Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF Nasjonal fagkonferanse i offentlig revisjon Gardermoen 29. oktober 2014
Innledning Innhold Hva er beholdt fra 92-rammeverket, og hva er nytt? 17 prinsipper med fokuspunkter Teknikker og verktøy (Illustrative Tools) Økt nytteverdi for styre/ledelse og for revisor? 2
COSOs rammeverk og veiledninger 3
Hva inngår i COSO 2013? - Internkontroll et integrert rammeverk (Internal Control Integrated Framework) Foreligger per i dag ikke i norsk utgave. - Internkontroll et integrert rammeverk: Sammendrag (Executive Summary) Foreligger i norsk utgave - Teknikker og verktøy (Illustrative Tools) Foreligger per i dag ikke i norsk utgave. Sammendraget kan lastes ned fra NIRFs hjemmeside, her: http://www.iia.no/ Hele rammeverket og Illustrative tools kan kjøpes fra AICPA via COSO, her: http://coso.org/ic.htm 4
Definisjonen av internkontroll (ingen vesentlig endring) Internkontroll er en prosess, utført av en virksomhets styre, ledelse og øvrige ansatte, utformet for å gi rimelig sikkerhet for oppnåelse av målsettinger relatert til drift, rapportering og etterlevelse. På norsk kunne vi like gjerne brukt begrepet Intern styring og kontroll. 5
COSO-modellen for intern styring og kontroll (rammeverket) Kuben er snudd på hodet! 6
Hva er de viktigste endringene fra 92-utgaven? (Ut over at kuben er snudd opp-ned ) 1. Målsettingskategorien regnskapsrapportering har blitt utvidet til å omfatte andre viktige former for rapportering. Dekker nå både ekstern og intern rapportering, økonomisk og ikke-økonomisk. 2. Man hat tatt hensyn til de mange endringer i forretningsmiljø og rammebetingelser som har skjedd siden 90-tallet. 3. Det er definert 17 prinsipper som utdyper og forklarer innholdet i de fem komponentene. 7
Nytt: Prinsipper m/tilhørende fokuspunkter Rammeverket introduserer 17 prinsipper den grunnleggende essensen av hver komponent. Alle prinsippene gjelder for samtlige drifts-, rapporterings- og etterlevelsesmålsettinger. Virksomheten kan oppnå hensiktsmessig og effektiv internkontroll ved å anvende alle prinsippene. Hvis (en komponent eller) et prinsipp mangler, er mangelfullt i vesentlig grad eller ikke er integrert med de øvrige, er ikke kravene til et hensiktsmessig/effektivt IK-system innfridd. For hvert prinsipp oppgis et antall fokuspunkter (points of focus) 87 til sammen. Fokuspunktene fremhever viktige kjennetegn ved prinsippet (ved riktig anvendelse). 8
. Prinsipper 1. Organisasjonen er opptatt av integritet og etiske verdier, og viser dette i praksis. 2. Styret er uavhengig av ledelsen, og fører tilsyn med utvikling og gjennomføring av internkontrollen. 3. Ledelsen, under styrets tilsyn, etablerer strukturer, rapporteringslinjer og myndighet og ansvar som er egnet for å oppnå målsettingene. 4. Organisasjonen er opptatt av å rekruttere, utvikle og beholde kompetente medarbeidere i samsvar med målsettingene. 5. Organisasjonen holder enkeltpersoner ansvarlig for de internkontrolloppgavene de er tildelt i arbeidet med å oppnå målsettingene. 9
. Prinsipper 6. Organisasjonen spesifiserer målsettinger som er tydelige nok til at man kan identifisere og vurdere risikoene knyttet til dem. 7. Organisasjonen identifiserer risikoer for ikke å nå målsettinger i hele virksomheten, analyserer dem og avgjør hvordan de bør håndteres. 8. Organisasjonen tar hensyn til muligheten for misligheter når den vurderer risiko for ikke å nå målsettinger. 9. Organisasjonen identifiserer og vurderer endringer som i betydelig grad kan få konsekvenser for internkontrollsystemet 10
Prinsipper 10.Organisasjonen velger og utvikler kontrollaktiviteter som bidrar til at risiko for ikke å nå målsettinger reduseres til akseptable nivåer. 11.Organisasjonen velger og utvikler generelle kontrollaktiviteter vedrørende teknologi til støtte for arbeidet med å oppnå målsettinger. 12.Organisasjonen iverksetter kontrollaktiviteter gjennom retningslinjer som sier hva som forventes, og prosedyrer som setter retningslinjene ut i livet. 11
Prinsipper 13. Organisasjonen innhenter eller genererer og bruker relevant informasjon av høy kvalitet til støtte for gjennomføringen av internkontrollen. 14. Organisasjonen kommuniserer internt informasjon, herunder målsettinger og ansvar for internkontroll, som trengs for å støtte en fungerende internkontroll. 15. Organisasjonen kommuniserer med eksterne aktører om saker av betydning for internkontrollen. 12
Prinsipper 16. Organisasjonen velger, utvikler og utfører løpende og/eller frittstående evalueringer for å fastslå om internkontrollkomponentene er til stede og fungerer. 17. Organisasjonen evaluerer og kommuniserer internkontrollmangler til rett tid til de med ansvar for å treffe korrigerende tiltak, inkludert toppledelsen og eventuelt styret. 13
Fokuspunkter Fra rammeverket, kap. 4: Points of Focus The Framework describes points of focus that are important characteristics of principles. Management may determine that some of these points of focus are not suitable or relevant and may identify and consider others based on specific circumstances of the entity. Points of focus may assist management in designing, implementing, and conducting internal control and in assessing whether the relevant principles are, in fact, present and functioning. The Framework does not require that management assess separately whether points of focus are in place. 14
5 komponenter, 17 prinsipper og 87 fokuspunkter INTERNT KONTROLLMILJØ RISIKO- VURDERING KONTROLL- TILTAK INFORMASJON OG KOMMUNIKASJON OPP- FØLGING Prins. 1 4 fokusp. Prins. 2 4 fokusp. Prins. 3 3 fokusp. Prins. 4 4 fokusp. Prins. 6 15 fokusp. Prins. 7 5 fokusp. Prins. 8 4 fokusp. Prins. 9 Prins. 10 6 fokusp. Prins. 11 4 fokusp. Prins. 12 6 fokusp. Prins. 13 5 fokusp. Prins. 14 4 fokusp. Prins. 15 5 fokusp. Prins. 16 7 fokusp. Prins. 17 3 fokusp. Prins. 5 3 fokusp. 5 fokusp. 15
Points of focus ett eksempel (vedr. komponenten kontrollaktiviteter) Prinsipp 10: Organisasjonen velger og utvikler kontrollaktiviteter som bidrar til at risiko for ikke å nå målsettinger reduseres til akseptable nivåer. Fokuspunkter (overskrifter): Integrates with risk assessment Considers entity-specific factors Determines relevant business processes Evaluates a mix of control activity types Considers at what level activities are applied Addresses segregation of duties 16
Teknikker og verktøy (Illustrative Tools) for vurdering av hensiktsmessigheten og effektiviteten i et internkontrollsystem En hjelp til ledelsen ved vurdering av effektiviteten av virksomhetens internkontrollsystem, med utgangspunkt i rammeverkets krav og prinsipper. Kan hjelpe ledelsen i vurderingen av om internkontrollsystemet tilfredsstiller følgende krav: Alle fem komponenter og relevante prinsipper er til stede og fungerer. De fem komponentene virker sammen på en integrert måte. 17
Teknikker og verktøy hva består de av? a) Maler (templates): Disse kan støtte en vurdering av effektiviteten av et internkontrollsystem og gjøre det lettere å dokumentere en slik vurdering. b) Scenarioer (scenarios): Disse gir praktiske eksempler på hvordan malene kan brukes til støtte for en vurdering av internkontrollsystemets effektivitet. (Hovedvekten ligger på en evaluering av internkontrollens komponenter og relevante prinsipper.) 18
Fire typer maler Principle Evaluation (17 stk) Component Evaluation (5 stk) Summary of Deficiencies Overall Assessment of a System of Internal Control 19
Bruk av malene 20
I innledningen til Principle evaluation blir vi minnet om prinsippets Points of focus 21
Principle evaluation - eksempel Hvilken komponent? Hvilket prinsipp? 22
Component evaluation - eksempel 23
Component evaluation eksempel forts. 24
Summary of deficiencies Summary of Deficiencies ID # Source of the internal control deficiency Component Principle Internal Control Deficiency Description Severity Considerations Is internal control deficiency a major deficiency? (Y/N) Owner Remediation Plan and Date Impact on Present/ Functioning List any internal control deficiencies in other principles that may have contributed to this internal control deficiency 25
Overall assessment OVERALL ASSESSMENT OF A SYSTEM OF INTERNAL CONTROL Entity or part of organization structure subject to the assessment (entity, division, operating unit, function) Objective(s) being considered for the scope of internal control being assessed Considerations regarding management s acceptable level of risk Operations Reporting Compliance Control Environment Risk Assessment Control Activities Information and Communication Monitoring Activities Present? (Y/N) Functioning? (Y/N) Explanation/Conclusio n Are all components operating together in an integrated manner? Evaluate if a combination of internal control deficiencies, when aggregated across components, represent a major deficiency* <Update Summary of Deficiencies Template as needed> Is the overall system of internal control effective? <Y/N>* Basis for conclusion 26
Teknikker og verktøy Scenarioer Praktiske eksempler på hvordan malene kan brukes. Scenario A: Is a relevant principle and component present and functioning? Scenario B: Is each of the components present and functioning and operating together in an integrated manner? Scenario C: How does a material weakness impact relevant principles, components, and the system of internal control? Scenario D: Are relevant principles and components present and functioning in a division, operating unit, or function? Scenario E: How are the assessments of multiple locations combined? 27
Økt nytteverdi for styre/ledelse og for (intern)revisor? Rammeverket er bedre tilpasset dagens virkelighet (endringer i forretningsmiljø og rammebetingelser er fanget opp). Vi har fått et bedre grunnlag for utforming, implementering og evaluering av intern styring og kontroll, ved at: Internkontrollens grunnleggende konsepter er konkretisert i 17 prinsipper, tilknyttet de fem IK-komponentene. Hvert prinsipp er ytterligere forklart gjennom fokuspunkter viktige karakteristika ved prinsippet. Rammeverket inneholder maler til støtte ved vurdering av IK-systemets effektivitet, inklusive Overall assessment, og praktiske eksempler på bruken av malene. 28
Økt nytteverdi, forts. Bedre dokumentasjon for utforming, implementering og evaluering av intern styring og kontroll i virksomheten, ved bruk av malene i Illustrative Tools (Teknikker og verktøy). 29
Eks. på praktisk bruk av COSO 2013 (internseminar Helse Nord) Sju fokusområder: Kunnskap, kvalitet og læring Tilgjengelighet Rekruttering og stabilisering Samarbeid med primærhelsetjenesten Informasjonsteknologi og telemedisin God effektivitet og ressursutnyttelse Medvirkning og kommunikasjon 30
Opprinnelig versjon går ut på dato! ALTAMONTE SPRINGS, Fla., May 14, 2013 COSO Issues Updated Internal Control-Integrated Framework Utdrag: COSO believes that users should transition their applications and related documentation to the updated Framework as soon as is feasible under their particular circumstances. As previously announced, COSO will continue to make available its original Framework during the transition period extending to December 15, 2014, after which time COSO will consider it as superseded by the 2013 Framework. 31