Veiledning i EUs åttende selskapsdirektiv artikkel 41

Transkript

1 Veiledning i EUs åttende selskapsdirektiv artikkel 41

2 aa

3 "Oppfølging av effektiviteten og hensiktsmessigheten i systemene for internkontroll, internrevisjon og risikostyring Veiledning for styrer og revisjonsutvalg Det åttende europeiske selskapsdirektiv om lovfestet revisjon DIREKTIV 2006/43/EF art. 41-2b 21. september Veiledning for styrer og revisjonsutvalg

4 Peter den Dekker, styreleder FERMA Det å drive en virksomhet har alltid handlet om å ta risiko. Finanskrisen nå nylig har gjort risikostyring enda mer nødvendig og har økt folks forventninger til at de økonomiske aktørene er proaktive i risikokontrollen. Det som er nytt med EUs åttende selskapsdirektiv, er at styrene og deres revisjonsutvalg nå gis et tydelig ansvar. Toppledelsen forventes å involvere seg i risikostyring og risikotaging. Styret skal angi retningen med utgangspunkt i aksjonærenes risikoappetitt. Et godt risikostyringssystem er som styringssystemene i en racerbil de gjør at man kan kjøre raskere, lenger og sikrere. Claude Cargou, styreleder ECIIA Når artikkel 41 i det åttende direktivet gir styret og dets revisjonsutvalg i oppgave å følge opp hensiktsmessigheten av systemene for risikostyring og kontroll, er det bare en formalisering av forventningene fra deltagerne i kapitalmarkedene om å motta transparent og pålitelig informasjon om betydelige nåværende og framvoksende risikoer for organisasjonen og måten disse risikoene håndteres på. Dette kravet til styrer og revisjonsutvalg er ikke lenger begrenset til risikoer knyttet til finansiell rapportering slik det ofte var før. I dag må de også føre tilsyn med håndteringen av selskapets strategiske risiko, operasjonelle risiko og etterlevelsesrisiko (compliance). Det er her styrer og revisjonsutvalg kan benytte internrevisjonen for objektive og uavhengige bekreftelser av hensiktsmessigheten ved risiko- og kontrollsystemer i hele organisasjonen. Som sådan blir internrevisjonen en av hjørnesteinene i god virksomhetsstyring (governance) og støtter styrer og revisjonsutvalg med å oppfylle sine plikter og ansvar overfor selskapets interessenter og publikum generelt. Dette åttende selskapsdirektivet fra EU gir organisasjoner trygghet til å dra fordeler av forretningsmulighetene. Peter den Dekker styreleder av FERMA Claude Cargou styreleder av ECIIA Veiledning for styrer og revisjonsutvalg 4

5 INNHOLD Formålet med denne veiledningen 6 Roller og ansvar vedrørende hensiktsmessig risikostyring og kontroll 7 Roller og ansvar 7 Oppfølging av risiko og bekreftelsesfunksjoner 8 Samhandling mellom de ulike aktørene innen risikostyring og internkontroll 9 Agenda for revisjonsutvalget 10 Hensiktsmessig risikostyring 10 Hensiktsmessig internkontroll 11 Hensiktsmessig internrevisjon 12 Revisjonsutvalg 13 Vedlegg 14 Risikostyring 14 Internkontroll 15 Internrevisjon 16 Ekstern revisjon 16 FERMA og ECIIA 18 Bidragsytere 18 Design: greenpepper.be Veiledning for styrer og revisjonsutvalg

6 FORMÅLET med denne VEILEDNINGEN Formålet med denne FERMA/ECIIA-veiledningen er å bistå styremedlemmer, og særlig medlemmer av revisjonsutvalg, med gjennomføringen av art. 41 i EUs åttende selskapsdirektiv. I avsnitt 2b slår direktivet fast at [...] revisjonsutvalget skal blant annet følge opp effektiviteten og hensiktsmessigheten av selskapets systemer for internkontroll, eventuell internrevisjon og risikostyring [...]. Utsagnet er tilsynelatende enkelt, men spørsmålene om hva man skal følge opp, og hvordan man skal følge opp, er betydelig mer kompliserte. For å kaste lys over hva og hvordan man skal følge opp, vil denne veiledningen: 1. Gi en oversikt over roller og ansvar vedrørende sikring av hensiktsmessig risikostyring og kontrollbekreftelser for: styret/revisjonsutvalget (1) administrerende direktør og toppledelse (1) linjeledelse oppfølgings- og bekreftelsesfunksjoner 2. Klargjøre anbefalt samspill mellom internkontroll, risikostyring og internrevisjon 3. Foreslå beste praksis for hvordan styret og styrets revisjonsutvalg kan føre tilsyn med: risikostyringsprosessen internkontrollsystemet internrevisjonsfunksjonen Merknad: Selv om det åttende direktivet gir dette tilsynsansvaret til organisasjonens revisjonsutvalg, er det til syvende og sist hele styrets ansvar og denne veiledningen skal forstås i lys av det. Gjennomføringen av det åttende direktivet i de nasjonale lovverkene kan kreve ytterligere tiltak utover det som foreslås i denne veiledningen. (1) I dette dokumentet defineres; Med styre menes styret i en struktur med ett nivås struktur og tilsynsstyret (supervisory board) i en struktur med to nivåer Toppledelse som toppledergruppen i en struktur med ett nivås struktur og ledelsesstyret"/direksjonen (management board) i en struktur med to nivåer Veiledning for styrer og revisjonsutvalg 6

7 ROLLER OG ANSVAR vedrørende HENSIKTSMESSIG RISIKOSTYRING OG KONTROLL Roller og ansvar Styret Styret fører tilsyn med og veileder toppledelsen ved: Å fastsette (i samarbeid med toppledelsen) organisasjonens risikoappetitt (= den risikoen organisasjonen er villig til å akseptere i forbindelse med generering av lønnsomhet og avkastning). Å holde seg underrettet om de mest vesentlige risikoene for organisasjonen og om hvorvidt toppledelsen reagerer på riktig måte (i lys av den avtalte risikoappetitten). Administrerende direktør og toppledelse Administrerende direktør og dennes ledergruppe har det endelige ansvaret for og eierskapet til organisasjonens risikostyring og kontrollrammeverk. Administrerende direktør: Sørger for at det er et positivt internt miljø og en positiv risikokultur i organisasjonen ( tonen på toppen ). Leder linjeledelsen og følger opp organisasjonens samlede risikoaktiviteter i relasjon til organisasjonens samlede risikoappetitt. Setter i verk de tiltakene som skal bringe risikoen i samsvar med fastsatt risikoappetitt, når endrede omstendigheter og nytilkomne risikoer indikerer et mulig misforhold mellom dagens situasjon og risikoappetitten. Medlemmer av toppledelsen har ansvar for å styre risikoer innen sine ansvarsområder ut ifra sine enheters målsetninger ved: Å gjøre strategi om til operative målsetninger. Å identifisere og vurdere risikoer som hindrer oppnåelsen av disse målsetningene. Å iverksette tiltak for å endre risikobildet i samsvar med risikotoleransen. Linjeledelse Toppledelsen delegerer ansvar, også for risikostyringsprosedyrer, til ledere i bestemte prosesser, funksjoner eller avdelinger ("risikoeierne"). Dermed spiller disse lederne en mer praktisk rolle i utførelsen av bestemte daglige risikostyringsprosedyrer. De identifiserer og vurderer risiko og bestemmer hvordan risikoen skal følges opp gjennom utvikling av hensiktsmessige internkontrolltiltak (f.eks. etablering av rutiner for utvikling av nye produkter). Merknad: Mens prinsipper og rutiner for internkontroll er en integrert del av et risikostyringsrammeverk som omfatter hele organisasjonen (dvs. er etablert som hjelpemiddel for å sikre at risikoene blir håndtert på en hensiktsmessig måte), har noen organisasjoner, særlig i finanssektoren, etablert en sentralisert internkontrollfunksjon som gjennom sitt arbeid legger til rette for og koordinerer slik at det blir en konsekvent og tilfredsstillende utforming og en effektiv gjennomføring av de internkontrolltiltak linjeledelsen har etablert. Oppfølgingsarbeidet tar imidlertid ikke bort linjeledelsens plikter og ansvar for å styre risikoer innenfor sine ansvarsområder. 7 Veiledning for styrer og revisjonsutvalg

8 Oppfølging av risiko og bekreftelsesfunksjoner Sentralisert risikostyringsfunksjon (oppfølging av risiko) Grunnlaget for en solid risikostyring er at alle deler av organisasjonen er ansvarlige for å håndtere risikoer innenfor sine områder. Men risikostyring skal gjennomføres etter en integrert, holistisk tilnærming slik at man sikrer at den er i samsvar med målsetninger og strategi i organisasjonen som helhet. FERMA/ECIIA støtter derfor etablering av en sentralisert risikostyringsfunksjon som koordinerer og støtter risikostyring i hele organisasjonen. Beste praksis er at det utnevnes en Chief Risk Officer, men små organisasjoner kan tildele ansvaret til en annen toppleder. FERMA/ECIIA mener videre at denne personen skal rapportere gjennom administrerende direktør til styret. Vedkommende har ansvar for å følge opp framdriften i risikostyringen og for å bistå linjeledere i å rapportere relevant risikoinformasjon oppover og ut i organisasjonen. En Chief Risk Officer (eller en person i en lignende stilling) skal: Etablere retningslinjer for risikostyring, definere roller og ansvar og fastsette mål for gjennomføringen. Utarbeide et rammeverk for risikostyring for bestemte prosesser, funksjoner eller avdelinger i organisasjonen. Fremme risikostyringskompetanse i hele organisasjonen. Etablere et felles risikostyringsspråk (f.eks. med hensyn til risikokategorier og mål på sannsynlighet og konsekvens). Bistå ledelsen i utvikling av risikorapportering og følge opp risikorapporteringsprosessen. Rapportere til administrerende direktør og styret om framdriften og anbefale nødvendige tiltak. Internrevisjonsfunksjon (gir bekreftelser relatert til risiko) Internrevisjonsfunksjonen skal: Gi styret og toppledelsen en objektiv bekreftelse på at risikoene er forstått og håndtert på en hensiktsmessig måte. Fungere som en intern rådgiver og foreslå forbedringsløsninger med hensyn til organisasjonens virksomhetsstyring (governance), risikostyring og kontrollstruktur. Som sådan bidrar internrevisjonen aktivt til en hensiktsmessig og effektiv virksomhetsstyring (governance) under forutsetning av at tiltak som fremmer dens uavhengighet og profesjonalitet er oppfylt. FERMA/ECIIA mener derfor at den beste praksisen er å etablere og opprettholde en uavhengig internrevisjonsfunksjon med tilstrekkelig og kompetent bemanning som: Utøver i henhold til International Professional Practices Framework (IPPF) fastsatt av det globale Institute of Internal Auditors. (1) Rapporterer til et tilstrekkelig høyt nivå i organisasjonen til å kunne utføre sine oppgaver profesjonelt og har en åpen og hensiktsmessig rapporteringslinje til styret (og revisjonsutvalget). (1) Veiledning for styrer og revisjonsutvalg 8

9 At Establishing det skal etableres a professional en profesjonell internal internrevisjonsfunksjon audit function should be bør the være rule, regelen, not only ikke for bare large for and store medium og mellomstore size institutions organisasjoner, but also for men smaller også for entities. mindre This enheter. is the Dette more er ikke so because minst aktuelt the latter for mindre may not enheter be able fordi to disse deploy ofte a ikke full organisational har anledning til structure å etablere to ensure omfattende the effectiveness organisasjonsstruktur of its governance som skal and kunne risk sikre management hensiktsmessige processes. prosesser any case, for virksomhets- for small organisations (governance) that og have risikostyring. not established Uansett an bør in-house det for små internal In organisasjoner audit function, som it should ikke har be a etablert requirement en internrevisjonsfunksjon, to disclose to their stakeholders være et krav on at de an årlig annual rapporterer basis that tilbake they til have sine interessenter considered how at det the er necessary vurdert hvordan assurance det skal on the innhentes effectiveness den nødvendige of the organisation s bekreftelsen governance, på at opplegget risk for management eierstyring, risikostyring and control og structure kontroll is er to effektivt be obtained og hensiktsmessig (i.e. through internal (f.eks. gjennom audit). internrevisjon). Samhandling Interaction between mellom de ulike the aktørene various innen actors risikostyring in risk og management internkontroll and internal control Som As mentioned nevnt er styret before, og the administrerende board and the direktør CEO ansvarlige are respectively for å ha responsible tilsyn med for og providing følge opp oversight at strategiene and monitoring og prosessene risk management for risikostyring. strategies For and å oppfylle processes. disseto pliktene effectively på assume en hensiktsmessig these duties, måte they trenger seek assurance de bekreftelser from various fra ulike sources kilder iwithin organisasjonen. the organisation. Denne This model, modellen, which som is rapidly er i ferd gaining med å universal vinne anerkjennelse recognition, på can globalt be illustrated nivå, kanas illustreres follows: som følger: Modell Three Lines med tre of Defence forsvarslinjer Model Styre/revisjonsutvalg Board / Audit Comittee Senior Toppledelse Management Første 1 Line forsvarslinje of Defence Andre 2 Line forsvarslinje of Defence Tredje 3 rd Line forsvarslinje of Defence Linjeledelse Operational Management Internkontroll Internal Controls Risikostyring Risk Management Etterlevelse Compliance (Compliance) Annet Others Internrevisjon Internal Audit Ekstern External revisjon Audit Som første forsvarslinje Linjeledelsen Operational management har eierskap til has og ownership, ansvar for risikovurdering, responsibility and risikostyring accountability og for risikoreduserende assessing, controlling tiltak and i tillegg mitigating til ansvar risks for å together opprettholde with maintaining en hensiktsmessig effective internkontroll. internal controls. Som As a second andre forsvarslinje line of defence Risikostyringsfunksjonen The risk management function legger til facilitates rette for og and følger monitors opp gjennomføringen the implementation av of hensiktsmessige effective risk management risikostyringsprinsipper practices by operational hos linjeledelsen management og bistår and risikoeierne assists the med å definere den planlagte risikoeksponeringen og rapportere risikorelatert informasjon information through i hele organisasjonen. the organisation. I In tillegg addition til den to the sentraliserte centralised risikostyringsfunksjonen risk management function, og som and as en part del of av this dette second andrelinjeforsvaret line of defence, har noen some organisasjoner organisations etablert have established en separat a etterlevelsesfunksjon separate compliance (compliance) function to monitor til å følge compliance opp risiko risks, for brudd i.e. risks på lover, of non-conformity forskrifter og with retningslinjer applicable (herunder laws and misligheter). regulations as I den well egenskapen as internal rapporterer regulations etterlevelsesfunksjonen (including fraud). In this direkte capacity, til the toppledelsen. compliance function reports directly to senior management. Andre spesifikke oppfølgings- og overvåkingsfunksjoner kan være helse, miljø og sikkerhets-, innkjøps- og kvalitetsfunksjoner. environmental and quality functions. 9 Guidance Veiledning for boards for styrer and og audit revisjonsutvalg committees

10 Som tredje forsvarslinje Internrevisjonsfunksjonen skal gjennom en risikobasert tilnærming blant annet gi organisasjonens styre og toppledelse bekreftelse på hensiktsmessigheten og effektiviteten i organisasjonens vurdering og styring av risikoer, herunder hvordan første- og andrelinjeforsvaret fungerer. Denne bekreftelsen vil dekke alle elementer i en organisasjons rammeverk for risikostyring, dvs. identifisering, vurdering og oppfølging av risiko og rapportering av risikorelatert informasjon (til hele organisasjonen og til toppledelsen og styret). Generell kommentar Ekstern revisjon kan ses på som et fjerdelinjeforsvar og gir organisasjonens aksjonærer, styre og toppledelse en bekreftelse på at organisasjonens årsregnskap gir et korrekt bilde. Gitt den eksterne revisjonens omfang og målsetninger er den risikoinformasjonen som er samlet inn av eksterne revisorer imidlertid begrenset til risiko i forbindelse med finansiell rapportering. Den omfatter ikke informasjon om hvordan toppledelsen og styret styrer/følger opp selskapets (strategiske, operasjonelle, etterlevelsesrelaterte) risiko på. På disse områdene står henholdsvis risikostyrings- og internrevisjonsfunksjonen for oppfølging og bekreftelse. AGENDA for REVISJONSUTVALGET Hensiktsmessig risikostyring Beste praksis FERMA/ECIIA mener at risikostyrings-, internkontroll- og revisjonsfunksjoner er pålitelige informasjonskanaler som styret kan bruke til å følge opp om risikostyrings- og internkontrollsystemene er hensiktsmessige. Når det gjelder risikostyring, må styret (og revisjonsutvalget) minst årlig gjennomgå organisasjonens største risikoer. Det må vite hvordan forretningsmodellen blir påvirket av større risikoer og hvordan verdiskapningen kan økes, enten ved å gripe muligheter eller redusere eksponeringer. Om nødvendig må det også få egnet informasjon om bestemte risikoer i forhold til strategiutvikling, det ytre miljøet og de spesifikke iboende risikoer knyttet til selskapets virksomhet. Mens den ovennevnte informasjonen vanligvis blir gjennomgått av hele styret, kan revisjonsutvalget for å underbygge og støtte opp under styrets behandling, få informasjon om risikostyring (underkomiteer, definisjon av akseptable og godkjente grenser, benchmarking, kontroll og revisjon) for å kunne vurdere om systemene for risikostyring er hensiktsmessige. Hvis det er en "risikokomité" blant underkomiteene i styret, blir noen aspekter av risikooppfølgingen, -kontrollen og -reduksjonen saksforberedt i denne komiteen. Avslutningsvis vil internrevisjonen rapportere til styret og dets revisjonsutvalg om risikostyringssystemenes modenhet, omfang og hensiktsmessighet. Veiledning for styrer og revisjonsutvalg 10

11 Hovedpunkter relatert til risikostyring Selskapet definerer sin risikostrategi- og -appetitt. Administrerende direktør utpeker en Chief Risk Officer eller tilsvarende stilling. Risikoeiere er identifisert for alle vesentlige risikoer. Risikoeierne fastsetter meningsfulle og målbare målsetninger og kontrollmekanismer som anerkjennes i hele organisasjonen. Risikoeierskap er en del av myndighetsdelegering og godtgjørelsessystemet (bonussystemet) skal omfatte en vurdering av risikotagning. En sentralisert risikostyringsfunksjon har ansvaret for gjennomføringen av risikostrategien. Den gir selskapet et formelt risikostyringsrammeverk og tilpassede opplæringsprogrammer til å forbedre risikostyringskulturen og fremme et felles risikospråk i hele organisasjonen. Toppledelsen gjennomgår jevnlig rapporter om utviklingen i vesentlige risikoer og om gjennomføringen av risikoreduksjonsplanene. Ledelsen forsyner minst én gang i året styret og revisjonsutvalget med en risikostyringsrapport hvor status med hensyn til nøkkelindikatorer på viktige risikoer fremgår. Kritiske risikoer og voksende risikoer blir løftet til det rette ledelsesnivået så snart de er identifisert. Hensiktsmessig internkontroll Beste praksis Når det gjelder internkontroll, må styret og revisjonsutvalget få en bekreftelse på at det er iverksatt adekvate og hensiktsmessige kontrollmekanismer for å følge opp og håndtere de kritiske risikoene, og at det finnes en prosedyre for adekvat rapportering om oppfølgingen. Toppledelsen gir sammen med den uavhengige internrevisjonen og eksterne revisjonen, styret og revisjonsutvalget bekreftelsen på hvorvidt internkontrollen er hensiktsmessig og effektiv. Hovedpunkter relatert til internkontroll Administrerende direktør og toppledelsen har ansvaret for internkontrollen. Gjennom myndighetsdelegering eier alle linjeledere en del av dette ansvaret. Det er viktig for styret og revisjonsutvalget å vite om delegering av ansvar har blitt kommunisert på en åpen måte til hele organisasjonen, og om linjeledelsen har fått egnede verktøy (budsjett, ressurser) til å ta dette ansvaret. Organisasjonens kultur, etiske regler, personalpolitikk og resultatlønnssystemer er avgjørende deler av internkontrollsystemet. Det er viktig at styret og revisjonsutvalget vurderer om disse komponentene støtter organisasjonens strategiske målsetninger. Organisasjonens kultur bør oppmuntre den enkelte til å innrapportere mistanke om brudd på lover eller forskrifter eller andre utilbørligheter. Avgjørende for at et slikt system skal fungere, er at varslere beskyttes. Styret og revisjonsutvalget bør være orientert om hvordan varslingsrutinen fungerer, og hvordan organisasjonen behandler rapporterte varsler. 11 Veiledning for styrer og revisjonsutvalg

12 Et internkontrollsystem er bare tilstrekkelig hvis det er gjenstand for oppfølging. Styret og revisjonsutvalget skal følge opp de eksisterende prosessene og vurdere i hvilken grad finansielle- og andre nøkkelkontroller er tilstrekkelige. Dette arbeidet omfatter også ledelsens egne oppfølgingsrutiner. Styret og revisjonsutvalget skal i tillegg informeres om alvorlige kontrollsvakheter for øvrig. Gjennom myndighetsdelegering blir kontroll alles ansvar i organisasjonen. Noen organisasjoner har implementert en prosess med periodisk egenvurdering der linjen vurderer risikoer forbundet med sine prosesser, samt kvaliteten på de eksisterende kontrolltiltakene. Samlet kan resultatene fra disse diskusjonene hjelpe revisjonsutvalget til å følge opp organisasjonens internkontrollsystem. Hensiktsmessig internrevisjon Beste praksis I samsvar med internasjonale standarder skal internrevisorer dokumentere relevant informasjon som underbygger sine konklusjoner og ledelsens oppfølgingspunkter som følge av gjennomførte revisjoner. Revisjonsutvalget skal, som et saksforberedende organ for styret, sørge for at periodisk gjennomgang av følgende står på agendaen: Internrevisjonsfunksjonens instruks og uavhengighet. Planer for og ressurser tildelt internrevisjon, herunder revisjonens kriterier for risikovurdering. Internrevisjonsfunksjonens kompetanse (gi råd til administrerende direktør om evaluering av utførelse, og foreslå for styret endringer i godtgjørelse, ansettelser og avskjedigelse av internrevisjonens leder). Kvalitetsvurderinger i henhold til International Standards for the Professional Practice of Internal Auditing, herunder periodiske eksterne evalueringer. I samsvar med standardene avgir internrevisjonsfunksjonen rapporter til styret, revisjonsutvalget og til administrerende direktør om systemene for risikostyring og kontroll er hensiktsmessige og effektive samt gir anbefalinger til ledelsen om kontinuerlige forbedringer. Internrevisjonen identifiserer potensielle interessekonflikter på de ulike nivåene i virksomheten på grunnlag av sin helhetsoversikt og sin innsikt når det gjelder samsvar mellom strategiske målsetninger og drift med begrunnelse for eventuell manglende konsistens. Hovedpunkter relatert til internrevisjon Internrevisjonens uavhengighet skal formaliseres i en internrevisjonsinstruks som fastsettes av styret, men det er enda viktigere for styret og revisjonsutvalget å undersøke om denne uavhengigheten også eksisterer i praksis. Har internrevisjonen faktisk og ubegrenset tilgang til revisjonsutvalget og styret? Gir internrevisjonen uavhengige rapporter om forretningsanliggender uten innblanding fra toppledelsen? Kan objektiv rapportering påvirke internrevisorenes framtidige karrieremuligheter? Internrevisjonen har begrensede ressurser. Det er derfor viktig å fordele disse ressursene til de mest kritiske områdene. Utfordrer styret og revisjonsutvalget internrevisjonens plan og budsjett når de presenteres? Hvordan vurderer internrevisjonen organisasjonens risikoer, gjennomføringen av risikostyringen og risikostyringens modenhet? Veiledning for styrer og revisjonsutvalg 12

13 Er det en kobling til organisasjonens egen risikokartlegging? Fokuserer internrevisjonen på det som er lett å revidere, heller enn på det som må revideres? Når styret og revisjonsutvalget godkjenner revisjonsplanen vet de da hva som ikke vil bli dekket? Det er viktig å følge opp om organisasjonen virkelig tar hensyn til de anbefalinger internrevisjonen kommer med. Hvor fort ledelsen gjennomfører internrevisjonens anbefalinger, er en indikasjon på hvor høyt ledelsen verdsetter internrevisjon. Det er ikke alltid best med mer kontroll; den beste løsningen er alltid bedre kontroll. Når ledelsen ikke tar hensyn til eller raskt nok implementerer revisjonsanbefalinger, kan revisjonsutvalget på vegne av styret, invitere ledelsen til sine møter for å få bekreftet hva som er årsaken til dette. Organisasjonens forsvarsmekanisme omfatter tre forsvarslinjer. Det er derfor avgjørende at den første og andre forsvarslinjen vurderes på en ordentlig måte av internrevisjonen, uten at disse andre linjenes arbeid gjentas. I noen organisasjoner forventes det at toppledelsen eller styret utsteder og offentliggjør en årlig uttalelse om internkontrollen eller en attestasjonserklæring. Det er viktig for styret og revisjonsutvalget å vite om internrevisjonen har foretatt en uavhengig gjennomgang av ledelsens rapporteringsprosess, eller om den har vært delaktig i den. Revisjonsutvalg Beste praksis Risikostyring og internkontroll står på revisjonsutvalgets agenda. Revisjonsutvalget gir tilbakemelding til styret om sin vurdering relatert til internkontroll- og risikostyringssystemenes hensiktsmessighet på grunnlag av informasjon den får direkte eller med bistand fra revisjonsfunksjonene. I henhold til god praksis for revisjonsutvalg skal revisjonsutvalget gjennomgå alle forsvarslinjene i organisasjonen, samt samhandlingen mellom dem. Hovedpunkter relatert til revisjonsutvalgets arbeid Oppfølging av risikostyring, internkontroll og internrevisjon krever at revisjonsutvalget setter av en betydelig mengde tid. Møter alene kan være utilstrekkelig for en omfattende forståelse og bekreftelse. Revisjonsutvalget må vite hvor stor innsats, ressurser og budsjetter som er nødvendig for at det skal kunne leve opp til forventningene om sitt arbeid. For å oppfylle sitt ansvar må revisjonsutvalget vurdere informasjon fra toppledelsen, gjennomgå vesentlige risikoer og kritiske prosesser hvert år, utfordre toppledelsens målsetninger vedrørende disse elementene og foreta benchmarking av selskapets praksis på de ulike områdene. Arbeidet i revisjonsutvalget kan bare være til nytte hvis styret setter av nok tid på sin agenda til at revisjonsutvalget kan presentere resultatene av sitt arbeid. Revisjonsutvalget skal også føle at styret iverksetter egnede tiltak som følge av rapporteringen. Ledende revisjonsutvalg får derfor sin egen ytelse og effektivitet vurdert årlig. 13 Veiledning for styrer og revisjonsutvalg

14 VEDLEGG Risikostyring Introduksjon til helhetlig risikostyring Det å ta en risiko er en iboende del av det å utnytte forretningsmuligheter. Det har imidlertid ofte ikke vært klart uttrykt i beslutningsprosessen. Helhetlig risikostyring (Enterprise Risk Management, ERM) tar sikte på å holde risikoer på et akseptabelt nivå (fastsatt av styret og toppledelsen). ERM innebærer å utvikle selskapet, å skape og opprettholde verdier og å oppnå målene. Tilnærmingen omfatter metoder og prosesser som brukes av organisasjoner til å styre risikoer og utnytte muligheter i forbindelse med oppnåelse av selskapsmålsetninger. ERM gir et rammeverk for risikostyring som typisk involverer identifikasjon av bestemte hendelser eller omstendigheter av betydning for organisasjonens målsetninger (risikoer og muligheter), vurdering av dem ut ifra sannsynlighet og konsekvens, valg av oppfølgingsstrategi og oppfølging av gjennomføringen. Ved å identifisere og proaktivt vurdere risikoer og muligheter kan bedrifter beskytte og skape verdier for sine interessenter, herunder eiere, ansatte, kunder, tilsynsmyndigheter og samfunnet generelt. Det omfatter ytre risiko (knyttet til regelverk, omdømme osv.), strategisk risiko (en iboende del av forretningsmodellen), finansiell risiko, etterlevelsesrisiko og operasjonell risiko. Som følge av globaliseringen av næringslivet, har den gjensidige avhengigheten mellom ulike risikoer blitt et viktig element som må håndteres i risikostyringsprosessen. Som en sentral del av styringsstrukturen i en organisasjon bidrar ERM til å beskytte verdier og til å bedre beslutningsprosessen ved å fastsette akseptable nivåer for risikoappetitten og ved å forankre risikostyring i forretningsplanleggings- og -ledelsesprosesser. Når risikostyring er forankret, blir den en del av organisasjonens kultur. Globale standarder for risikostyring De fleste standarder er generelle retningslinjer som gjelder alle slags organisasjoner, men de må tilpasses organisasjonens særtrekk, virksomhet og kultur. Blant de nåværende globale standardene finner vi ISO 31000, COSO ERM og den opprinnelig britiske FERMA-standarden. Ansvar for risikostyring og rapporteringslinjer De fleste organisasjoner har egne ansatte som driver med risikostyring på selskapsog forretningsområdenivå, og som har ansvar for at risikokulturen blir kjentgjort i hele organisasjonen, generell rapportering, prosesser og metoder. Dette bør ses på som god praksis for å forbedre risikostyringen. Ansvaret for styring av forretningsrisiko, sammen med ansvaret for å følge forretningsplaner og måloppnåelse, forblir imidlertid hos ledelsen. De som foretar risikostyringen, rapporterer til toppledelsen ved hjelp av rutinemessige rapporteringsprosesser for risikostyring. De kan være en del av en sentral funksjon eller en del av avdelingsstrukturene. Risikostyringsfunksjonen rapporterer enten til en risikokomité eller til revisjonsutvalget. Veiledning for styrer og revisjonsutvalg 14

15 Internkontroll Introduksjon til internkontroll Internkontroll har eksistert i uminnelige tider. Det hellenistiske Egypt hadde en todelt administrasjon. Den ene delen besto av byråkrater med ansvar for innsamling av skatter. Den andre delen besto av byråkrater som kontrollerte den første delen. Internkontroll blir definert som en prosess bestående av en organisasjonsstruktur, arbeidsflyt og fullmaktsstruktur, mennesker og ledelsesinformasjonssystemer, og som er utformet for å hjelpe organisasjonen med å oppnå definerte målsetninger og samtidig minimere sannsynligheten for uønskede hendelser. Den er til hjelp når man skal lede, overvåke og måle organisasjonens ressurser. Den spiller en viktig rolle når man skal forebygge og avdekke misligheter for å beskytte organisasjonens ressurser og redusere sannsynligheten for at man pådrar seg erstatningsansvar. Globale internkontrollmodeller COSO-rapporten Internkontroll et integrert rammeverk er det mest brukte rammeverket. Det definerer internkontroll som en prosess som blir igangsatt og gjennomført av organisasjonens styre, ledelse og andre ansatte, og som er utformet for å gi en betryggende sikkerhet når det gjelder måloppnåelse innen følgende områder: (a) Hensiktsmessig og effektiv drift; (b) Pålitelig finansiell rapportering og (c) Overholdelse av lover og forskrifter. Ansvar for internkontroll og rapporteringslinjer I siste instans ligger ansvaret for internkontrollen hos styret. Gjennom delegering av myndighet blir linjeledelsen ansvarlig for utvikling og vedlikehold av kontrollmekanismer på sitt ansvarsområde. For eksempel kan organisasjonen be internrevisjonen om å gi en overordnet "kontroll-uttalelse" som konkluderer med en vurdering/risikogradering av de områdene som er gjennomgått. Mange retningslinjer for eierstyring og selskapsledelse (governance) krever at toppledelsen eller styret avgir en rapport om internkontrollsystemet. En slik rapport bør inneholde opplysninger om manglende overholdelse av regler og retningslinjer, vesentlige svakheter i internkontrollen, regnskapsjusteringer og deres betydning for resultatregnskapet og andre risikoer og/eller eksponeringer som krever endringer i internkontrollen. 15 Veiledning for styrer og revisjonsutvalg

16 Internrevisjon Introduksjon til internrevisjon Institute of Internal Auditors (IIA) definerer internrevisjon som "en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sine målsetninger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og goverance." Ulike nasjonale institutter for internrevisjonsprofesjonen rundt om i verden samarbeider om og tilslutter seg til denne definisjonen og følger de standardene man i fellesskap utvikler. Globale standarder for internrevisjon Med sine internasjonale standarder for profesjonell utøvelse av internrevisjon (IPPF) gir IIA en global, fellesforståelse av internrevisjonsprofesjonen, herunder de viktige kravene til hvordan man oppfyller de forventingene som stilles til internrevisjonsfunksjonen og internrevisorene. Standardene består av prinsipielle, obligatoriske og grunnleggende krav til internrevisjon og til evalueringen av internrevisjonens effektivitet. Standardene brukes globalt på organisasjons- og individuelt nivå og omfatter definisjoner som klargjør begrepsbruk. Ansvar for internrevisjon og rapporteringslinjer Lederen for internrevisjonen rapporterer periodisk til toppledelsen og til styret eller revisjonsutvalget om formålet med internrevisjonens arbeid, hvilken myndighet og hvilket ansvar internrevisjonen har, og i hvilken grad arbeidet er i samsvar med revisjonsplanen. Den viktigste rapporteringslinjen går til styret og revisjonsutvalget. Styret og revisjonsutvalget godkjenner den årlige revisjonsplanen og gjennomgår internrevisjonens vurdering av systemene for internkontroll og risikostyring. Ekstern revisjon Ekstern revisors rolle Den viktigste oppgaven til den eksterne revisor, er å gi en uttalelse om hvorvidt organisasjonens årsregnskap ikke inneholder vesentlige feil. For en fullstendig vurdering av årsregnskapet, er det viktig at de eksterne revisorene er uavhengige. Derfor må alle relasjoner mellom eksterne revisorer og organisasjonen, bortsett fra den som oppstår som følge av revisjonen i seg selv, oppgis i beretningen fra den eksterne revisoren. For at man skal kunne gi en bekreftelse med høy sikkerhet for at årsregnskapet er i samsvar med egnede regnskapsstandarder, f.eks. International Financial Reporting Standards (IFRS) eller Generally Accepted Accounting Principles (GAAP), må de eksterne revisorene ha tilstrekkelig revisjonsbevis for å kunne avgi revisjonsberetningen. Veiledning for styrer og revisjonsutvalg 16

17 Vurdering av risikostyring og internkontroll Den eksterne revisorens forståelse av selskapets systemer for risikostyring og internkontroll gir et grunnlag for både planlegging av revisjonen og vurdering av kontrollrisiko. Kontrollrisiko defineres som risikoen for at vesentlig feil ikke blir avverget eller oppdaget av kundens internkontroll, og kontrollrisiko er dermed en variabel nøkkelfaktor når de eksterne revisorene skal avgjøre om kundens internkontroll er hensiktsmessig og effektiv. Den eksterne revisoren skal for eksempel kjenne til relevante risikoer og utformingen av kontrollstrukturer for å styre risikoer samt kjenne til om kontrollene fungerer i praksis eller ikke. Samarbeid med internrevisjonen Selv om den eksterne revisjonen og internrevisjonen utfyller hverandre, er samordning en viktig del av deres arbeid. Internrevisjonens evaluering av internkontrollsystemene gir viktig informasjon til den eksterne revisoren når vedkommende skal vurdere kontroll/risiko med innvirkning på årsregnskapet. Ideelt bør de eksterne og interne revisorene møtes jevnlig og diskutere arbeidets omfang, metode og revisjonsdekning. 17 Veiledning for styrer og revisjonsutvalg

18 FERMA: Federation of European Risk Management Associations (FERMA) er en sammenslutning av 20 nasjonale risikostyringsforeninger i 18 land. Den representerer et bredt spekter av forretningssektorer fra industri til finanstjenester, veldedige organisasjoner, helseorganisasjoner og kommuner. FERMAs formål er at den skal støtte sine medlemmer ved koordinering, bevissthetsøkning om og hensiktsmessig bruk av risikostyring, forsikring og risikofinansiering i Europa. FERMA arrangerer hvert annet år et forum og en benchmarkingundersøkelse av status på risikostyring i Europa. Resultatene av denne undersøkelsen presenteres på et seminar for alle medlemmene. ECIIA: European Confederation of Institutes of Internal Auditing (ECIIA) representerer 33 nasjonale internrevisjonsinstitutter (Institutes of Internal Auditors) i Europa. ECIIAs formål er å støtte interne revisorers stilling i EU og i ECIIAs medlemsland og å fremme bruken av standardene til det globale Institute of Internal Auditors og etiske retningslinjer blant alle internrevisorer i offentlig og privat sektor. ECIIA forsker innen emner vedrørende internrevisjon, forretningskontroll, risikostyring og governance. Det utgis Position Papers, informasjonsrapporter og et kvartalsvis nyhetsbrev. Bidragsytere: Michel DENNERY: FERMA Board Member; Risk Management Director GDF SUEZ Marie Gemma DEQUAE: FEMA Board Member; Risk Manager- Partena Group; Director of Risk Management Research Platform Vlerick Leuven Gent Management Schools Jean-Pierre GARITTE: Former President ECIIA; former Chairman of the Board of the global Institute of Internal Auditors Roland De MEULDER: Advisor to the managing board of ECIIA; former Chairman of the Internal Auditing Standards Board Chantal PIERRE: Former Secretary ECIIA; former Secretary of the Board of the global Institute of Internal Auditors Michèle F. RÜDISSER: Senior Lecturer in Organisational Control and Governance University of St. Gallen T. Flemming RUUD: Professor of Business Administration, in particular internal control/internal audit - University of St. Gallen Paul TAYLOR: FERMA Board Member; Director of Risk Assurance - Morgan Crucible Denne oversettelsen er utgitt med tillatelse fra FERMA og ECIIA. Dersom det skulle oppstå tvil om den norske oversettelsen, vil den engelske ordlyden være den gjeldende. Oslo, 19. mai 2011 Norges Interne Revisorers Forening (NIRF) Institute of Internal Auditors Norway (IIA Norway) Postboks 1417 Vika 0115 Oslo post@iia.no Mobil: (+47) Veiledning for styrer og revisjonsutvalg 18

19 aa

20 FERMA Federation of European Risk Management Associations Avenue Louis Gribaumont, 1 /B4, BE-1150 Brussel, Belgia Tlf.: Faks: E-post: info@ferma.eu ECIIA European Confederation of Institutes of Internal Auditing Koningsstraat bus 5 BE-1000 Brussel Belgia Tlf.: Faks: E-post: office@eciia.org