Intern revisjon Intern kontroll

Transkript

1 Intern revisjon Intern kontroll Norsk Akkreditering 2016 Prof. Flemming Ruud, PhD, Statsautorisert revisor Handelshøyskolen BI, Oslo, University St. Gallen, Sveits

2 Slide 2 Innhold Hva er intern revisjon? Definisjon, arbeidsfelter, organisatorisk plassering, Rammeverk, kjerneprinsipper, etiske regler, standarder 3 linje forsvarsmodellen, eierstyring, governance Intern styring og kontroll COSO modellen Styringsmiljøet, risiko management Terminologi - forsvar vs. beskyttelse Skille vs. Samarbeid, «Continuous auditing» - eller monitoring Oppsummering IIA NIRF, Exec. Master of Management Program BI, COSO

3 Definisjonen av internrevisjon Slide 3 Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sine målsettinger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og governance.

4 Slide 4 Bekreftelsesoppdrag versus rådgivningsoppdrag To eller tre forskjellige aktører:? Premissene gitt av oppdragsgiver Effekt på uavhengighet (1130.C1 og C2) Vesentlige forhold skal kommuniseres til toppledelsen og styret (2440.C2) NB må inn i planen og rapporten

5 Slide 5 Øverste myndighet Styre, Storting, Styrets revisjonskomite, Direktør Skal godkjenne instruksen Intern revisjonen skal ha et funksjonelt rapporteringsforhold til øverste myndighet Sikrer uavhengigheten! 5

6 Slide 6 Risk-Control in the Governance Example (Swiss Post Annual Report 2015, p. 12) 6

7 Funksjonelt rapporteringsforhold når Prof. T. F. Ruud, PhD, SR styret: Slide 7 godkjenner intern revisjonsinstruksen godkjenner den risikobaserte intern revisjonsplanen godkjenner intern revisjonens budsjett og ressursplan mottar rapporter fra revisjonssjefen på intern revisjonens utførelse i forhold til planen og andre forhold godkjenner beslutningen om ansettelse og fratredelse av revisjonssjefen godkjenner revisjonssjefens betingelser foretar egnede forespørsler rettet mot ledelsen og revisjonssjefen for å fastslå om det foreligger utilstrekkelig omfang eller ressursbegrensinger 7

8 Instruksen for intern revisjonen Prof. T. F. Ruud, PhD, SR Slide 8 Hvem er vi? Hva er vårt formål? Hva er vårt ansvar? Hva er vår myndighet? Hvordan sikrer vi uavhengighet? Hva gjør vi? Hvilke typer bekreftelsestjenester leverer vi? Leverer vi bekreftelser til parter utenfor virksomheten? Hvilke typer rådgivningsoppdrag gjør vi? Hvordan gjør vi det? Følges IIAs standarder, etiske regler, def. av intern revisjon?

9 Slide 9 Vekst Re-Performance Intern revisjon - utvikling NYSE Listing Rules: Section 303A.07(d): "Each listed company must have an internal audit function. (2003) Ongoing Compliance Introduction SOX Compliance (2002) Basel Committee: Internal audit in banks and the supervisor's relationship with audit (2001) COSO Internal Control (1992) Control COSO ERM (2004) Risk Operations Update COSO Internal Control (2013) Basel Committee: The internal audit function in banks (2012) Governance Financial Reporting Compliance Internal Control over Financial Reporting Update NUES / Swiss Code (2014) Risiko management prosesser Standard 2120 Quo vadis Standard 2110 Governance prosesser Interne styringsog kontrollprosesser Standard 2130?

10 Slide 10 Arbeidets art governance, risk management, and control processes The IAA should assess and make appropriate recommendations for improving the governance process in its accomplishment of the following objectives: Promoting appropriate ethics and values within the organization. Ensuring effective organizational performance management and accountability. Effectively communicating risk and control information to appropriate areas of the organization. Effectively coordinating the activities of and communicating information among the board, external and internal auditors and management. Risk Management Processes (2120) Governance Processes (2110) Control Processes (2130) The internal audit activity should evaluate risk exposures relating to the organization s governance, operations, and information systems;...and based on the risk assessment... Evaluate the adequacy and effectiveness of controls... Achievement of the organization s strategic objectives Reliability and integrity of financial and operational information; Effectiveness and efficiency of operations; Safeguarding of assets; and Compliance with laws, regulations, and contracts.

11 Tre forsvarslinje modellen Prof. T. F. Ruud, PhD, SR Slide 11

12 International Professional Practices Prof. T. F. Ruud, PhD, SR Framework (IPPF) Slide 12

13 Internrevisjonens formål «mission» Prof. T. F. Ruud, PhD, SR Slide 13 Å fremme og beskytte organisasjonens verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Styrets / toppleders uavhengige verktøy Rådgiver Revisor (bekreftelser) Risikobasert HELE organisasjonen Governance Risikostyring Kontroll

14 De ti kjerneprinsippene Slide Har og synliggjør integritet 2. Har og synliggjør kompetanse og tilbørlig faglig aktsomhet. 3. Er objektiv og fri for utilbørlig påvirkning (uavhengig) 4. Tilpasser seg organisasjonens strategier, mål og risikoer 5. Er hensiktsmessig posisjonert organisasjonsmessig og har de riktige ressurser 6. Har og synliggjør kvalitet og kontinuerlig forbedring 7. Kommuniserer virkningsfullt 8. Gir risikobaserte bekreftelser 9. Er innsiktsfull, proaktiv og fremtidsfokusert 10. Fremmer forbedring i organisasjonen

15 De ti kjerneprinsippene Prof. T. F. Ruud, PhD, SR Slide 15 Alle de ti kjerneprinsippene må være gjeldende og fungerer etter sin hensikt, både for intern revisor og internrevisjonsfunksjonen, for at en intern revisjon skal vurderes som effektiv og hensiktsmessig. Hvordan kjerneprinsippene blir oppfylt vil variere fra organisasjon til organisasjon. Manglende evne til å rette seg etter enkelte prinsipper tyder på at en intern revisjonsfunksjon ikke er så effektiv og hensiktsmessig som budskapet i intern revisjonens formål tilsier.

16 Slide 16 International Professional Practices Framework (IPPF) DEFINITION OF INTERNAL AUDITING Assurance-related Implementation Standards Mission Core Principles Code of Ethics Attribute Standards 1000 Purpose, Authority & Responsibility 1100 Independence & Objectivity 1200 Proficiency & Due Professional Care 1300 Quality Assurance & Improvement Program Performance Standards 2000 Managing the Internal Audit Activity 2100 Nature of Work 2200 Planning the Engagement 2300 Performing the Engagement 2400 Communicating Results 2500 Monitoring Progress 2600 Communicating the Acceptance of Risks Consulting-related Implementation Standards DEFINITION OF INTERNAL AUDITING Mandatory Implementation Guides Supplemental Guides Recommended

17 Slide 17 Etiske regler Formål: Fremme en etisk kultur i intern revisjonsprofesjonen. Komponenter med prinsipper som er relevante for profesjonen og for yrkesutøvelsen og adferdsregler som beskriver normer og forventet oppførsel Integritet: Integriteten til interne revisorer etablerer tillit og følgelig basisen for at deres vurderinger kan stoles på. Konfidensialitet: Interne revisorer respekterer verdien av og eierskapet til informasjon som de mottar, og videreformidler ikke slik informasjon uten spesifikk tillatelse med mindre det foreligger en juridisk eller profesjonell forpliktelse til å gjøre dette. Objektivitet: Interne revisorer utviser høyeste grad av objektivitet i innhenting, evaluering og rapportering om aktiviteten eller prosessen som er under vurdering. Interne revisorer gjennomfører en balansert vurdering av alle relevante forhold, og er ikke urimelig påvirket av egne interesser eller av andre personer i vurderingsprosessen. Kompetanse: Interne revisorer bruker de kunnskaper, ferdigheter og erfaring som er nødvendig i sin utøvelse av intern revisjonsaktiviteter.?

18 Slide 18 Internasjonale standarder Sist oppdatert 1. januar 2013 Endringer i standardene er ute på høring, og blir publisert i ny form 1. januar 2017

19 Hensikten med standardene Prof. T. F. Ruud, PhD, SR Slide 19 Definere grunnleggende prinsipper som representerer utøvelsen av internrevisjon slik den burde være Danne et rammeverk for å utøve og fremme et bredt spekter av merverdiskapende internrevisjonsaktiviteter Etablere et grunnlag for å måle utøvelsen av internrevisjon Stimulere til forbedring av organisasjonsmessige prosesser og drift

20 Om standardene Slide 20 Intern revisjon utføres i ulike juridiske og kulturelle miljøer innen organisasjoner med ulike formål, størrelse, kompleksitet og struktur og av personer innenfor og utenfor organisasjonen. Selv om ulike rammebetingelser kan påvirke hvordan intern revisjon blir praktisert i forskjellige miljøer, er overensstemmelse med IIAs internasjonale standardene for profesjonell utøvelse av intern revisjon (International Standards for the Professional Practice of Internal Auditing (Standards) avgjørende for å sikre at interne revisorer og interne revisjoner ivaretar sitt ansvar.

21 Slide 21 Ulike måter å organisere intern revisjonsfunksjonen Intern revisjonen skal være ledet av en intern revisjonssjef, men denne trenger nødvendigvis ikke være ansatt i virksomheten Egen organisatorisk enhet med fast ansatte intern revisorer Modellen innebærer at virksomheten har en organisatorisk enhet plassert i virksomheten med ansvar for å levere intern revisjonstjenester Ansatt internrevisjonssjef med team fra egen virksomhet. Modellen innebærer at ansatte i virksomheten ledes av en intern revisjonssjef Ansatt internrevisjonssjef som kjøper eksterne tjenester. Modellen innebærer at det ansettes én revisjonssjef som kjøper tjenester fra eksterne fagmiljøer. Tjenestene kan kjøpes hos én eller flere leverandører (flere rammeavtaler). Felles internrevisjonsfunksjon på tvers av likeartede virksomheter. Modellen innebærer at flere virksomheter deler på en intern revisjonsfunksjon. Eks FD. Full outsourcing Mulig å etablere en kombinasjon av modellene, eksempelvis modell 1 og 2 eller 2 og 3, samt å inngå rammeavtaler og ha budsjett for kjøp av outsourcede ressurser for alle modellene (unntatt modell 5 Full outsourcing, der dette ligger i hovedmodellen). Vanlig blant de intern revisjonene som per i dag er etablert i statlig sektor og co-sourcing er særlig vanlig ved kjøp av spesialiserte IKT-tjenester.

22 Definisjon - intern styring og kontroll Prof. T. F. Ruud, PhD, SR (med k ) Slide 22 Intern styring og kontroll er en prosess, iverksatt av styret, ledelsen og annet personale, for å gi rimelig grad av sikkerhet for måloppnåelse innen følgende kategorier: Målrettet og effektiv drift Pålitelig (finansiell) rapportering (fjernet i COSO 2013) Etterlevelse av lover, forskrifter og regler (Internal Control - An Integrated Framework - COSO 1992/2013) Control comprises those elements of an organization (incl. its resources, systems, processes, culture, structure and tasks) that, taken together, support people in the achievement of the organization s objectives. (Criteria on Control (CoCo)) Any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved. (The IIA, 2008)

23 Betydning av intern styring og kontroll Prof. T. F. Ruud, PhD, SR Slide 23 "If you look at all the failures of quoted companies in the past, they all have been failures of internal control. Sir Adrian Cadbury

24 COSO: Komponentene i intern Prof. T. F. Ruud, PhD, SR styring og kontroll Slide 24 The entire process is monitored and modified as conditions warrant. Meanwhile, relevant information is captured and communicated throughout the organization. Control activities are implemented to help ensure that management directives to address the risks are carried out. Within this environment, management assesses risks to the achievement of specified objectives. The control environment provides an atmosphere in which people conduct their activities and carry out their responsibilities. It serves as the foundation for the other components.

25 Slide 25 Målsettinger og komponenter av internal control Intern kontroll er relevant for hele organisasjonen, eller til de enkelte enheter eller aktiviteter Informasjon trengs for alle tre målsettinger drift, finansiell rapportering og etterlevelse Alle fem komponenter gjelder oppnåelse av alle mål

26 Styrings- og kontrollmiljøet basis av Prof. T. F. Ruud, PhD, SR internal control Tone at the top Slide 26 Styrings- og kontrollmiljøet setter tonen i en organisasjon, påvirker kontrollbevisstheten til de ansatte Fundamentet for de øvrige komponentene gir disiplin og struktur Styrings- og kontrollmiljøet omfatter: Integritet, etiske verdier og Kompetanse hos de ansatte Ledelsesfilosofi og -stil Ansvars og fullmaktstildeling Hvordan ansatte organiseres og utvikles - HRM Oppmerksomhet og styring fra styret og dets revisjonskomite

27 Slide 27

28 Risikovurdering integrert i styring og Prof. T. F. Ruud, PhD, SR kontroll Slide 28 Enhver organisasjon konfronteres med risiko fra eksterne og interne kilder som må vurderes og hensyntas En forutsetning for risikovurdering er etablering av målsettinger, satt I sammenheng, NB! - internt konsistente Innen kategoriene: drift / finansiell rapportering / etterlevelse Overlappende hvite flekker Risikovurdering omfatter identifikasjon og analyse av relevante risikoer for å nå målsettinger gir en basis for å bestemme hvordan risikoer kan styres På grunn av endringer av økonomisk, bransje, regulatorisk og driftsmessig art inntreffer, trengs mekanismer for å identifisere og håndtere spesielle risiki Forhold som krever spesiell oppmerksomhet: f. eks, endret driftsmiljø, nytt personale, nye og endrede informasjonssystemer, ny teknologi, nye produkter, aktiviteter, restrukturering, utenlandsk utvikling, etc

29 Risikovurdering Prof. T. F. Ruud, PhD, SR Slide 29

30 Styrings- og kontrollaktiviteter tiltak Prof. T. F. Ruud, PhD, SR for å håndtere risiko Slide 30 Policy, handlinger og prosedyrer som hjelper til å omsette ledelsens direktiver Sikrer at nødvendige tiltak utføres for å håndtere risiki som truer eller påvirker måloppnåelse Aktiviteter skjer i hele organisasjonen, på alle nivåer og i alle funksjoner Inkluderer: Godkjenning, attestasjoner, verifikasjoner og avstemminger Driftsanalyser, Top level reviews, Sikring av eiendeler Ansvars- og funksjonsdeling

31 In Control med C Slide 31 Attention Radar

32 Internal Control Slide 32 Directive Controls: Support the achievement of objectives Preventive Controls - Prevent non-beneficial behavior or events Design Organizational measures: Control effected by the company itself in terms of separation of functions, design of work processes Organizational tools: Plan of the organization, plan of processes, plan of functions, guidance, time stamp, signatory power Technical tools: Securities, IT controls Detective Controls: designed to detect misstatements or omissions as soon as possible Checking Corrective Controls: designed to re-align the actual state with the target state

33 Eksempel: Risikoanalyse og vurdering Prof. T. F. Ruud, PhD, SR av internkontrollaktivitetene Slide 33 Målsettinger O,F,C Risikoanalyse Handlinger/styring og Andre målsettinger Vurderinger og Risikofaktorer Sannsynlighet kontrollaktiviteter berört konklusjon O, F Virkelig mengde mottatt kan avvike fra mengden angitt på ordre eller forsendelsesdokumenter Middels-Höy 8. Mottatte varer telles, veies eller verifiseres på annen maate as quantity 9. Mottak av varer kontrolleres på stikkprövebasis Kontrolltiltakene er tilstrekkelige for å nå satte mål Drift (Operations), Finansiell rapportering, Etterlevelse (Compliance) (COSO, 1992 / 2013)

34 Slide 34 COSO Intern styring og kontroll Nytt med 17 prinsipper Components Control Environment Risk Assessment Control Activities Information and Communication Monitoring Activities Principles 1. Organization demonstrates commitment to integrity and ethical values 2. Board of Directors demonstrates independence of management and exercises oversight responsibility 3. Management establishes structure, reporting lines, authority and responsibility 4. Organization demonstrates commitment to competence 5. Organization enforces accountability 6. Organization specifies relevant objectives 7. Organization identifies and analyzes risks 8. Organization considers the potential for fraud and assesses fraud risk 9. Organization identifies and analyzes significant change 10. Organization selects and develops control activities 11. Organization selects and develops general controls over technology 12. Organization deploys through policies and procedures 13. Organization obtains or generates and uses relevant, quality information 14. Organization internally communicates relevant information 15. Organization externally communicates relevant information 16. Organization selects, develops, and performs ongoing and/or separate evaluations 17. Organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for corrective actions

35 Slide 35 COSO Internal Control-Framework vs COSO Smaller Public Companies-Guidance Information and communication Monitoring (more focus) Control activities Risk assessment Control environment Larger organizations Smaller organizations

36 Purposes of Control Frameworks (CF) Prof. T. F. Ruud, PhD, SR Slide 36 Purpose 1: A control framework provides a way of understanding the important elements of control, including their important relationships between them Purpose 2: Implementation and improvement of internal control As a basis for implementing internal control processes As a benchmark for evaluating and improving internal control Increases transparency of internal control Purpose 3: Audit of internal control CF allows comprehensive audit of the relevant control processes Higher legitimization of recommendations and better support by management and board More efficient and effective communication of the audit results, e.g., between internal and external audit, as both parties use the same language Results of audit can be reconstructed by a third party Purpose 4: Self assessment of internal control CF allows a systematic and comprehensive assessment of internal control When performing a self assessment, management and employees get an idea of an ideal internal control

37 Audit Risk Model Slide 37 Inherent Risk Probability of misstatements in the financial statements Control Risk Misstatements not detected by the internal control system Misstatements circumventing the internal control system Detection Risk Misstatements detected by the auditor Audit Risk Misstatements undetected by the auditor

38 Rapportering Prof. T. F. Ruud, PhD, SR Slide Criteria (What should be there) 4. Effect (What does this mean in terms of risk) 5. Recommendation (What should be done) Management Actions Comments 2. Condition (What is really there; What has been found) 3. Cause (Why is there a difference between Criteria and Condition) (Quelle: Holcim)

39 Forsvar vs. risikoreduksjon vs. In Control Slide 39 Den iboende risikoen i verdikjeden blir redusert gjennom de tre forsvarslinjene Iboende risiko 1 st Line of Defense Management Control Interne Steuerung und Kontrolle 2 nd Line of Defense Risikomanagement Compliance Qualitätssicherung 3 rd Line of Defense Internes Audit Restrisiko

40 Slide 40 The Three Lines of Defense Model - hva med dataanalyser og kontinuerlig revisjon? Governing Body / Board / Audit Committee Senior Management 1 st Line of Defense 2 nd Line of Defense 3 rd Line of Defense Financial Control Security External Audit Regulator Management Controls Internal Control Measures Risk Management Quality Internal Audit Compliance Big data Analytics Continuous auditing???

41 «Defense» - Forsvar Slide 41 Betydning av forsvar : Fransk; Defense som stammer fra latin; Defensa «Protection» 1. Beskytte seg mot angrep; Angrep fra noen / forhindre noe 2. Argumentere for en person, sak - som er utsatt for kritikk 3. I en rettssak - anklaget i en straffesak forsvare seg i en rettssak 4. Sport Forsvare hvem - seg mot hvem?? Ledelsen? Styret? Eiere Kreditorer? Ansatte (Bibliografisches Institut, 2013)

42 Forsvar vs. verdiskapning Prof. T. F. Ruud, PhD, SR Slide 42 Forsvar vs. Defense Lingvistiske aspekter Verdiskapende merverdiskapning i intern revisjon (3 rd linje) og risk management funksjoner (2 nd linje) Lines of Control? Lines of Responsibility? 3 rd Line-Assurance? Tradisjonelt tankemønster Intern revisjonen som politi for ledelse og styre? Gammeldags bilde av intern revisjonen? Fra «compliance revisjoner til strategic assurance» (Austbø, Statoil) Alternativ til tilbakeskuende «offense»? Se mer «upstream» og mindre «downstream»

43 Flere 2. linjefunksjoner Slide 43 Risk Management Information Security Financial Control Physical Security Quality Health and Safety Inspection Accreditation Certification Compliance Legal Environmental Other (depending upon industry-specific or company-specific needs) (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 6)

44 Koordinere Utveksle Informasjon og Prof. T. F. Ruud, PhD, SR rapporter Combined Assurance Slide 44 Revisjonsrapporter kan koordineres med andre interne og eksterne funksjoner som yter bekreftelses- og rådgivningstjenester Andere tilbydere kan gis tilgang til rapportering fra intern revisjon Dobbeltdekning vs «hvite flekker» Begrense bruk og nytte samt utbredelse av informasjon Sustainability Officer Controlling Compliance Legal Internal Audit Risk Management IT- Security Management Quality Management... Sustainability Officer Controlling Compliance Legal Internal Audit Risk Management IT- Security Quality Management Management...

45 Slide 45 Tre-linje modellen Prosessorientert Overordnet - «Helhetlige bekreftelser» Legislation Shareholders Investors Other Stakeholders Government Direction Suppliers 1 st Line Indicators Controlling Risk Management BoD CEO Vision Objectives Strategies Compliance Employers Certification Nomination Remuneration Audit Committee Value Adding Process 2 nd Line Security Quality Management 3 rd Line- Assurance Signals Risk Management and Internal Control External Audit Customers Accountability

46 Slide 46 Development and Current State of Internal Auditing Internal auditing has got to be the coolest profession in the world. (Tom Peters, The Institute of Internal Auditors International Conference, Orlando, 2013) Tom Peters (*November 7, 1942) American management guru and writer on business management practices; Co-author (with Robert H. Waterman, Jr.) of best-seller In Search of Excellence, 1982

47 Slide 47 Norges Interne Revisorers Forening En del av The Institute of Internal Auditors med totalt 190,000 medlemmer globalt NIRF har 800 medlemmer «Progress through sharing» Fremskritt gjennom deling av kunnskap Visjon: NIRF bidrar til at intern revisjon er en allment anerkjent, relevant og verdiskapende profesjon gjennom å være samlende og ledende for alle som arbeider med intern revisjon samt virksomhetsstyring, risikostyring, compliance og intern styring og kontroll

48 Hva og hvem er NIRF? Prof. T. F. Ruud, PhD, SR Slide 48

49 Slide 49 Diplomert Intern Revisor og Internasjonale Sertifiseringer

50 Slide 50 Certified Internal Auditor (CIA) Krav til utdanning : Bachelor eller kombinasjon av utdanning og yrkespraksis. Bestått del 1-3 av CIA eksamen Krav til praksis: To års relevant praksis fra intern revisjon eller tilsvarende

51 Litteratur Prof. T. F. Ruud, PhD, SR Slide 51

52 Slide 52 Litteratur

53 Leveraging COSO across the Prof. T. F. Ruud, PhD, SR Three Lines of Defense Slide 53 Thought Paper of the Committee of Sponsoring Organizations of the Treadway Commission (COSO) 2015 SUPPORT Governance Structures How the organisation assigns specific tasks and responsibilities in internal control (COSO, Leveraging COSO Across the Three Lines of Defense, 2015)

54 Leveraging COSO across the Prof. T. F. Ruud, PhD, SR Three Lines of Defense Slide 54 Thought Paper of the Committee of Sponsoring Organizations of the Treadway Commission (COSO) 2015 SUPPORT Governance Structures How the organisation assigns specific tasks and responsibilities in internal control (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 4)

55 Leveraging COSO across the Prof. T. F. Ruud, PhD, SR Three Lines of Defense Slide 55 (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 5)

56 Slide 56 Leveraging COSO across the Three Lines of Defense (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 7)

57 Og som kan Prof. T. F. Ruud, PhD, SR Slide 57 Assist management in design and development of processes and controls to manage risks Define activities to monitor and how to measure success as compared to management expectations Monitor the adequacy and effectiveness of internal control activities Escalate critical issues, emerging risks and outliers Provide risk management frameworks Identify and monitor known and emerging issues affecting the organization s risks and controls Identify shifts in the organization s implicit risk appetite and risk tolerance Provide guidance and training related to risk management and control processes (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 6)

58 Slide 58 Leveraging COSO across the Three Lines of Defense (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 8)

59 Ta gjerne kontakt: Prof. T. F. Ruud, PhD, SR Slide 59