Mislighetsrisiko ved utkontraktering. NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik

Transkript

1 Mislighetsrisiko ved utkontraktering NIRF nettverksmøte februar 2008 Lars Erik Fjørtoft og Dag Eidsvik

2 Agenda Hva innebærer utkontraktering Ansvarsforhold og tiltak Internrevisors rolle og tilnærming Spørsmål og kommentarer 2

3 Hva betyr utkontraktering Definisjon: bortsetting av oppgavegjennomføring til andre Utkontraktering innebærer aldri at man setter bort ansvar for oppgavene kun gjennomføring Hvem leverer tjenesten Interne avtaler mellom shared service center og virksomheten Opprettelse av eget SSC-selskap (eid av virksomhet) Kjøp av tjenester fra 3. parter (hvor virksomheten kan ha eierandeler) Utkontraktering av hva IT Lønn Regnskap Diverse administrative oppgaver; vedlikehold bygning, vakthold mv 3

4 Ansvarsfølelse Sitater fra virksomheter: Dette er leverandørens ansvar Vi har valgt å sette bort dette fordi vi ikke ønsker å vedlikeholde kompetansen selv Dette må du snakke med leverandøren om - vi vet ikke Påstand: Ute av øye ute av sinn Virksomheten Revisor 4

5 Ansvarsplassering Alminnelige regler for styring og kontroll Selskapslovgivning (generelle krav om formuesforvaltning) Økonomireglement mv Utkast til ny IK forskrift 2-3. Utkontraktering Foretaket har ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretaket også gis rett til innsyn i og kontroll av leverandørens aktiviteter som er omfattet av avtalen. Avtalen skal sikre at Kredittilsynet gis tilgang til opplysninger fra og tilsyn med leverandøren der Kredittilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sørge for at organisasjonen besitter tilstrekkelig kompetanse til å håndtere utkontrakteringsavtalen. 5

6 Risikotyper Merkantile Kostnads-effektivitet Konkurransedyktige betingelser Forhandlingsrom Sanksjoner Oppsigelse Operasjonelle Knyttet til leveransekvalitet; driftsstabilitet, sikkerhet, misligheter mv Samsvar med lover og regler Relevant støtte til forretningen Mislighetsrisiko Fra selskapet overfor leverandør ifm anskaffelsen, vedlikehold osv Leverandøren introduserer en X-faktor i forhold til mislighetsrisiko 6

7 Mislighetsrisiko Type risikoer avhenger av hva som utkontrakteres, men noen generelle forhold: Virksomheten må ha et bevisst forhold til det som settes ut Virksomheten må etablere kontroller for å overvåke leveransen og administreringen av leveransen Virksomheten må sikre at de kun velger profesjonelle leverandører Virksomheten må følge opp dersom det skjer endringer hos serviceorganisasjonen Dersom utkontraktering skjer over grenser (offshoring, nearshoring) er dette ekstra vanskelig 7

8 Mislighetsrisiko forts Generelt er det jo ikke andre risikoer, men vanskeligere å overvåke Lønn; fiktive utbetalinger, satser, variabel lønn Anskaffelser; avtaler, manglende likebehandling osv IT; ulovlige lisenser, lagring av uetisk materiale Regnskap; underslag MEN det er etablert armlengdes avstand til utfører slik at dere kanskje ikke vet: Hvem som sitter med ansvar Er fremmedgjort i forhold til kontroll Større utfordring å gjennomføre faktisk oppfølging 8

9 Internrevisors bidrag Sikre at den interne prosessen er god Gjennomføre vurderinger av serviceleverandører Innhente revisorrapporter og ledelseserklæringer fra serviceleverandør Overvåke om det skjer endringer 9

10 Internrevisorsbidrag utland Dersom det er utkontraktering over landegrenser stilles det nye krav Før Vurdering av etikk hos leverandør Vurdering av soliditet Vurdering av forutsigbarhet og etterrettlighet Språk, kultur, tidssoner, politisk stabilitet mv Ved gjennomføring Reelle oppfølgingsmuligheter Eierskap (IPR) Nærhet til internkontroll Avvikling Rettigheter Gjennomføringsmuligheter 10

11 Internrevisors bidrag Overvåkning kan rettes inn mot sluttpunkt, dvs overvåke mislighetsrisiko gjennom KPI er Definere normalsituasjoner Definere kjente avvik Iverksette automatisert overvåkning, eks gjennom bruk av analyseverktøy, predefinerte rapporter eller lignende 11

12 Continuous monitoring/auditing AUDIT TESTS KPIs Exceptions: Transactions Control failures Control changes Analytics & ratios Security breaches Segregation of duties 12

13 Hvordan bør virksomheten følge opp leveransen Virksomheten må sikre at de får leveransen de har behov for og betaler for For å gjennomføre dette må organisasjonen ha beskrevet hvilken leveranse den trenger/ønsker/er villig til å betale for Det må også etableres klare krav til kommunikasjon mellom leverandør og kunde, herunder rapportering av eks driftsytelse, avvikssituasjoner osv. 13

14 Forslag til revisjonsaktiviteter Har virksomheten en politikk for hvilke oppgaver som kan settes bort og hvordan man velger ekstern leverandør Er det etablert en standardprosess som siker nødvendig arbeidsdeling mv og etterleves denne Har virksomheten oversikt over utkontraktering Rangering av risiko (konsekvens av manglende/mangelfull leveranser) Er det etablert kontrakter? Hva er regulert i kontraktene? (inngås med venner ved innsalg og inngåelse brukes til å regulere/håndtere uenighet!) Krav til/beskrivelse av leveransen Krav til kontrollmålsettinger (mislighetsrisiko ivaretatt?) Krav til kommunikasjon; hva, hvordan, når 14

15 Forslag til revisjonsaktiviteter forts. Hvilken kommunikasjon er det mellom virksomhet og leverandør og hva er kvaliteten av denne? Driftsrelatert Status Merkantilt (endringer innenfor/utenfor kontrakten) Hvilken kompetanse og kapasitet har virksomheten til å vurdere leveranse og eventuelt iverksette sanksjoner? 15

16 Noen avsluttende betraktninger Ansvaret forblir reelt i virksomheten, men ofte oppfattes det som at det følger med til leverandør Oppfølgingen må være tett, aktiv og reell Internrevisor får annerledes arbeidsbetingelser og må tenke seg om i forhold til hvordan lik sikkerhet og risikodekning oppnås Utkontraktering over landegrenser gir spesielt vanskelige arbeidsvilkår ved tradisjonell tilnærming 16

17 Så er det Dag sin tur 17

18 Mislighet hvorfor skjer det? (Mislighets trekant) Anledning Press (Motivasjon) Rasjonalisering (Holdning) 18

19 Mislighetstrekanten - Anledning Mangelfulle kontrollrutiner Mangler av segregasjon av oppgaver Dårlig corporate governance Misbruk av myndighet Utnytte feil En liten oppfølging fra ledelsen 19

20 Eksempler på misligheter knyttet til utkontraktering Outsourcing av regnskapsdrift Personene ansatt i regnskapet som sitter utenfor organisasjonen, har ofte lite instrukser og høye fullmakter. En av de viktigste anledningene personer har for å gjennomføre misligheter, er når ledelsen ikke effektivt kan overvåke føringer. Økonomisjef i organisasjonen gav instrukser for hvilke bilag og tidspunktet for disse bilagene, uten mer rasjonale regnskapsmessig manipulasjon for å nå visse tall Bedriften som førte regnskapet opprettet leverandører som organisasjonen ikke var klar over Bedriften som førte regnskapet førte enkelte kostnader som ikke var relatert til organisasjonen i regnskapet 20

21 Eksempler på misligheter knyttet til utkontraktering Outsourcing av IT-drift Personene som fører IT systemet og sitter utenfor organisasjonen, har ofte liten oppfølgings rutiner fra organiasjonen. En av de viktigste anledningene personer har for å gjennomføre misligheter, er når ledelsen ikke effektivt kan overvåke føringer. En person som var ansatt i organisasjonen utnyttet en ubenyttet bruker i systemet til å gjennomføre misligheter. Det hadde blitt opprettet en bruker til en ferievikar, men når personen var ferdig å jobbe, ble det ikke kommunisert til ITdrift at bruker ID en skulle lukkes. 21

22 Takk for oppmerksomheten - Spørsmål eller kommentarer? Lars Erik Fjørtoft Leder av IT Advisory Mobil: E-post lars.erik.fjortoft@kpmg.no Dag Eidsvik Leder av Investigation and integrity services Mobil: E-post: dag.eidsvik@kpmg.no 22