REVISJON AV COMPLIANCE-PROGRAMMER

Transkript

1 REVISJON AV COMPLIANCEPROGRAMMER NIRF Årskonferanse 2017 Mads Blomfeldt BDO compliance og gransking 1

2 AGENDA Hva er et complianceprogram? Aktuelle standarder og beskrivelser av «beste praksis» Forventninger til et complianceprogram eksempler ISO Planlegging og gjennomføring av revisjonen Uavhengighet Løpende monitorering/revisjon? Side 2

3 HVA ER ET COMPLIANCEPROGRAM Eksempler på complianceområder Korrupsjon Hvitvasking Annen økonomisk kriminalitet Konkurranse Verdipapir Sanksjoner Børs Personvern Miljø HMS Kontrakter Lisenser Arbeidstakerrettigheter Side 3

4 AKTUELLE STANDARDER OG BESKRIVELSER AV «BESTE PRAKSIS» Antikorrupsjon Økokrims 9 punkter ISO Anti bribery management systems Veiledning fra UK MoJ til UK Bribery Act Veiledning fra US DoJ og SEC til FCPA OECD Good Practice Guidance Transparency International «Beskytt din virksomhet WEC/PACI Principles for Countering Bribery ICC Rules of Conduct and Recommendations Generelt ISO Compliance management systems COSOrammeverket NIRF Veileder for Compliancefunksjonen Side 4

5 FORVENTNINGER (ANTIKORRUPSJON) Økokrim OECD UK MoJ US DOJ/SEC ISO Organisering, opplæring, oppfølging og kontroll tilpasset virksomhetens forretningsoperasjoner og korrupsjonsrisiko. 2. Generelle instrukser og retningslinjer. 3. Korrupsjon eksplisitt tatt opp i de etiske retningslinjene. 4. Rutiner for håndtering av korrupsjonsspørsmål. 5. Gode manualer er ikke tilstrekkelig; etterlevelsen er avgjørende. 6. Kartlegging og identifisering av særlige risikomomenter. 7. Oppfølging ved konkrete spørsmål om hvordan operasjoner som kan medføre risiko, faktisk blir utført. 8. Innpode ledere om deres ansvar som ledere og forbilder, både når det gjelder å følge reglene og å varsle om avvik. 9. Jevnlig innskjerping og oppfriskning av rutiner. 1. strong, explicit and visible support and commitment from senior management 2. A clearly articulated and visible corporate policy 3. Personal responsibility at al levels 4. Oversight and authority to report matters directly to independent monitoring bodies 5. Ethics and compliance programs applicable to all and covering relevant risk areas 6. Risk based due diligence and active, communicative risk mitigation related to third parties 7. Reasonably designed Internal controls to ensure fair and accurate books and records 8. Periodic training and communication 9. Measures to provide positive internal support 10.Appropriate disciplinary procedures 11.Guidance and protection of ethical standards 12.Periodic reviews 1. Proportionate procedures 2. Toplevel commitment 3. Risk Assessment 4. Due diligence 5. Communication (including training) 6. Monitoring and review 1. Commitment from Senior Management and a Clearly Articulated Policy Against Corruption 2. Code of Conduct and Compliance Policies and Procedures 3. Oversight, Autonomy, and Resources 4. Risk Assessment 5. Training and Continuing Advice 6. Incentives and Disciplinary Measures 7. Third Party Due Diligence and Payments 8. Confidential Reporting and Internal Investigation 9. Continuous Improvement: Periodic Testing and Review 10.Mergers and Acquisitions: PreAcquisition Due Diligence and Post Acquisition Integration 1. Understanding context and risk 2. Leadership, roles and responsibilities 3. Antibribery policy 4. Risk assessments 5. Financial and nonfinancial controls to manage risks 6. Due Diligence 7. Gifts, hospitality and donations 8. Raising concerns 9. Investigating and dealing with bribery 10.Performance evaluation and improvement Side 5

6 FORVENTNINGER (ANTIKORRUPSJON) Økokrim OECD UK MoJ US DOJ/SEC ISO Organisering, opplæring, 1. strong, explicit and visible 1. Proportionate procedures 1. Commitment from Senior 1. Understanding context and risk oppfølging og kontroll support and commitment from 2. Toplevel commitment Management and a Clearly 2. Leadership, roles and tilpasset virksomhetens forretningsoperasjoner og senior management 2. A clearly articulated and Risk Assessment Due diligence Articulated Policy Against Corruption responsibilities 3. Antibribery policy korrupsjonsrisiko. visible corporate policy 5. Communication (including 2. Code of Conduct and 4. Risk assessments 2. Generelle instrukser og retningslinjer. 3. Korrupsjon eksplisitt tatt opp i de etiske 3. Personal responsibility at all levels 4. Oversight and authority to report matters directly to 6. training) Monitoring and review Compliance Policies and Procedures 3. Oversight, Autonomy, and Resources 5. Training 6. Financial and nonfinancial controls to manage risks 7. Due Diligence retningslinjene. independent monitoring 4. Risk Assessment 8. Gifts, hospitality and donations = GOD INTERNKONTROLL 4. Rutiner for håndtering av bodies 5. Training and Continuing 9. Raising concerns korrupsjonsspørsmål. 5. Ethics and compliance Advice 10.Investigating and dealing with 5. Gode manualer er ikke programs applicable to all and 6. Incentives and Disciplinary bribery tilstrekkelig; etterlevelsen covering relevant risk areas Measures 11.Performance evaluation and er avgjørende. 6. Risk based due diligence and 7. Third Party Due Diligence improvement 6. Kartlegging og identifisering av særlige risikomomenter. 7. Oppfølging ved konkrete spørsmål om hvordan operasjoner som kan medføre risiko, faktisk blir utført. 8. Innpode ledere om deres ansvar som ledere og forbilder, både når det gjelder å følge reglene og å varsle om avvik. 9. Jevnlig innskjerping og oppfriskning av rutiner. active, communicative risk mitigation related to third parties 7. Reasonably designed Internal controls to ensure fair and accurate books and records 8. Periodic training and communication 9. Measures to provide positive internal support 10.Appropriate disciplinary procedures 11.Guidance and protection of ethical standards 12.Periodic reviews and Payments 8. Confidential Reporting and Internal Investigation 9. Continuous Improvement: Periodic Testing and Review 10.Mergers and Acquisitions: PreAcquisition Due Diligence and Post Acquisition Integration Side 6

7 ISO Antibribery management systems (15. oktober 2016) Inneholder krav og veiledning for å etablere, implementere, vedlikehold, gjennomgå og forbedre et ledelsessystem for antikorrupsjon Gjelder eksplisitt for antikorrupsjon, men mange av prinsippene er overførbare til andre complianceområder. Et ledelsessystem kan dekke flere områder Er ment å kunne gjelde for alle virksomheter, uavhengig av type, størrelse mv. En global standard Side 7

8 MOMENTER VED PLANLEGGING OG GJENNOMFØRING AV REVISJONEN Hvilke områder dekkes av complianceprogrammet, og hvilke områder skal revisjonen dekke? Tidligere gjennomførte revisjoner Risikobildet Aktuelle standarder/beskrivelser av «beste praksis» Uttrykte forventninger fra interessenter Revisjon av hele programmet eller elementer/prosesser Virksomhetens modenhet Modenhet er avgjørende for revisjonskriterier Stor mulighet for «følgefeil» i mindre modne virksomheter Side 8

9 UAVHENGIGHET The International Professional Practices Framework (IPPF) 1100 Uavhengighet og objektivitet Internrevisjonen må være uavhengig, og internrevisorer må være objektive i utførelsen av sitt arbeid Individuell objektivitet Internrevisorer må ha en upartisk innstilling og unngå enhver interessekonflikt. Fra NIRFs «Veileder for Compliancefunksjonen» Tredje forsvarslinje utøves av internrevisjonen som gir styrende organer og toppledelse en høyere grad av uavhengig og objektiv bekreftelse på internkontrollen i virksomheten enn andrelinjen. Det er viktig å være bevisst på at funksjonene i andre og tredje forsvarslinje skal opptre uavhengig av enhetene de monitorerer og kontrollerer. Det vil si at de ikke skal utføre arbeidsoppgaver som tilligger førstelinjen, men kontrollere og monitorere om arbeidsoppgaver utføres i henhold til eksterne og interne regler og rutiner. Side 9

10 Mads Blomfeldt Partner BDO compliance og gransking Side