Nasjonal Fagkonferanse offentlig revisjon 2016

Transkript

1 Panama papers Tanker om internrevisjon og ansvarsforhold Nasjonal Fagkonferanse offentlig revisjon 2016 Harald Jægtnes 1

2 Ansvarsfraskrivelse Det er 7 år siden jeg praktiserte som leder av internrevisjon. Det er lenge siden og hukommelsen er ikke det den en gang var, (bare den selektive) Jeg er g(h)jort til part i en sak og derfor ikke nødvendigvis objektiv (men skal prøve så godt jeg kan) 2

3 DEL 1 DnB NOR 2006 MRR

4 DNB og Panama papers DNB Luxembourg (datterbank) bistod i 2006, 2007 og 2008 norske kunder med å opprette ca 40 selskaper på Seychellene Konsernsjef/Styret i DNB hevdet i april at internrevisoren i Luxembourg var den som etablerte opplegget og at konsernrevisjonen i Norge lukket øynene. Det skjedde brudd på interne retningslinjer for internrevisjon, godkjennelse av nye produkter og etiske regler Styreleder hevdet på pressekonferanse at internrevisjonen sviktet på alle nivåer i 2007! 4

5 DnB NOR Legal struktur 5

6 DnB NOR anno

7 DnB NOR Styringsstruktur 7

8 Konsernrevisor instruks i DnB NOR Vurdere, teste og avrapportere tilstrekkelighet og kvalitet på risikostyring og internkontroll i konsernet Utføre finansiell revisjon av regnskapsføring, delårsregnskaper, årsregnskap og årsberetninger Vurdere og teste overholdelse av relevante lover og regler samt oppfølging av eventuelle vedtak og pålegg fra offentlige myndigheter Vurdere og teste om finanskonsernets aktiviteter er innenfor vedtekter og andre retningslinjer gitt av generalforsamling og representantskap samt retningslinjer og strategier gitt av holdingstyret, konsernsjef og styrene Aktivt bidra til å forebygge og avdekke eventuelle misligheter, samt foreta utredninger ved mistanke om misligheter og uregelmessigheter i henhold til styrets retningslinjer for behandling av slike saker Gjennom sin virksomhet aktivt bidra til forbedringer i virksomheten 8

9 Konsernrevisjonen i DNB anno 2006 Ca 50 revisorer i Norge og ca 25 revisorer utenfor vårt ansvar i andre land Revisjonsgrupper med fast fagansvar og ansvar for forretningsområder Allokering av ressurser basert på vurdering av risiko og vesentlighet (også nedfelt i instruksen) Felles dokumentasjonssystem og rapporteringssystem Testbasert revisjonstilnærming (faktabasert) Objektive og klare rapporter som krevde tiltak (normalt nødvendig) Rapporteringer til ledere, konsernledelse, selskapsstyrer, revisjonskomite, holdingstyre, kontrollkomite, ekstern revisor 9

10 Risikovurdering pr divisjon Mål Iboende risiko Styring og kontroll Rest risiko Revisjonsplan Strategisk Drift Etterlevelse Rapportering 10

11 2400 Communicating Results Månedlige revisjonsrapportoversikter Nr. Rapport / Notat Dato Arkiv ref. Forretningsområde / Stab Enhet Formål Konklusjon Tilfredsstillende besvart Kommentar B029/ ABC X Revisjon av delområde verdipapirfinansiering Tilfredsstillende Det er god intern kontroll innen området verdipapirfinansiering. Den viktigste kontrollen er den daglige oppfølgingen av at kundens låneverdier i forhold til lånesaldo ligger innenfor forsvarlig belåningsverdi på pantsatte verdipapirer. Rutiner og prosedyrer gjennomføres som forutsatt uten vesentlige avvik. Reglene i Hvitvaskingsforskriften vedrørende Legitimasjonskontroll blir fulgt. JA B030/ ABC Y Revisjon av sentrale IT-systemer. Akseptabelt Intern kontrollen vedrørende tilgjengelighet og kapasitet, kontinuitetsplaner, autorisasjoner og ordresortering og etterlevelse av eksterne krav vedrørende systemene 123 og 456 i Y er akseptabel. JA B031/ ABC Z Audit and Credit Risk Review of: - Shipping Credits - Oil & Gas Credits - Non-CAF Nordic Credits Acceptable Z has an acceptable control and management of its credit portfolio. Our main comments are related to strategy and risk analyses as well as structuring and presentation of information in the credit papers. YES Fremlagt for konsernsjef: Fremlagt i styremøte: Fremlagt i kontrollkomiteen: 11

12 Group Audit's reporting Annual General Meeting Supervisory Board BoD Holding FSA Norway External Auditor Control Committee Audit Committee BoD Asset Management BoD Bank BoD Life Insurance Group Management Group Risk Management Management In Business Units / Support Functions Group Audit 12

13 13 DEL 2 Ansvar

14 Forsvarslinjer kilde NIRF compliance veiledning, s7 14

15 Internrevisjon Internrevisjon foretar uavhengige, objektive, metodiske vurderinger og gjennomganger i et foretak med sikte på å gi bekreftelser og tilbakemeldinger som kan bidra til bedre måloppnåelse i foretaket. Internrevisjonen gjennomgår ikke alt, men prioriterer områder og aktiviteter basert på en vurdering av risiko og vesentlighet for foretaket. De skjønnsmessige vurderingene baserer seg på tidligere erfaringer, observasjoner, tilgjengelig informasjon om interne og eksterne forhold. Internrevisjonens leder har ansvar for at arbeidet organiseres og gjennomføres i henhold til standardene og instrukser. 15

16 Revisjonsrisiko Det er risiko for at internrevisjonen ikke identifiserer alle forhold som burde lede til tilbakemeldinger til foretaket. Risikoen for mangler i internrevisjon kan bl.a. skyldes: Fordi man må prioritere og ikke gjennomgår alt, vil det kunne forbli uoppdagede feil og uønskede forhold i alle de områder/aktiviter som ikke gjennomgås Ikke identifiserer alle vesentlige risikoforhold pga mangelfull/skjult informasjon, manglende kompetanse, overser eller feilvurderer tilgjengelig informasjon Avgir feilaktige bekreftelse eller ikke oppdager feil fordi man ikke har tolket informasjon/observasjoner riktig, mangler kompetanse/erfaring, ikke er uavhengig/objektiv 16

17 3. linje forsvar Beskrivelsen av internrevisjon som et tredjelinjeforsvar kan lede til misforståelser Man kan oppfatte at internrevisjonen er en siste forsvarslinje som skal fange opp alt som ikke blir avdekket i første og andre linje Det motsatte kan være tilfelle. Internrevisjonen har lengre avstand til de underliggende forhold enn linjen og risikostyring/compliance (2. linjeforsvar) og skal dekke et større område. Fra et annet perspektiv, med større oversikt, kan internrevisjonen gi bekreftelser og tilbakemeldinger på om første og andre linje er organisert og fungerer som forutsatt. 17

18 Ansvarsforholdene i DnB NOR 2006 Årsberetningen 2006, side 68/69 Risikostyring konsern har overordnet ansvar for risikostyring, internkontroll og for å vurdere og rapportere konsernets samlede risikobilde. Compliancefunksjonen er en uavhengig funksjon som identifiserer, vurderer, gir råd om, overvåker og rapporterer konsernets compliance-risiko. I alle forretnings- og støtteområder samt i større datterselskaper og internasjonale kontorer er det utpekt compliance ansvarlige som skal sikre at aktuelt regelverk blir etterlevd. Uavhengig og effektiv intern og ekstern revisjon skal bidra til hensiktsmessig internkontroll og pålitelighet i den finansielle rapporteringen. Konsernrevisjonen har sin instruks fra styret, som også godkjenner revisjonens årlige planer og budsjetter. 18

19 Internrevisjon kan også ha complianceoppgaver Kapitalkravsforskriften 19

20 Redegjørelsene DNB Styret 11. april 2016 Prosess Innhold Hjort 11. september 2016 Prosess Innhold 20

21 Ettertanker Konsernrevisjonen var pådriver i slutten av 90 tallet for etablering av revisjonskomite samt en linjeuavhengig kredittkontroll funksjon og på begynnelsen av 2000 tallet for etablering av compliancefunksjon. Internrevisjon vs compliancefunksjoner Vi gjorde nok i starten mange egne kontroller uavhengig av compliance funksjonen. Var kanskje en form for et sikkerhetsnett. Burde kanskje i større grad vurdert og tilført metodikk i risikovurdering, planlegging, arbeidsprogram, gjennomføring og rapportering. På den annen side hadde vi sikkert skapt en funksjon i internrevisjon stil. 21

22 DEL 3 Organisasjons-/ kontrollkulturens betydning Overordnet Ikke helt entydig begrep, men omfatter bl.a. selskapsverdier og hvordan man kan og skal forholde seg til verdiene Det er et komplisert tema i praksis fordi det omhandler både holdninger og adferd. Styre og ledelse viser veien ved egen adferd. Organisasjonskultur er utviklet over tid som en konsekvens av historie, lederskap og eksterne omgivelser En sunn risikokultur gir adekvat belønning ift ønsket risikotaking, har et effektivt kontrollsystem tilpasset størrelse og kompleksitet, intern åpenhet til å utfordre og diskutere kvaliteten i systemer og praksis, praktiserer konsekvenser ved avvik og brudd 22

23 Noe å tenke på? Risikokultur Vanskelig å revidere holdninger og adferd. Observeres over tid. Ikke bare én kultur. Sub-kulturer kan velte lasset. Her må man evaluere ledere og miljøer i autonome enheter i konsernet Noen ledere blir høye på seg selv og ikke mottakelige for innspill Hvilken adferd skaper belønning? Hvordan beregnes belønningen ; individuell /gruppe (hva medfører høyest risiko)? Er etikk og compliance på agenda i styremøter/ ledermøter? Tone at the top; Ikke se på hva styret/ledelsen skriver, men observer hvordan adferden er Etisk personlig adferd Egen overholdelse av regler Riktig plassering av ansvar for drift og kontroll Konsekvenser 23

24 Styreleder viser Tone at the top Aftenposten 11. April 2016: Tanum er klar på at internrevisjonen i DNB har sviktet på alle nivåer. I ettertid ser vi jo at for eksempel internrevisjonen ikke har fungert hverken på Luxembourg-kontoret eller på hovedkontoret i 2007, sier hun. Samtidig tar hun felles ansvar for dette med Rune Bjerke. Hvordan kan styreleder bedømmes i forhold til: DNBs etiske regler: opptre med respekt, omtanke og alminnelig høflighet i forhold til kolleger sa vel som konkurrenter, kunder og andre COSO: The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives. 24

25 Riktig plassering av ansvar 25

26 Styreleder angir Tone at the top 26

27 Styrets rolle i selskapets arbeid med risikostyring Financial Stability Board (2014) Tone from the top: The board and senior management are the starting point for setting the financial institution s core values and expectations for the risk culture of the institution, and their behaviour must reflect the values being espoused. Eierskapsmeldingen side 76 Styret bør sørge for at selskapet har styringssystemer og kultur for risikoha ndtering som er forenelig med hvordan selskapet ønsker a forholde seg til risiko. Konsekvensen bør være at valgkomiteen i DNB tar en fornyet gjennomgang av styresammensetningen i forhold til kompetanse i risikohåndtering og internkontroll og som kan være gode rollemodeller 27