plan for arbeidet Side 44

45 Bruk det dere har lært! Bruk nettverket og kontaktene for det de er verdt! Bruk oss i DFØ! Veiledere Kurstilbud Nettsider med materiell Verktøy internkontroll Sparringspartnere

46 Ledelse KSF for god internkontroll! Kvalitet standarder Risikotoleranser Ambisjonsnivå Oppfølging Rapporteringskrav Opplæring IK-tiltak Styrende dokumenter Def. roller og ansvar Konsekvenser Involvering Incentiver Engasjement Ressurser Side 46

47 Ditt beste tips som leder? Hva er god praksis når det gjelder lederforankring av internkontrollarbeidet?

48 Lederne har ordet 48

49 Gjennomgang i plenum: Hvordan skal arbeidet med internkontroll tas videre? Hva er oppnådd i 2015/status? (Hvor er vi?) Ambisjoner for internkontrollen? (Hvor skal vi?) Hva må gjøres for å komme dit vi vil? Konkrete planer/satsningsområder for IK 2016 (Hva må vi gjøre nå?) innsatsfaktorer aktiviteter produkter/ tjenester brukereffekter samfunnseffekter Side 49

50 Lykke til med internkontrollarbeidet Tusen takk for innsatsen!