intern revisoren Nr 2 / VINTER , årgang etikk risikostyring

Transkript

1 intern Nr 2 / VINTER , årgang & etikk risikostyring

2 Kjære leser Styrets leder har ordet Vi har bak oss en hektisk høst med mange aktiviteter. Jeg vil her trekke frem noen av høydepunktene. Medlemsmøtet i oktober med styrets forventninger til oss som tema satte rekord med over 100 deltakere. Det er planlagt en oppfølger til våren. For første gang er det arrangert en nasjonal fagkonferanse i offentlig revisjon. Konferansen kom i stand som et samarbeid mellom NKRF, Riksrevisjonen og NIRF og det kom ca 370 deltakere. Med internrevisjonskonferansen i Bergen friskt i minne konstaterer vi med glede at vi må planlegge med romslige lokaler for fremtidige arrangementer. NIRF har ambisjon om å vokse på utdanning og kunne tilby medlemmene et fullverdig utdanningsopplegg. Vi tilrettelegger nå for at det skal være mulig å planlegge utdanning over en lengre tidshorisont enn tidligere. Foreningen har utgitt en Utdanningskatalog som kom på luften i november. Den viser bredden i tilbud som foreningen nå håndterer. Utdanningsmodellen er delt opp i standardtilbud, serietilbud, årlige tilbud og mer spesielle kurs. Flere av standardkursene er satt opp allerede i høst og jeg vil foran neste år benytte anledningen til å drive litt reklame for kurset i praktisk revisjon. Det er svært relevant for alle våre medlemmer da det tar for seg planlegging, gjennomføring og rapportering av internrevisjonsprosjekter. Kurset er utviklet i egen regi og det i seg selv er en stor prestasjon for foreningen. Første kurs ble avholdt i november og det tegner til å bli en av bærebjelkene i vårt samlede tilbud i årene som kommer. Våre medlemmer har behov for en enkel og effektiv tilgang til relevant faglitteratur. Vi har derfor relansert NIRFs bokhandel, nå som en nettbokhandel. Vi håper dere verdsetter dette initiativet. Men likevel, den store saken vi jobber med i disse tider fra styrets side er å finne etterfølgeren til Frank. Det er løftet så mange aktiviteter og det er så mange initiativ på gang i foreningen at vi er nå mer enn noen gang avhengig av en lederressurs som kan ta seg av arbeidet. Dere har forhåpentligvis alle sett annonsen på nirf.org, NIRF søker generalsekretær. Vi håper vi kan få en rask avklaring, men vi er også innstilt på å arbeide med denne saken til vi finner en løsning som er fullt ut tilfredsstillende. Vi har som dere sikkert har merket, bedt om hjelp fra dere alle til å finne rette vedkommende og vi krysser fingrene. Det nærmer seg jul. Min erfaring som intern revisor og pappa gjennom 15 år er at vi er inne i den travleste perioden av året både på jobb og på hjemmefronten. Det er også en tid hvor vi bør ta oss tid til å stoppe opp og tenke på om det er noen som bør få en ekstra oppmerksomhet. Jeg sender en spesiell hilsen til vårt æresmedlem Knut som nettopp har rundet år og som jeg har hatt gleden av å være sammen med flere ganger i høst. Jeg har truffet han som engasjert deltaker på kurs og på konferanser. Ved to anledninger har han holdt takk for maten talen og det har vært to unike og herlig sammensatte taler med tema fra intern revisjon, historie, filosofi og mat slik som bare Knut kan gjøre det. Jeg vil ellers takke dere alle for innsatsen og interessen for NIRF i 2006 og ønske dere en riktig god og revisjonsfri jul og et godt nytt intern revisjons år. Hilsen Reidar 2 intern

3 Innhold 2 Styrets leder har ordet 4 Redaktørens spalte 6 Motstandsdyktighet mot økonomisk kriminalitet 10 Internrevisjon, forskning og etikk 12 Etiske dilemmaer ved varsling 14 Etikk levert og revidert 16 Culture Change Time on the Geologic Scale 22 Revisjon av etikk 24 Brukerundersøkelse Intern 27 NIRF-konferanse i Kristiansand 28 Ekstern revisor og misligheter 32 Internal Audit Vital component in any effective organisation 34 Personvern i praksis 38 Hvilken plass bør temaet misligheter ha i etikkarbeid 42 Intern revisjon som et virkemiddel for å ivareta departementenes kontrollannsvar 45 COSO arbeider videre med å utvikle hjelpeverktøy 46 Risikostyring i offentlig sektor 48 Medlemsnytt 51 COSO nå innarbeidet i den norske governance-koden Scanstock foto NORGES INTERNE REVISORERS FORENING President Reidar Døli DnB NOR J: M: reidar.doli@dnbnor.no Informasjons- og kommunikasjonskomiteen Svein Stabekk leder NIRF M: post@nirf.org Konferansekomiteen Even Nilsen leder Fagforbundet J: / even.nilsen@fagforbundet.no Programkomiteen Mari-Anne Teigum leder Group Internal Audit, Nordea Bank Norge ASA J: mari-anne.teigum@nordea.com Redaksjonskomiteen Alf Eldar Bergset leder KPMG AS J: M: alf.bergset@kpmg.no Høringskomiteen Lars Erik Fjørtoft leder KPMG M: lars.erik.fjortoft@kpmg.no Professional Practice Committee PPC Espen Uvholt leder Norsk Hydro J: espen.uvholt@hydro.com Nominasjonskomiteen Einar Døssland leder Edbo risk management J: einar@edbo.no Foreningssekretariat Frank Alvern, generalsekretær M: Svein Stabekk, foreningssekretær M: Fax: post@nirf.org Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika 0115 Oslo Besøksadresse: Munkedamsveien 3B, 4. etg. Intern: Organ for Norges Interne Revisorers Forening, NIRF Antall utgivelser pr år: 2 Opplag: 1000 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: Juni 2007 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.v. Årsabonnement: Kr 150,- Annonsepriser: Kr 5000,- for en helside, kr 3000,- for en halvside (mva tilkommer). Grafisk produksjon: Pr.info DM Hamar Forsidefoto: Scanstock foto

4 Den nye redaksjonskomiteen er kommet i mål med sin første utgave av Intern. På det første møte i komiteen tidlig i høst besluttet vi å sette Intern under lupen ved å invitere NIRFs medlemmer til å si sin mening om både innhold og form, gjennom en enkel QuestBack undersøkelse. REDAKTØRENS SPALTE Undersøkelsen ble besvart av 262 personer, noe vi synes var en god respons og i overkant av våre forventinger. Redaksjonskomiteen er velig godt fornøyd med tilbakemeldingene. På spørsmål om hva helhetsinntrykket er av Intern svarte 92% 4, 5 eller 6 på en skala fra 1 6 hvor 6 er best. Selv om vi fikk en gjennomgående bra score på alle spørsmål kom det fram interessante kommentarer og forbedringsforslag som tar med oss i arbeidet med å videreutvikle bladet. Når det gjelder lay-out var også tilbakemeldingene gode, men vi har nå valgt å gjøre noen små endringer som vi håper faller i smak. Undersøkelsen er nærmere presentert i en egen artikkel. Etikk er et tema som stadig omtales og diskuteres og det er dessverre mange eksempler på uetisk atferd som bidrar sterkt til dette. Nå er det også slik at grensen mellom hva som er akseptabelt og uakseptabelt er i stadig bevegelse og som følgelig endrer risikobilde for virksomheter. Derfor er etikk et område som alle virksomheter og vi som internrevisorer må ha et aktivt forhold til. Etikk vil følgelig være et tema som Intern vil omhandle regelmessig, og fordi etikk har mange fasetter. I denne utgaven har vi artikler som illustrerer hvordan virksomheter kan etablere en intern kontroll for å øke motstandskraften i forhold til økonomisk kriminalitet og korrupsjon, og hvordan det arbeides med etikk i helsetjenesten og hvordan personvern i praksis blir ivaretatt. Et viktig tiltak for å sikre at en virksomhet driver i samsvar med sine etiske retningslinjer er å etablere system for varsling. Imidlertid er det dilemmaer tilknyttet en varslingsordning og dette omtales i en egen artikkel. Etikk vil også være hovedtema på NIRF konferansen 2007 i Kristiansand hvor vi får stifte nærmere bekjentskap med Open Compliance & Ethics Group (OCEG). Du kan lese nærmere om OCEGs leder og ildsjel Scott L. Mitchell som bl.a vil holde åpningsforedraget i Kristiansand. Organisasjonen har blant annet utarbeidet OCEG Audit Guide som angir et rammeverk for tilpasning til konkrete revisjoner. Vi gir et innblikk i hva denne veiledningen inneholder. Hvordan skal vi så revidere etikk området? Vi presenter to eksempler på dette og som vi håper gir inspirasjon og ideer til å finne gode tilnærminger til dette vanskelige området. Hvilken plass temaet misligheter bør ha i etikkarbeid og hva interne revisorer kan bidra med i kampen mot misligheter er viktige spørsmål som er drøftet i denne utgaven. For å følge opp hovedtemaet fra forrige utgave av Intern om risikostyring, har vi en artikkel som drøfter om opprettelse av internrevisjon kan være et egnet virkemiddel for at departementene kan ivareta sitt oppfølgingsansvar overfor underliggende virksomheter. Risikostyring var for øvrig ett av hovedtemaene på den store fagkonferansen for offentlig revisjon på Gardermoen i høst, og hovedpunktene har vi oppsummert. Til slutt vil jeg igjen takke alle som har bidratt til å fylle denne utgaven med interessante fagartikler. Jeg ønsker alle en riktig god jul og et godt nytt år! REDAKSJONS KOMITEEN Alf Eldar Bergset - Leder (valgt for ) KPMG AS Postboks Hamar J: , M: alf.bergset@kpmg.no Karl-Helge Stjernen Storhaug (valgt for ) Helse Øst RHF Postboks Hamar J: , M: karl.helge.storhaug@helse-ost.no Sveinung Svanberg (valgt for ) Universitetet i Oslo Postboks 1154 Blindern 0318 Oslo J: s.k.svanberg@admin.uio.no Unni Leivestad (valgt for ) NAV Postboks 8057 Dep 0031 Oslo J: , M: unni.leivestad@nav.no Jørn A.Arnesen (valgt for ) Statens jernbanetilsyn Wergelandsveien Oslo J: , M: jaa@sjt.no Tove Klokkerhaug (valgt for ) Nordea Bank Norge ASA Postboks 1166 Sentrum 0107 Oslo J: , M: tove.klokkerhaug@nordea.com Se mer info på Jens A. Gunvaldsen - Styrets representant Riksrevisjonen Postboks 8130 Dep 0032 Oslo J: , M: jens.gunvaldsen@riksrevisjonen.no 4 intern

5 intern 5

6 Motstandsdyktighet mot økonomisk kriminalitet Motstandsdyktighet mot økonomisk kriminalitet og korrupsjon det endelige målet Ifølge Transparency Internationals Corruption Perception Index for 2006 ligger Norge på åttende plass med en poengsum på 8,8. Poengskalaen går fra null til ti, der ti betyr at landet er nærmest fritt for korrupsjon. Indeksen viser at Norge blir oppfattet som et land der korrupsjon nesten ikke forekommer. Norges plassering er god, selv om vi ligger bak de andre nordiske landene, Danmark, Sverige og Finland. Cira Holm er Siviløkonom fra Handelshøyskolen BI og er daglig leder i Hibis Scandinavia AS. Hun har medvirket i en rekke granskninger for internasjonale selskaper og jobber til daglig med forebygging av økonomisk kriminalitet og korrupsjon i både privat og offentlig sektor. Denne oppfatningen står i kontrast med det bildet man får av Norge gjennom norske aviser som daglig har oppslag om ulike korrupsjonsskandaler eller andre økonomiske misligheter i både offentlig og privat sektor. En årsak til dette kan ligge i at etikk og etikkopplæring ikke prioriteres av norske ledere. Selv om det stadig organiseres seminarer og utdanningstilbud for bedriftsledere innen etikk og forebygging av økonomisk kriminalitet og korrupsjon, kan det se ut til at norske ledere ikke tar seg tid til å diskutere temaet. Aftenposten publiserte nylig resultater fra en undersøkelse utført av etikkforsker Jørn Bue Olsen, som påpekte at bedriftsledere er svært lite opptatt av etikk i sin rolle. Etikk er viktig, men det passer ikke nå, var et svar etikkprofessoren ble møtt med hos flere av hans intervjuobjekt. Dette er en skremmende utvikling. Det viser seg gang på gang at ledelsens engasjement og handlingsmønster er viktig for de ansattes oppfatning av hvordan man bør forholde seg til for eksempel gaver fra leverandører eller andre forretningspartnere. Dersom ledelsen ikke går foran med et godt eksempel, kan de heller ikke forvente at de ansatte følger fastsatte regler. De retningslinjer som i virkeligheten etterleves i en organisasjon er ikke de som er skrevet på glanset papir, men de som ledelsen selv etterlever. For å opparbeide motstandskraft mot økonomisk kriminalitet og korrupsjon trengs det et betydelig større engasjement fra ledelsen enn det som er vanlig i dag. Hva koster økonomisk kriminalitet? Å bedømme hvor mye organisasjoner taper som en følge av økonomisk kriminalitet og korrupsjon er ingen enkel oppgave. Mange tilfeller blir aldri oppdaget, og hvis de blir oppdaget er det likevel vanskelig å beregne den totale kostnaden. Grunnen til dette er at det finnes en rekke indirekte kostnader forbundet med økonomisk kriminalitet. I tillegg til den reelle verdien som er stjålet eller underslått, medfører økonomisk kriminalitet indirekte kostnader som skadet omdømme, tapte markedsandeler, dårlig bedriftskultur, tapt tid, og så videre. Disse kostnadene kan ikke måles nøyaktig, men ifølge Association of Certified Fraud Auditors (ACFE) ble de estimert til å utgjøre 6% av omsetningen i amerikanske organisasjoner i Overført til norske forhold kan man anta at en typisk norsk organisasjon vil kunne forbedre sin omsetning med ca 3-5 % ved å drive aktiv forebygging av uetisk og / eller ulovlig atferd og mulighetene for korrupsjon. Effektiv forebygging støttes av de ansattes kunnskap om risikoene som organisasjonen står overfor. Hvordan utvikle motstandskraft mot økonomisk kriminalitet og korrupsjon? Viljen til å utvikle motstand mot et problem er ikke noe nytt fenomen. På det personlige plan ønsker vi alle å utvikle motstandsdyktighet mot sykdommer som kreft, influensa eller forkjølelser. På samme måte har organisasjoner i lengre tid brukt interne systemer for å unngå feil og forsømmelser, og for å øke effektivitet og kvalitet. Fra et eksternt perspektiv blir relevansen av å måle motstand mot grådighet og dårlig ledelse stadig tydeligere. Denne motstandsdyktigheten reflekteres gjerne i organisasjonens fokus på og innlemmelse av det vi kaller god Corporate Governance og Corporate Social Responsibility. Organisasjoner bør implementere et overordnet internt system, med mål om å øke motsandskraft mot økonomisk kriminalitet og korrupsjon, og med fokus på økt fortjeneste og handlingskraft. Ytterligere mål kan være å gi etiske retningslinjer økt oppmerksomhet og å imøtekomme eksterne krav og forventninger til en godt ledet og mer transparent organisasjon. The Fraud & Corruption Resistance Profile er en profil, eller et tverrsnitt, som viser hvor effektivt en gitt organisasjons retningslinjer og kontroller motvirker økonomisk kriminalitet og korrupsjon. Når profilen utarbeides etter en standardisert form, vil det være mulig å identifisere og prioritere de forbedringer som må gjennomføres. Hvordan Fraud & Corruption Resistance Profile fungerer i praksis The Fraud & Corruption Resistance Profile (FCRP) er et redskap som benyttes til å måle en organisasjons, et selskaps eller en enhets motstandsdyktighet mot økonomisk kriminalitet eller korrupsjon. Den tar også hensyn til virkninger på lønnsomhet, langsiktige verdier, omdømme og intern kultur. Profilen er basert på følgende definisjoner: Økonomisk kriminalitet: En bevisst handling begått av en eller flere personer i ledelsen, personer med ansvar for kontrollfunksjoner, ansatte eller en tredje part, som ved hjelp av bedrageri tilegner seg en urettmessig eller ulovlig fordel. (International Standards on Auditing ISA 240) Korrupsjon: Misbruk av offentlige eller private midler til egen fordel (OECD / World Bank) Definisjonene omfatter de viktigste prinsippene fra UN Global Compact Principle on Anti-Corruption, OECD Business Approaches to Combating Corrupt Practices, Transparency International s Business Principles for Countering Bribery, samt COSO Internal Control Framework og Sarbanes-Oxley Act of intern

7 Motstandsdyktighet mot økonomisk kriminalitet En inngående vurdering av risiko (2) på tvers av organisasjonen er en forutsetning for effektiv forebygging. Analysen bør inkludere systematisk identifikasjon og vektlegging av risikoer som påvirker eller kan tenkes å påvirke organisasjonen på et hvilket som helst plan. I risikoanalysen inngår også en vurdering av hvor gode kontrollfunksjonene er. Når risikoanalysen er gjennomført, kan en plan for håndtering (3) av risiko innledes fra topp til bunn i organisasjonen. Deretter følger implementering av effektive kontrollmetoder (4) som forutsetter utvikling og igangsetting av et opplæringsprogram (5). Håndtering og gjenkjenning av røde flagg er en krevende prosess som kan deles i fire elementer: Figur 1: Helhetlig strategi for håndtering av risiko En Fraud & Corruption Resistance Profile bygger på en helhetlig strategi basert på seks punkter for håndtering av risiko (som vist i figur 1). Strategien kan implementeres i alle typer organisasjoner. Toppledelsen og styret bør gå foran med et godt eksempel, være bevisst på sine omgivelser og reagere på de viktigste risikoene. De bør forsikre seg om at alle tegn som indikerer muligheter for økonomisk kriminalitet og korrupsjon ( røde flagg ) følges opp. Dette gjøres ved å opprette en struktur for håndtering av potensielle tilfeller, og bruke tidligere erfaringer til å forbedre motstandsdyktigheten. Etter en slik strategi er implementert, kan den utvides til å inkludere elementer som kan benyttes til å måle vedvarende motstandsdyktighet mot økonomisk kriminalitet og korrupsjon som vist i figur 2. Tone at the top (1) viser graden og effektiviteten av toppledelsens engasjement ved forebygging av økonomisk kriminalitet og korrupsjon. Toppledertonen har en avgjørende effekt på resten av organisasjonen. Ledelsen bør gi beskjed om at misligheter og korrupsjon ikke vil bli tolerert og engasjementet deres bør virke troverdig og være synlig både internt og eksternt. Hvordan utpekt risiko bør følges opp (6) og oppdateres med tanke på endringer i virksomheten og blant ansatte En effektiv internrevisjon (7) med tilstrekkelig mandat Høy grad av uavhengig og effektiv kontroll av styret (8), toppledelsen og resten av ledelsen Omfang av og kvalitet på proaktiv kontroll og avdekking (9) i organisasjonen På grunn av at etterforskninger gjerne er kostbare og ubehagelige, kan det være fristende å forhandle frem en løsning, som for eksempel oppsigelse eller førtidspensjonering. Derimot er det en vellykket håndtering av tilfeller (10) som gir ledelsen troverdighet. Alle tilfeller av økonomisk kriminalitet og korrupsjon tilbyr muligheter for en organisasjon å tilegne seg ny kunnskap. Hvordan ledelsen kan lære av tilfellene (11) og hvordan de muliggjør måling av resultater og evaluering av handlinger (12) definerer organisasjonens potensial for fortsatt forbedret prestasjon. Det skraverte feltet av figur 2 er en unik mislighets- og korrupsjonsprofil for den enkelte organisasjon som granskes, mens de tomme feltene representerer muligheter for forbedringer. Hvert element er delt inn i detaljerte underelementer som inkluderer hundrevis av nøkkelspørsmål. Figur 2: Fraud & Corruption Resistance Profile intern 7

8 Motstandsdyktighet mot økonomisk kriminalitet Figur 3: Det første elementet The tone at the top. Figur 3 viser hvordan det første elementet, The tone at the top er definert og inndelt i åtte underelementer og 46 spørsmål, med en vekting på 12,5% av total vurdering. Bruk av Fraud and Corruption Resistance Profile (FCRP) vil vanligvis etterspørres av enten et uavhengig styremedlem eller en revisjonskomité, men den kan også initieres av internrevisjonen, forutsatt tilstrekkelig grad av uavhengighet. Selv om de spesifikke spørsmålene og vektingen kan variere noe avhengig av type organisasjon, er en slik rating like relevant for internasjonale selskaper, finansielle institusjoner, små og mellomstore bedrifter, offentlige selskap eller andre typer organisasjoner som kan være utsatt for økonomisk kriminalitet og korrupsjon. Å oppnå motstandskraft mot økonomisk kriminalitet og korrupsjon er på ingen måte enkelt. Noen av elementene beskrevet byr på store utfordringer, som for eksempel: The tone at the top er ofte definert i etiske retningslinjer (Code of Conduct), noe som er juridisk påkrevd i stadig flere selskaper. Likevel strever ledelsen ofte med å etterleve egne standarder ved vanskelige beslutninger og strategiske valg. Fokus på oppfølging av reglement blir ofte nedprioritert. Setningen å drive en åpen, ærlig og transparent virksomhet er vanligvis inkludert i etiske retningslinjer. Hvis ledelsen innser at innholdet er noe de bør etterstrebe, er de i en sterkere posisjon enn om de påstår at all virksomhet i organisasjonen allerede er transparent. All granskning; fra definering av og testing for røde flagg, til å kontrollere styrets aktiviteter, kan være politiske fallgruver. Ledelsen bør innse at selv om de ikke er eiere av selskapet har de myndighet og mulighet til å omgå kontroller og at ingen i organisasjonen kan kontrollere dem uten et tilstrekkelig mandat og ekstern støtte. I tillegg kan det være vanskelig å finne tilgjengelige ressurser i de organisasjoner der hjelpemidler og teknikker for å identifisere økonomisk kriminalitet og korrupsjon virkelig er implementert. Å avdekke og rapportere om interne misligheter og korrupsjon har vist seg ikke å være særlig karrierefremmende. Viktigheten av å ta lærdom fra tidligere hendelser er en selvfølgelighet, men det krever at det snakkes åpent om tilfeller av både økonomisk kriminalitet og korrupsjon og at dette ikke feies under teppet. En holdningsendring må til i de fleste organisasjoner, før avdekking av økonomisk kriminalitet eller korrupsjon blir ansett som en følge av sterk ledelse eller gode kontroller, og ikke som en indikasjon på at ledelsen har feilet. Å måle en organisasjons motstandskraft mot økonomisk kriminalitet og korrupsjon går ut på å måle hvor god organisasjonen er til å utføre 8 intern handlinger i praksis, ikke bare oppfylle lovpålagte krav på papiret. Etter hvert som organisasjoner innfører teknikker for å avdekke og minimere de skjulte kostnadene, kan effekten bli så stor at konkurrentene blir tvunget til å følge etter. Profilen er en intern rating som utarbeides etter en standardisert modell. Eksterne målinger, som for eksempel kredittvurderinger, kan implisitt ta hensyn til økonomisk kriminalitet og korrupsjon i forsøket på å identifisere risiko for at en organisasjon kan ha betalingsvansker eller gå konkurs. Disse målingene sier likevel lite om organisasjonens reelle motstandskraft. Dette til tross for at flere selskap er gått under som følge av økonomisk kriminalitet og korrupsjon, en uærlig ledelse, eller i mange tilfeller, begge deler. I fremtiden vil forhåpentligvis slike eksterne målinger eller vurderinger også inkludere mer spesifikke elementer som omfatter organisasjonens evne til å motvirke økonomisk kriminalitet og korrupsjon. Dette kan hjelpe mulige investorer og andre interessenter (som for eksempel forsikringsselskaper, offisielle myndigheter og ansatte) til å ta avgjørelser basert på riktig informasjon. Etter hvert som modellen utvikler seg, kan det være hensiktsmessig å danne egne indekser for ulike bransjer. Ingen organisasjon vil sannsynligvis bli 100 % sikret mot økonomisk kriminalitet eller korrupsjon. Bare det å være aktiv i markedet utgjør en naturlig risiko, og uærlige individer er mestere i å identifisere og utnytte nye muligheter for uærlig virksomhet. Organisasjoner som har utviklet en evne til å motvirke økonomisk kriminalitet og korrupsjon kan likevel dekke noen av de største gapene mellom teori og praksis som eksisterer i dag, og dermed betydelig øke verdien for aksjeeiere og andre interessenter. Høyere krav fra aksjeeiere og eksterne interessenter, forbedret lovgivning og økt bevissthet rundt temaet har ført spørsmålet om forebygging av økonomisk kriminalitet og korrupsjon inn i styrerommene. En toppledelse som avviser temaet som noe de ikke trenger å adressere, eller som ikke ønsker å ta på seg et problem de føler er uløselig eller, enda verre, som selv er involvert i økonomisk kriminalitet eller korrupsjon, vil forhåpentligvis oppleve at de mister sin plass ved bordet. Noter: 1. Denne artikkelen er reprodusert med tillatelse fra Det Norske Veritas (DNV), en internasjonal sertifiserings- og ratingorganisasjon. Artikkelen ble opprinnelig trykket på engelsk i februar/mars utgaven 2006 av Fraud Intelligence, skrevet av Nigel Iyer fra Hibis Scandinavia AS. Hibis Scandinavia AS, som til daglig jobber med forebygging og etterforsking av økonomisk kriminalitet og korrupsjon var en av de største eksterne bidragsyterne til et prosjekt DNV initierte i 2005, med mål om å utvikle, designe og teste en Fraud and Corruption Resistance Profile (FCRP).

9 intern 9

10 Etikkarbeid i helsetjenesten Internrevisjon, forskning og etikk Erfaring fra spesialisthelsetjenesten En godt fungerende helsetjeneste er av fundamental verdi. Det er vi villig til å betale for. Om ikke hva som helst; helsetjenesten har økonomiske rammer, og vi forventer rettferdig fordeling. Norge er av de land i verden som bruker mest på helsetjeneste. I alt 13 % av brutto nasjonalprodukt går med. Dette stiller høye krav til hvordan pengene brukes. Øystein Kruger er utdannet lege og er spesialrådgiver med spesielt ansvar for forskningsadministrasjon og medisinske kvalitetsregistre i Helse Øst. Spesialisthelsetjenesten Spesialisthelsetjenesten har fire lovfestede oppgaver: Pasientbehandling Undervisning av helsepersonell Opplæring av pasienter og pårørende Forskning Spesialisthelsetjenesten forholder seg til en rekke lover og forskrifter, mer enn 80 ved opptelling. Legger vi til regulering av forskning, øker tallet ytterligere. Lover og forskrifter representerer samfunnets krav og forventninger og tuftes igjen på grunnleggende etiske normer. En av disse er at ressurser til helsetjeneste skal ikke sløses med og de skal brukes til de som trenger det mest. Dette stiller store krav til ledelse, styringssystemer og til korrekt bruk av kunnskap. En uvirkelig juksehistorie fant veien til overskriftene. Samtidig startet jakten på syndebukker og ansvarsplassering. Hvordan kunne dette skje? Hvor var systemkontrollen? Forskning Forskning har ikke hatt noen fremtredende plass som tema for intern kontroll i spesialisthelsetjenesten. Inntil januar Da eksploderte forskningsskandalen på Riks-Radiumhospitalet i media. En uvirkelig juksehistorie fant veien til overskriftene. Samtidig startet jakten på syndebukker og ansvarsplassering. Hvordan kunne dette skje? Hvor var systemkontrollen? En undersøkelseskommisjon ble satt ned og la fram sin innstilling sist sommer. I sin konklusjon pekte rapporten på klare elementer av systemansvar. Millioner av forskningskroner var sløst bort, et helt fagmiljø var lurt opp i stry, og forsknings-norge befant seg midt i en omdømmekrise. Forskningsskandalen ( Sudbø-saken ) bidro til at styret for Helse Øst RHF i februar identifiserte den lokale internkontrollen med forskning i HFene som et av tre risikoområder i Derfor ble denne et av tre tema for Helse Østs egen internrevisjon i år. Internrevisjonen skulle undersøke om kontrollsystemene lokalt fungerte tilfredsstillende. Etiske sløyfer og behovet for kontroll Internrevisjon kan være en kontroll av etisk styringsstandard og styringsevne. Vanligvis forbindes etikk og forsvarlighet i forskning på sykehus med at forsøkspersoner/pasienter ikke utsettes for unødig helserisiko og at personvernet for den enkelte ikke krenkes. Kravet om informert samtykke er grunnleggende og er en forutsetning for gjennomføring av de fleste forskningsprosjekter der pasienter er involvert. Derfor er det klare formelle krav som må oppfylles før forskningsprosjekter starter. Som regel må prosjektet være vurdert av Regional komité for medisinsk forskningsetikk (REK) og forholdet til helseregister- og personopplysningslov/kfr Datatilsynet skal være avklart. Medisinsk forskning skal etablere ny kunnskap, som kan komme pasientene til gode. Men det er andre etiske problemstillinger: Ressurser brukt til medisinsk forskning kunne kanskje vært brukt til andre eller bedre? - formål. Medisinsk forskning skal etablere ny kunnskap, som kan komme pasientene til gode. For 2006 har Helse Øst RHF satt av 100 mill kr av egen budsjettramme til forskningsformål og de lokale helseforetakene skal bruke opp mot 1 % av sin basisbevilgning til forskning. I tillegg kommer cirka 80 mill. kr av øremerkede midler til forskning fra Helse- og omsorgsdepartementet. Dette betyr at om lag 300 mill.kr er avsatt i regionen til medisinsk forskning i spesialisthelsetjenesten. Er det riktig å bruke så mye? Skulle de heller vært brukt til pasientbehandling? Gjennom internrevisjon kan det ses etter om internkontrollen for forskning fungerer. Forskningsmidler skal brukes på en slik måte at forskningsprosessen ikke havarerer. Gjør den det, vil ressursene ha vært brukt til liten nytte, forskningens troverdighet rammes og oppslutningen fra pasienter og publikum svekkes. Dette vil igjen skape vanskeligheter for å realisere ny forskning. Problemet med Sudbøsaken var ikke bare at anerkjente medisinske fagtidsskrifter var villedet, men også at midler som kunne vært brukt til annen nyttig, forskning eller til pasientbehandling, var spilt, samt at oppslutningen om medisinsk forskning ble utfordret. Den grunnleggende tillit som er forutsetningen for andre forskere, var rokket ved. Riktig prioritering av ressursbruk i helsetjenesten er både vanskelig og viktig. Intern kontroll består av strukturer, aktiviteter, prosesser og systemer som hjelper ledelsen til måloppnåelsen. For forskning betyr dette at ressurser, som etter nøye vurdering er bevilget til et bestemt formål, faktisk blir brukt til dette, at forskningen skjer i henhold til lov og myndighetskrav og at kvaliteten i forskningen er forsvarlig. 10 intern

11 Etikkarbeid i helsetjenesten Individualetikk og fordelingsetikk Helsearbeidere er lært opp til å ta hånd om enkeltmennesket som har behov for helsetjeneste. Å gjøre det gode for den enkelte pasienten, står i sentrum. Dette handler ikke bare om å ha gode intensjoner, men også om å forvalte fagkunnskap på en slik måte at den enkelte får så god kvalitet på medisinsk diagnostikk, behandling, pleie og omsorg, som er mulig å gi innenfor gitte ressursrammer. Enkeltmennesket har en rekke rettigheter nedfelt i lovverket, mest eksplisitt uttrykt i pasientrettighetslov og prioriteringsforskrift, og helsearbeideren og helsetjenesten har tilsvarende en rekke lovbestemte plikter for å oppfylle pasientens rettigheter. Forskningsprosesser som havarerer på grunn av forebyggbare kvalitetsfeil og formelle feil er ikke bare ressurssluk, de demotiverer og fratar muligheter for god forskning. Internkontrollen skal legge til rette for at disse lovkravene er oppfylt. Internrevisjon kan bidra til å sikre av denne internkontrollen fungerer. Slik sett er intern revisjon individualetikkens (eller pliktetikkens) vokter. Det er et annet etisk perspektiv som ikke så lett sees i den kliniske hverdag, og det er fordelingsetikken, eller nytteetikken: Hvordan bruke ressursene på en slik måte at de kan tjene flest mulig best mulig? Dette perspektiv er implisitt i prioriteringsforskriften, men er også underliggende for myndighetenes fordeling av ressurser til de ulike fagområder/ulike pasientgrupper og ulike aktiviteter innen helsetjenesten. Dersom ledelse og styringsmekanismer ikke ivaretar ressursfordelingen, kan hele pasientgrupper lide. Et eksempel på helsepolitisk styring av ressurser er endret relativ fordeling av ressurser mellom psykiatri og somatikk. Det vil også gjelde mellom forskning og klinisk virksomhet og internt i forskning, mellom ulike aktiviteter. Fordelingsetikk er ikke bare knyttet til fordeling mellom fagområdene, men også til fordeling mellomaktiviteter, eksempelvis mellom pasientbehandling og forskning. Gjennom internrevisjon kan det ses etter om ressurser til forskning, blir brukt etter intensjonen, om den har god kvalitet og oppfyller lovkrav. Forskningsprosesser som havarerer på grunn av forebyggbare kvalitetsfeil og formelle feil er ikke bare ressurssluk, de demotiverer og fratar muligheter for god forskning. Inntrykk fra forskningsrevisjonen i Helse Øst 2006 Internrevisjon av internkontrollsystemene for forskning i Helse Øst høsten 2006 ga nyttig innsikt. Det er første gang i Norge at disse kontrollsystemene for forskning på sykehus /HF har blitt kontrollert på denne måten. For hvert helseforetak ble i alt seks forskningsprosjekter nærmere belyst, foruten HFets/sykehusets generelle styringsog kontrollsystem for forskning. Men den beste sikring av kvalitet på forskningens grunnprosesser er graden av transparens i miljøet, at forskningen i fagmiljøet er åpen, tilgjengelig aktivitet. Inntrykket er at det etter forskningsskandalen på Riks- Radiumhospitalet er vokst fram en ny bevissthet om ansvarsplassering og systemansvar. I alle ti helseforetak/sykehus som var med i årets internrevisjon var det gjennomgående at forskningsprosjektene hadde orden på søknader til REK, Datatilsyn, dataoppbevaring og samtykke fra pasient der det var nødvendig. Ikke alle steder var oppfølging av produksjon og framdrift god, og dermed var kontrollen av effektivitet i ressursbruken svekket. Styringslinjene for forskning kan også klart forbedres, det samme gjelder kontroll av datakvalitet. Ingen steder ble det avdekket graverende forhold som kunne true helseforetakets og forskningens omdømme. Men den beste sikring av kvalitet på forskningens grunnprosesser er graden av transparens i miljøet, at forskningen i fagmiljøet er åpen, tilgjengelig aktivitet. Det er nok den beste interne kontroll. Åpenheten har flere dimensjoner: forsknings tema og hensikt, ressursflyten i forskningsaktivitetene, forskningens prosess og gjennomføring, og forskningens resultater. Tiden da forskeren gjemte seg bort med sine data og med sine analyser er over. intern 11

12 Etikk og varsling Etiske dilemmaer ved varsling Korrupsjon og misligheter er et globalt samfunnsproblem og en trussel mot samfunnets stabilitet og sikkerhet. Heller ikke vårt land er noe unntak. På begynnelsen av nittitallet ble vi rystet i vår naivitet over korrupsjonsskandalen i Oslo kommune. Nå er vi der igjen, og også nå rettes fokus mot våre etiske holdninger og hvilke tiltak som myndighetene og virksomheter tar i bruk for å forebygge og håndtere denne typen kriminalitet. Unni Leivestad er cand.jur og Dipl. I.R. og er nå i NAV internrevisjon. Hun har tidligere vært revisjonssjef i Tollvesenet og har erfaringer fra internrevisjonen i Oslo kommune hvor hun blant annet var sentral i arbeidet med korrupsjonssakene tidlige på 90-tallet. Hun har 5 års erfaring som tolldistrikssjef og har i mange år arbeidet med arbeidsrett i Oslo kommune og Bankenes Arbeidsgiverforening. Hvorfor varsling Det har vist seg at varsling er et av de mest effektive tiltakene for å avdekke og bevise økonomisk kriminalitet. Varsleren er den som ofte kjenner saken fra innsiden og kan gi tilstrekkelig og pålitelig informasjon til at det kan igangsettes etterforskning, noe som igjen kan medføre en oppklaring av saken. Tidligere undersøkelse har vist at det var tips som i nesten halvparten av tilfellene førte til at forholdene kom frem i lyset og ble fulgt opp. Det er også god grunn til å anta at det er en stor grad av underrapportering i denne typen saker. Varsleren blir derfor helt sentral for å komme ondet til livs, i alle fall et godt stykke på vei. Dessverre er situasjonen slik i dag at det oftest er varsleren som blir sittende med svarteper, og det fremmer i alle fall ikke varsling. Myndighetene Dilemmaet som myndighetene står overfor, er utfordringen med å få de nødvendige virkemidlene til å kunne håndtere et så alvorlig samfunnsproblem som denne typen kriminalitet representerer. Et problem som det vil være uetisk av myndighetene å overse, fordi det er en trussel mot hele vår samfunnsstruktur ved at demokratiske institusjoner, verdier og rettferdighet blir undergravet. Men for å få varsleren som samarbeidspartner må myndighetene sikre at den som påtar seg belastningen med å fortelle, ikke blir utsatt for gjengjeldelse og stigmatisering. Lovgivningen må beskytte, samtidig som den må signalisere at varsling er ønskelig i fellesskapets interesser. Med andre ord, varsling må gjøres etisk akseptabelt. Det må ikke bare sies at det er det, men varsleren må også oppleve det som en realitet. På den annen side må den berørte virksomhet sikres mot urettmessig og skadevoldende varsling. Det blir et dilemma mellom det å fremme varsling, samtidig som man ikke ønsker at det skal utvikles en angiverkultur. 12 intern Varsleren Dilemmaet for varsleren er kanskje det største og mest alvorlige fordi erfaringene viser at det er denne som må ta den største personlige belastningen, i alle fall hvis varsleren står åpent frem eller det blir kjent hvem som varslet. Vedkommende kan bli stigmatisert og stemplet som illojal med de konsekvenser det har både i arbeidsforholdet og privatlivet. Erfaringene så langt er at mange som på en eller annen måte er kjent med kritikkverdige forhold i virksomheten, ikke vil ta den personlige belastningen det innebærer å si ifra. Frykten for mobbing er stor, og det er et tankekors at den er størst i det offentlig sektor! Igjen er det et etisk dilemma for den det gjelder. Skal man tie om mulig økonomisk kriminalitet for å skjerme seg selv, når fortielsen kan få alvorlige følger for andre. Det som gjerne er omtalt som tystnadens tyranni. Virksomheten Hva er så dilemmaet for virksomheten/arbeidsgiveren? De fleste arbeidsgiverne er i hovedsak mest interessert i å holde forholdet skjult for omverdenen fordi det kan påfører virksomheten, og ikke minst ledelsen, belastninger som de helst vil være foruten. Det gjelder virksomhetens omdømme både eksternt og internt, økonomisk tap, store bøter, tap av løyver/tillatelser, rettssak, konkurs og i verste fall fengselsstraff. For ledelsen gjerne tap av stilling og kanskje posisjon. I det offentlige tap av fellesskapet ressurser, dine og mine skattepenger. Dilemmaet for ledelsen blir å holde en alvorlig forbrytelse skjult når det på den annen side er en viktig samfunnsinteresse å få den type forhold frem i lyset. Et annet dilemma for virksomheten er forholdet til arbeidstakeren som er skyld i at forholdet blir synlig i det offentlige rom. Varsleren er den som oppleves som skadevolderen, mer enn kanskje den som har gjort selve skaden. For den som blir direkte berørt kan det være vanskelig å ha det overordnede samfunnsmessige perspektivet når åpenheten i seg selv kan få så alvorlige konsekvenser, både for virksomheten og ikke minst, slå tilbake på ledelsen. Da vil angrep på varsleren fort kunne bli det beste forsvar. Et angrep kan gi seg utslag i beskyldningene om illojalitet som igjen gir grunnlag for mer eller mindre spissfindige former for utstøtelse og karrierehindringer. Man tar spilleren istedenfor ballen. Status i lovgivningsarbeidet Regjeringen har nå lagt frem et forslag i tre punkter til endringer i arbeidsmiljøloven om varsling. Det gjelder retten til varsling, vern

13 Etikk og varsling mot gjengjeldelse og en plikt til å legge forholdene til rette for varsling. Forslaget ligger nå til behandling i Stortingets arbeids- og sosialkomite og er ventet vedtatt nå i høst. Forslaget har gitt grunnlag for mye debatt i det offentlige rom. Det er spesielt noen forhold jeg vil trekke frem her, da disse kan være aktuelle for intern revisjonen. Litt om lovforslaget og de innvendinger som er fremkommet. Det slås fast at det er en rett til å ytre seg på egne vegne om kritikkverdige forhold i virksomheten. Utgangspunktet for lovforslaget har vært å trekke grensen for arbeidstakers ytringsfrihet opp mot lojalitetsplikten i arbeidsforholdet. Det som i min gamle lærebok i arbeidsrett ble betegnet som troskapsplikten og som der beskrives som arbeidstakerens faglige holdning på det etiske plan, hans lojale oppslutning om arbeidsgiverens interesser, og hans avståen fra enhver utilbørlig tilsidesettelse eller undergraving av disse til fordel for egne eller andres. Men også på den tid var ikke troskapen ubetinget: Arbeidstakeren er i det hele ikke forpliktet til i ubetinget taushet å bivåne at hans arbeidsgiver tilsidesetter hensynet til redelig og anstendig ervervsvirksomhet. En slik forpliktelse ville lett kunne gå på hans egen ære, hans gode navn og rykte løs. Grensen for arbeidstakers ytringsfrihet er at det ikke må gjøres på en måte som skaper unødig risiko for skade på arbeidsgivers saklige og tungtveiende interesser. Som eksempler kan nevnes bedriftshemmeligheter, forretningsforhold av vesentlig konkurransemessig betydning, eller forhold som omfattes av lovfestet taushetsplikt. Forbeholdet er i lovteksten kommet til uttrykk i et krav om at Arbeidstakers fremgangsmåte ved varslingen skal være forsvarlig, det såkalte forsvarlighetskriteriet som har skapt så mye diskusjon. Professor i arbeidsrett, Henning Jakhelln, har engasjert seg sterkt i Regjeringens lovforslag og forsvarlighetskravet spesielt. Han er av den oppfatning at hovedfokus vil bli en vurdering av varslerens forhold. Som han skriver i sitt brev til Stortingets arbeids- og sosialkomite: Spørsmålet vil uvegerlig bli om varsleren har opptrådt forsvarlig. Ved vurdering av varslerens forhold skal virksomhetens forhold bare være et moment. Dermed dreies spørsmålet bort fra vurderingen av virksomhetens kritikkverdige forhold, og over til et spørsmål om varsleren har opptrådt kritikkverdig. For å fremme varsling gis varsleren en form for beskyttelse mot uønskede konsekvenser, det vil si mot gjengjeldelse fra arbeidsgiver. Forslaget omfatter ikke kun varsling, men ansattes ytringsfrihet i sin alminnelighet. Det som har vært diskutert i forarbeidene, er varslerens rett til anonymitet. I lovforslaget er varsleren ikke sikret en slik rett, men det henvises til at arbeidsgiver skal ha en plikt til å legge forholdene til rette for varsling, og at dette skal knyttes opp mot virksomhetens HMS-arbeide. Det vil si at forholdene i praksis skal legges til rette for frie og kritiske ytringer i virksomheten. Begrunnelsen er at anonymitet ikke vurderes som et hensiktsmessig virkemiddel. I forarbeidene sies det at det er grunn til å vurdere en lovfesting av retten til anonymitet ved varsling til tilsynsmyndigheter, uten at det konkret er fremmet forslag om det. Professor Jakhelln mener derimot at det burde være aktuelt med anonym varsling, fordi noe annet kan innebære en begrensning i adgangen til å varsle om kritikkverdige forhold. Han mener at lovforslaget ikke er tilstrekkelig til å sikre varsleren mot at det iverksettes undersøkelser eller andre tiltak for å bringe på det rene hvem som står bak varslingen. Derfor foreslår han at det i lovteksten gis et klart forbud mot at arbeidsgiver iverksetter undersøkelser for å finne ut hvem som har varslet. Muntlig ble det på et møte opplyst fra departementet at det i forbindelse med de rutinene arbeidsgiver vil bli pålagt å utarbeide for å tilrettelegge for intern varsling, vil bli fastsatt prinsipper for fortrolighet. Videre fremmes det et forslag om endringer i bestemmelsene i forvaltningsloven om at arbeidsgiver ikke kan pålegge en ansatt taushetsplikt om forhold som allmennheten har krav på innsyn i eller som det er gitt innsyn i etter offentlighetsloven eller annen lov om dokumentsoffentlighet. Oppsummering I den pågående debatten er søkelyset rettet mot spørsmålet om det virkelig er tilstrekkelig vilje hos myndighetene til å gå så langt at man oppnår den samfunnsmessige hensikten med forslaget, nemlig å få et effektivt virkemiddel til å bekjempe korrupsjon og økonomiske misligheter. Mange røster mener nei. Avgjørende blir i hvor stor grad våre lovgivere er villige til å gi varsleren det nødvendige vern i det som må sies å være en interessekonflikt mellom flere parters interesser; myndighetene, varsleren og den berørte virksomhet. Internrevisjonens rolle Virksomheten bør ha klare retningslinjer på hvordan håndtere varsling om kritikkverdige forhold. Etter min vurdering bør internrevisjonen ha en sentral rolle i denne type saker og dette bør klart fremgå av retningslinjene, som et ledd at forholdet først bør tas opp internt, før man eventuelt går ut offentlig. Her kan internrevisjonen være et viktig bidrag, og denne rollen bør gjøres kjent i virksomheten. Virksomhetens intranett kan være et hensiktsmessig forum for slik informasjon. Enhver internrevisjon bør være seg sin rolle bevisst, hva som skal håndteres av dem og hva som skal håndteres av andre. Grensen mot ansvarlig leder og personalområdet bør være avklaret slik at man får en god håndtering av saken som helhet. Internrevisjonen bør derfor ha diskutert og lagt til grunn prinsipper for hvordan man vil håndtere eventuelle tips om mulige irregulære forhold. Det gjelder blant annet forholdet til varsleren og spørsmålet om anonymitet. Som for eksempel hvis tipset nedtegnes og varslers navn nedtegnes i et notat, vil dette gjennom reglene om partsoffentlighet i offentlig sektor kunne bli kjent for den det gjelder. Likeledes vil slik informasjon kunne bli fremprovosert i forbindelse med en rettssak. Det vil derfor være viktig å ha interne rutiner som sikrer varsleren anonymitet dersom det er en forutsetning for å gi nødvendig informasjon. Videre må internrevisjonen ha rutiner for hvordan man forholder seg til den berørte enhet, hvem gjør hva på hvilket trinn i saken. Det er viktig å ha en saksbehandling som ivaretar rettsikkerheten til den berørte person eller enhet, samtidig som man må sikrer seg mot eventuell bevisforspillelse. intern 13

14 Etikk OCEG Audit Guide Etikk levert og revidert Av Jørn Arnesen revisjonsleder i Statens jernbanetilsyn Jørn Arnesen, CIA, CCSA, CISSP Revisjonsleder i Statens jernbanetilsyn. Bakgrunn fra Deloitte som Manager/gruppeleder i Security services group i Norge og fra Datatilsynet som sjef for sikkerhetsseksjonen. Deltok i arbeidet med å utvikle sikkerhetsbestemmelsene i personopplysningsforskriften, ledet Næringsdepartementets utredning av norske ordninger for IT-sikkerhetssertifisering og har vært oppnevnt som ekspert for Europarådet. Har gjennomført internrevisjoner av store organisasjoner i inn- og utland. Medlem av redaksjonskommiteen for Intern og styremedlem i ASIS-internasjonal/avdeling Norge. Virksomhetene står overfor etiske problemer daglig. Et vel av lovpålagte krav og føringer utfordrer foretak som ikke bare må fremstå som etiske, men som faktisk må drive slik lovgivere og samfunnet for øvrig forventer og alt dette i full offentlighet og stadig sterkere søkelys. Hva er så disse forventningene hvor går grensen mellom etisk og uetisk virksomhet? Er rypejakt i Sverige kundepleie eller korrupsjon hva med en golftur til Spania? Og like viktig: Hvordan sikrer vi at virksomheten holder seg innenfor de etiske rammene? Svaret er ikke internrevisjon men internrevisjon er en del av svaret, i samspill med andre virkemidler. Open Compliance & Ethics Group forkortet OCEG er en meget spennende amerikansk organisasjon som jobber med etikk. OCEG Audit Guide: Assessing Governance, Risk, Compliance and Ethics Programs gir en innføring i disse virkemidlene. Etisk virksomhet i samsvar med lover og regler oppnås ikke gjennom tilfeldigheter eller som ryggmargsrefleks. Etiske problemstillinger må takles planlagt og systematisk gjennom å etablere en organisasjonskultur der ulovligheter og uetisk framferd ikke aksepteres, via etiske retningslinjer og fremgangsmåter som er integrert den daglige driften, til aktiv etterprøving og oppfølging av arbeidet. Og i dette siste viktige punktet trer internrevisjonen inn, godt hjulpet av OCEGs guide. Veiledningen anviser et program for revisjon av etikk/lovoppfyllelse ikke i detalj, men som rammeverk for tilpassing til konkrete revisjoner. Veiledningen foreslår aktuelle revisjonstema som: Gir ledelsens holdninger et riktig og effektivt grunnlag for å fremme etiske holdninger i virksomheten? Kjenner virksomhetene de etiske rammer og de krav og føringer som gjelder? Sikrer de tiltak som er iverksatt at rammer, krav og føringer overholdes? Er tiltakene tilpasset virksomhetenes omfang og kompleksitet og er de kostnadseffektive? I forlengelsen av dette beskrives hvordan revisjon av slike tema skal planlegges, hvordan feltarbeidet kan gjennomføres og hvordan revisjonsresultater bør rapporteres. Dette er altså OCEGs guide : En presentasjon av grunntrekkene i arbeidet med å sikre at virksomhetene driver i samsvar med etiske føringer og lovpålagte krav, sammen med en beskrivelse av hvordan dette arbeidet kan følges opp ved hjelp av internrevisjon. Slik sett kan veiledningen være et viktig hjelpemiddel i arbeidet med etiske problemstillinger. Det er imidlertid nødvendig med en advarsel: Disse problemstillingene berører sentrale juridiske føringer knyttet til håndtering av straffbare forhold, rettssikkerhet og personvern. Veiledningen er skrevet med utgangspunkt i amerikansk juss som på vesentlige punkter avviker fra vårt hjemlige regelverk. Før norske virksomheter tar veiledningen i bruk må slike juridiske spørsmål være avklart. I tillegg til virkemidlene nevnt over har veiledningen et bonusspor: En samling spørsmål for å avklare hvordan en virksomhet takler (eller ikke takler) etiske problemstillinger. Spørsmålslisten omfatter 20 spørsmål innenfor temaene kultur, målsettinger og strategier for arbeidet med etiske problemstillinger, organisering, informasjon og opplæring, håndhevelse og sanksjoner og oppfølging. Spørsmål som: Hvordan kommer virksomhetens holdninger til etiske problemstillinger til uttrykk i formelle mål- og strategibeskrivelser? Hvilke holdninger har ledelsen til slike spørsmål og hvordan er disse holdningene kommunisert i organisasjonen? Hvordan sikrer ledelsen at virksomhetenes etiske standard er kjent og etterleves i organisasjonen? Hvordan overvåkes de tiltak som er iverksatt for å sikre at etiske rammer, krav og føringer overholdes? Hvert av disse spørsmålene er begrunnet og typiske svar er angitt. Og for hvert av spørsmålene er det gitt grunnlag for vurdere svar med anvisning av mulige røde flagg : Hvis svaret på det første spørsmålet er: Etiske problemstillinger er ikke berørt i mål- eller strategibeskrivelser. så kan dette indikere at virksomhetens ledelse ikke har iverksatt nødvendige tiltak for å håndtere slike problemstillinger. Er svaret henvisning til en generell, uforpliktende erklæring så kan det bety at virksomhetene anerkjenner risikoen forbundet med uetisk framferd. Røde flagg knyttet til siste spørsmål kan være at slik overvåking ikke gjennomføres, eller ikke gjennomføres med tilstrekkelig uavhengighet. Spørsmålene, og kommentarene til dem, er nyttige hjelpemidler for intern og utdyper revisjonsprogrammet beskrevet over. Men kanskje enda viktigere: Spørsmålene er nyttige som et første spark på ballen for virksomhetsledere som ønsker å avklare hvordan det står til i egen organisasjon Hva er våre etiske holdninger og hva gjør vi for å etterleve dem? Og til de spørsmålene som ble stilt helt først i denne artikkelen: Både rypejakten og golfturen førte til domfellelse i norsk rett. 14 intern

15 Etikk levert og revidert OCEG Audit Guide Assessing Governance, Risk, Compliance and Ethics Programs OCEG VERSION 1.0 January , OPEN COMPLIANCE & ETHICS GROUP Denne revisjonsveiledningen er skrevet av Dan Swanson, CMA, CIA, CISA, CISSP, CAP. Inntil for kort tid siden var Dan ansatt i IIAs hovedkvarter med tittelen Director of Professional Practices. Før han ble ansatt i IIA var Dan en uavhengig konsulent i vel 10 år, og han har nå opprettet selskapet Dan Swanson & Associates hvor han naturlig nok kaller seg både President og CEO. Dan Swanson er en meget erfaren kanadier og idealist med skandinaviske aner, og har et utrolig kontaktnett. Dette benytter han til å spre kunnskap om internrevisjon, og konkret har han etablert og drevet en ganske fenomenal nyhetstjeneste på epost. Nå har han systematisert dette og fått avlevert selve driften til andre men sjekk ut Her kan enkelt melde deg på (og av!) distribusjonslistene hans. intern 15

16 Etikkrevisjon i Texas Culture Change Time on the Geologic Scale Our 2002 audit firmly demonstrated the positive relationship between indicators of a strong ethical climate and reductions in selected administrative costs. Nevertheless, in the four years since that audit, the City of Austin has only partially implemented the audit recommendation.what barriers exist that prevent an organization from making changes that are virtually guaranteed to have positive results? Colleen G.Waring, CIA, CGAP Colleen is the Deputy City Auditor of the City of Austin, Texas. She has worked over 20 years conducting performance audits and training auditors of state and local entities in report writing and performance auditing. She is also a member of the Board of Regents of the Institute of Internal Auditors, and recently completed a term as board member of the National Association of Local Government Auditors. She has a Bachelor of Arts in Communication from Oklahoma City University. Note: The opinions and views expressed in this article are those of the author, and do not represent officially sanctioned positions of the Office of the City Auditor or the City of Austin,Texas. Audit Objectives and Methods The Citywide Ethics Audit 1 had three objectives: 1. examining how much ethical climates varied among different city departments; and 2. determining the relationship between the ethical climate and selected organization costs or administrative impacts (called outcomes ), 3. comparing a standard ethics management program to what s in place in our organization. First, to determine the relationship between the ethical climate and certain costs and administrative outcomes, the audit used statistical correlation methodologies. Specifically, we examined the relationship between indicators of the ethical climate with several financial and administrative measures (called outcome indicators ) that might be affected by ethical problems. Second, to evaluate the variance among city departments, we compared all departments based on their average ratings for different ethical climate indicators. Finally, we assessed the city s current ethics management activities, systems, policies, and processes in comparison to the standards established by the U.S. Federal Sentencing Guidelines. Ethical Climate Indicators For indications of each department s ethical climate, we used average scores by employees on specific questions in the City s annual Listening to the Workforce (LTW) survey. Examples of those questions include: Extent of employee awareness of unethical or illegal behavior by City employees. (High agreement indicates weak ethical climate.) Employees in my work group behave ethically in the workplace I am aware of illegal or unethical behavior in my workplace during the past six months Level of employee agreement that managers in their work group set a good ethical example. (High agreement indicates strong ethical climate.) Managers in my department set a good example by following the laws and policies that apply to their jobs Level of employee perceptions of their department s commitment to enforcing high ethical standards. (High agreement indicates strong ethical climate.) I am confident that quick and decisive action will be taken if wrongdoing is discovered in my work group Employees in my work group can report any unethical behavior they see without fear of retaliation Managers in my department insist that employees follow the laws and policies If I have a complaint in my department, it will be handled fairly The City s personnel policies are interpreted and used fairly by managers in my department Summary of Findings Assuming an active and consistent ethics management program were in place, research has established a reasonable range of variance among different operating units ethical cultures as less than or equal to 2 percent standard deviation. Instead, measures of ethical culture we examined showed wide variance across City departments, with standard deviations ranging from 6.6 to 10 percent. Those departments with below-average ethical cultures showed strong correlations with increased administrative impacts such as legal claims and injury costs and other negative outcomes. To strengthen the ethical culture and ensure a relatively tight variance among departments, the City needs to implement a unified, coherent ethics management system that meets the minimum standards of the Federal Sentencing Guidelines. Measures of ethical culture showed wide variance across departments. For the past decade, the City of Austin has decentralized all responsibility for designing, implementing or monitoring the control environment. Because we could disaggregate the data from the LTW survey by department, we were able to differentiate between departments based on ethical climate measures. 1 For a copy of the report, go to: 16 intern

17 Etikkrevisjon i Texas Awareness of unethical or illegal behavior: In 21 departments at least 70 percent of employees perceived that their coworkers behave ethically, however the perception was not as favorable in the remaining eight departments. Responses to this question range from 90 percent of respondents agreeing in one department to 57 percent in another department an absolute difference of 33 percent. Supervisory attention to ethics: Employees perceptions that supervisors require them to follow rules vary from a high of 100 percent positive responses to the lowest percentage at 50 percent positive responses. City policies are interpreted and used fairly: Employees in most departments perceived inconsistencies between City policies and practices. The largest proportion in any department agreeing with this statement was sixty-three percent. The minimum proportion was 14 percent. Quick and decisive action will be taken if wrongdoing is discovered: Employee responses varied from a high of 79 percent on one department to a low of 29 percent in another. We Found Significant Correlations Between Ethical Climate and Selected Cost and Other Impact Measures We determined that ethical climate differences among City departments were significantly correlated to several cost-related impacts. For instance, departments with a lower ethical climate rating also showed: more paid damages and injury claims to Austin residents and businesses; and more complaints from the public. In addition, more workers were injured in departments (and injury costs higher) where employees reported witnessing misconduct and rated the levels of ethical leadership lower. On the other side of the picture, departments scoring high on their commitment to enforcement of ethical standards: experienced lower rates of sick leave, and more of their employees expressed the intention to keep working for the City. Exhibit 1: Claims Departments with lower ethical climate ratings experienced greater damage and injury to Austin residents and businesses. When employees fail to follow established rules, the City is liable for any resulting damages. In Austin, both the number and cost of successful legal claims filed by Austin residents and businesses were highest among departments where employees reported greater awareness of illegal or unethical behavior by coworkers. 2 (See Exhibit 1.) Conversely, where employees reported stronger agreement that managers of their work group set a good example, the number (although not the cost) of successful claims was lower. Departments with below-average ethical climate ratings received more complaints from the public. The public contacted the City more frequently with complaints and problems about departments where employees reported greater awareness of illegal or unethical behavior by City employees. 3 More workers were injured in departments that ranked lower for awareness of misconduct and level of ethical leadership. Lost time injuries were more likely to occur in departments where employees reported greater awareness of illegal or unethical behavior by City employees. (See Exhibit 2.) In contrast, lost-time injuries were lower in departments where employees reported stronger agreement that managers of their work group set a good example. 4 This result is supported by other occupational safety studies that show workplace pressures to increase productivity often lead managers and workers to take shortcuts on safety rules and procedures. Exhibit 2: Lost Time Injuries Employees working in departments that had a stronger commitment to the enforcement of ethical standards generally took less leave. (See Exhibit 3.) Sick leave usage 5 was lower in departments where: Workers reported greater agreement that their department was committed to enforcing high ethical standards; Employees reported stronger agreement that managers of their work group set a good example; and Managers themselves advocated frequent reminders to employees of ethical considerations. 2 These relationships persisted even after statistically controlling for differences in the departments size and amount of vehicle use. 3 These relationships held even when statistical controls were introduced to adjust for differences in departmental size and whether the work involved law or code enforcement. We adjusted for the type of work to account for any bias resulting from the regulatory nature of the work such as code inspection or police which would tend to generate more complaints. 4 These effects hold even when controlled statistically for differences in department size and the inherent dangerousness of the work. 5 Instead of average sick leave, we compared median sick leave usage to median accruals per department in order to eliminate the upward impact of a few maternity cases or seriously ill workers. This approach also accounts for departmental differences in sick leave accrual rates. intern 17

18 Etikkrevisjon i Texas Exhibit 3: Sick Leave Departments whose employees perceived strong enforcement of ethical standards were less likely to have high turnover rates. (See Exhibit 4.) Departments with exceptionally high turnover (defined as 25 percent or higher) were found primarily among departments where: Employees reported lower agreement that their department enforced ethical standards; and Managers did not stress the importance of making frequent reminders to employees of ethical considerations. Exhibit 4: Turnover Most elements of an effective ethics management system existed at some level, but were decentralized in various departments. Comparing the ethics management system elements from the Federal Sentencing Guidelines (FSG) revealed that most of the elements had been established, but were scattered in various departments. However, the Guidelines are clear that for the elements to be applicable towards reduced fines, the organization must apply and enforce these elements systematically, across all operations. Key elements that were missing from the City s central policy and management environment were: 1. Specific high-level individual(s) assigned overall responsibility to oversee compliance. 2. Due care to prevent delegating discretionary authority to individuals whom the organization can identify as likely to engage in illegal activity. 3. Consistent enforcement, including discipline of individuals responsible for the failure to detect an offense. Exhibit 5 details the status of elements of the FSG at the time of the audit and as of this writing (October 2006). The audit s sole recommendation was for the City to tie together its ethics management efforts, implementing a system that complied with the elements of the Federal Sentencing Guidelines. What has changed since 2002? Although some of the missing elements of an effective ethics management system have been initiated, few have been completed. Most significantly, since the audit was released, the City has yet to implement a consistent, centralized ethics management system despite the powerful arguments of potential cost savings that are likely to result. To its credit, the City has implemented some changes. These include: 1. In 2005, the City appointed an attorney as Ethics Officer reporting directly to the City Manager. This central position has responsibility for providing advice and opinions on ethics questions, as well as offering training where a need is identified. In addition, the Ethics Officer has taken the initiative to begin revising the existing policy on reporting and investigating Fraud, Waste, and Abuse that offered too many options for handling allegations, and had no requirement for central reporting. That policy revision was signed into effect in November, 2006, just as this article was being completed for publication. 2. New Employee Orientation has expanded its ethics training from 30 minutes to 2 hours, and a web site discussing ethics has been added to the City s intranet. 3. Immediately following the release of the audit, an Ethics Oversight Committee was created, but it did not meet. Then, in late 2003, the City Manager introduced four new initiatives, one of which was Unquestionable Integrity. (The other three initiatives were: Uncompromising Innovation, Uncomplicated Access, and Unbeatable Service.) In conjunction with these initiatives, City departments were asked to develop action plans for implementation. This assignment to individual departments reflects a key issue: Although the audit emphasized the need to centralize oversight and management of certain aspects of organizational ethics, typically, the City s approach was to assign design and implementation of ethics programs to individual departments, operating separately. Fundamentally, the City organization functions as a collection of separate units, with controls decentralized to the greatest extent possible. 4. With respect to the Unquestionable Integrity initiative, departments were instructed to take responsibility for training and enforcing ethical behavior. The City Manager directed departments to begin holding discussions on ethics among employees during departmental meetings, and to add ethics into employee performance expectations. However, there was no requirement for reporting back on these efforts, and accountability didn t appear to be established for ensuring the discussions occurred. In addition to these efforts by City Management, full implementation of an effective ethics management system will require collection of comprehensive data and consistent follow-up on cases of actual wrongdoing. At the time of this writing, the City has only just established a requirement for central reporting of investigations or allegations of wrongdoing being conducted in departments. Until this new requirement is publicized and enforced, managers that elect to investigate allegations themselves may never transmit information on the nature of the infraction or its resolution for centralized tracking. A revision to the existing policy (which offered multiple options for reporting or self-investigation by departments) was signed by the City Manager in November However, no steps have been taken to ensure that departments are aware of the changes in reporting requirements. 18 intern

19 Etikkrevisjon i Texas Exhibit 5: Then and Now: Progress Toward Implementing Ethics Management System Elements From November 2002 to October 2006 Elements of Effective Ethics Management Program Establish compliance standards and procedures. In Place Citywide at Time of Audit? ( ) City Charter and Ordinances; Personnel policies; Administrative Bulletin on Fraud, Waste, and Abuse. Policies on cash handling and purchasing. State and federal laws. What Is In Place Now? (2006) Same. The Administrative Bulletin on Fraud, Waste, and Abuse was revised in November 2006 to require all allegations of wrongdoing be reported to either HRD, OCA, or the Austin Police Department. These three plan to coordinate and maintain a central database for ongoing trend analysis. Assign high-level individual(s) overall responsibility for compliance. Do not authorize discretion to individuals who are likely to engage in illegal activity. Communicate the organization s standards and procedures to employees and other agents. Take reasonable steps to achieve compliance with standards through monitoring, auditing, and reporting systems. Consistently enforce standards through appropriate disciplinary mechanisms. Take reasonable steps to respond appropriately to an offense and to prevent similar offenses. New employee orientation included 30- minute training on ethics. Also: Additional voluntary training available on ethics; Newsletter articles on ethics published in City s employee newsletter; New supervisors receive additional ethics training. Administrative Bulletin on Fraud, Waste, and Abuse offers wide array of options for responding to allegations of wrongdoing. Ethics questions regularly included on LTW Survey. If allegations were reported to: the Office of the City Auditor, Human Resources Department, or Austin Police Department, The receiving entity would conduct an investigation and submit a report to the appropriate authority. Created position of City Ethics Officer in 2004, reporting to the City Manager. Duties: advise on request, draft policy, and train. Human Resources and Legal are researching possible procedures for conducting criminal background reviews of new hires. New employee orientation ethics training increased to 2 hours. The Administrative Bulletin on Fraud, Waste, and Abuse addresses only reporting, while still offering no guidance on how departments should investigate or respond to allegations. If central database is implemented, disciplinary actions can be tracked and consistency across departments can be evaluated. The three investigative entities are attempting to collaborate, and may notify one another of cases received, depending on the nature and sensitivity of each case. OCA has launched controls review procedures to identify control weaknesses after a case is completed. In conjunction with the rewrite of the investigations policy, the Human Resources Department began to develop a data base to collect case information on investigations. Once populated with data, the information would be used to idenfity trends in ethical violations, to determine if additional training, strengthened policies, or other interventions may be needed. Although the data base has been in development for 2 years, it has not yet been deployed. Until reporting is required for all departmental investigations, when deployed the database will contain only information provided by three cooperating departments: HRD, APD, and OCA. What contributed to the time required to effect change? There are a number of reasons it has taken four years to achieve the incomplete progress so far. Most of the reasons tie to basic cultural values that exist at the highest levels of the City organization. intern 19

20 Etikkrevisjon i Texas Under a continuous, internal succession of top managers since 1996, certain core values have become deeply rooted. The culture of decentralization, in which all functional responsibility is allocated to the department heads and their own management teams, plays a strong role in the difficulty the City has had in even conceiving of a central management structure for its ethical culture. Another critical contributing value is a strong aversion among most managers in the organization for public accountability. In Texas, the Public Information Act is particularly strong, and is aimed at allowing citizens (and the media) unprecedented access to documents and data regarding government activities. Although the Act is intended to ensure a transparent and accountable government, it may have the unintended consequence of causing some dirty laundry to be whitewashed before it can be publicly aired. In addition to these cultural values, a third factor has contributed to the difficulty of effecting change the extent and quality of cooperation that is necessary between the three departments most frequently involved in tracking, investigating, and resolving integrity violations: HRD, OCA, and APD. Some City departments will occasionally make referrals of specific cases to one of the three. However, these departments have previously not always trusted one another, for various reasons. For instance, APD is traditionally concerned with confidentiality and control of investigations, to ensure the integrity of evidence and testimony that might later be used in criminal prosecutions. Accordingly, APD has consistently maintained autonomy in conducting investigations. For the City Auditor s Office, the barriers to cooperation are tied to the reporting relationship. Because OCA reports directly to Council (rather than the City Manager) members of the Integrity Unit have been reluctant to share information prematurely. Specifically, on a few occasions, OCA investigations are believed to have been contaminated (i.e., evidence destroyed, and stories revised) following management briefings. The City has not directly addressed the cultural values around decentralized authority and aversion to publicity while implementing the components of an ethics management system. However, over the past five years, the three investigative departments have made consistent efforts to increase the extent of their collaboration. APD and OCA investigative staff conduct regular briefings, in which ongoing integrity investigations of City employees or vendors are discussed. These two departments have begun to routinely share tasks, for example when OCA auditors analyze financial transactions to assist a police investigation. Both of these departments have yet to involve HRD staff in their routine briefings, partially because they have not seen HRD s area of focus (investigating policy violations such as sexual harassment and discrimination) as significant to their work. However, perhaps because it is not regularly invited to discuss cases, HRD has on occasion pursued on its own allegations with potential criminal aspects without contacting APD until after completing an investigation. This carries the risk of contaminating evidence or otherwise compromising a future criminal prosecution. It Takes More than Time to Change Certainly, it must be recognized that in the absence of a major crisis or trauma, voluntary change takes time. What may be worse for the City of Austin, however, is that while it has made some changes in how it manages its ethical culture, and continues to take forward steps, the pace of change to some extent has been slowed by unaddressed aspects of that very culture. Clearly, the key elements of the Federal Sentencing Guidelines all relate to an active effort to root out wrongdoing and correct it. In contrast, the tendency to let the departments take care of their own problems may push against rooting out, particularly in instances where the higher levels of a department are complacent or complicit. Moreover, the aversion to public discussion of mistakes, errors, or problems in the organization will also resist any efforts to root out and correct wrongdoing. What ultimately may be needed to complete the change process is a systematic, direct effort towards modifying certain core values currently entrenched in the organization. Detailed Notes on Audit Methods Relationship between the ethical climate and selected outcomes: To examine the relationship between ethical climate indicators and financial and administrative outcomes, we employed data already available from independent sources, such as the City s payroll system, its customer assistance system, and the annual Listening to the Workforce survey. Financial and administrative impacts for which we had measurable data were: Number and cost of successful damage claims filed by Austin residents and businesses for damage caused by City employees. (Damages paid out.) Injuries to employees involving time lost from work. (Workers compensation data.) Complaints made by customers. (Customer assistance system.) Employee assessments of the value their departments provided to customers. (Listening to the Workforce survey results.) Sick leave usage. (BANNER payroll data.) Employee turnover. (BANNER payroll data.) Employee intentions to continue working for the City. (Listening to the Workforce survey results.) The data for each department s financial and administrative impacts were correlated to indicators of that department s ethical climate. The ethical climate indicators were drawn from responses by City employees to ethics questions included in the City s annual Listening to the Workforce (LTW) survey. These included: We calculated an ethical climate rating for each department by averaging all the department s employee responses to selected LTW ethics questions. All City departments whose ratings were above the Citywide average were rated as having a strong ethical climate. Departments whose responses fell below the Citywide average were rated as having a weak ethical climate. The ethical climate indicators are: Level of employee agreement that managers in their work group set a good ethical example. (high agreement indicates strong ethical climate) Level of employee perceptions of their department s commitment to enforcing high ethical standards. (high agreement indicates strong ethical climate) Whether managers advocate frequently reminding employees of ethical considerations related to their work. (advocacy indicates strong ethical climate). Extent of employee awareness of unethical or illegal behavior by City employees. (high agreement indicates weak ethical climate) For certain comparisons, we conducted additional tests or data transformations to rule out competing explanations. For instance, in examining the correlation of worker injuries to the ethical climate, we first adjusted (using multiple regression techniques) for the inherent dangerousness of some City departments work such as the Police and the Public Works departments. 20 intern