www.pwc.no Hvordan vurdere/revidere overordnet styring og kontroll Jonas Gaudernack DFØ - Desember 2014
Dekomponering av problemstillingen -> grunnleggende spørsmål 1. Hvorfor vurdere styring og kontroll Ledelsens behov Revisors/internrevisors behov Andre? 2. Hvem er det man vurderer for / uttaler seg til? 3. Når og hvor skal man uttale seg, og hvilken tidsperiode dekkes? 4. Hva dekkes av begrepet "styring og kontroll"? 5. Hvordan skal man revidere > hva utgjør revisjonsbeviset og hvordan skal man innhente det? Én kjemperevisjon? Aggregert vurdering basert på en portefølje av revisjoner? Andre mekanismer?
Mulige kilder for å tolke hva dekkes av begrepet «styring og kontroll / virksomhetsstyring» 1. COSO rammeverkene 2. Selskapslovgivningen 3. «Three lines of defence» modellen 4. Finansregulering 5. Profesjonstilnærming: Revisorer, aktuarer, ingeniører 6. Annet?
COSO 2013 dekker flere viktige styrings- og kontrollkomponenter, sortert på 5 kompomenter, 17 prinsipper og 80-90 fokuspunkter Control Environment Risk Assessment Control Activities Information & Communication Monitoring Activities 1. Demonstrates commitment to integrity and ethical values 2. Exercises oversight responsibility (the board) 3. Establishes structure, authority and responsibility 4. Demonstrates commitment to competence 5. Enforces accountability 6. Specifies suitable objectives 7. Identifies and analyzes risk 8. Assesses fraud risk 9. Identifies and analyzes significant change 10. Selects and develops control activities 11. Selects and develops general controls over technology 12. Deploys through policies and procedures 13. Uses relevant information 14. Communicates internally 15. Communicates externally 16. Conducts ongoing and/or separate evaluations 17. Evaluates and communicates deficiencies
Anvendelsen av COSO har imidlertid en tendens til å bli sjekklistebasert og lite ledelsesrelevant An effective system of internal control reduces, to an acceptable level, the risk of not achieving an objective relating to one, two, or all three categories of objectives. It requires that: (i) each of the five components of internal control and relevant principles is present and functioning, and that (ii) the five components are operating together in an integrated manner. 80-90 points of focus 17 Principles 5 Components Internal control
Selskapslovgivningen er en relevant kilde, og den kan i stor grad også linkes til COSO ERM COSO Risikostyring (2004): 1. Sett strategier/mål 2. Organiser virksomheten 3. Identifiser hendelser 4. Risikovurdering 5. Risikorespons 6. Kontroll 7. Oppfølging / Monitoring ASL - Styrets oppgaver og plikter: 1. Strategioppgaven 2. Organiseringsoppgaven 3. Kontrolloppgaven ASL - Daglig leders oppgaver og plikter: 1. Daglig ledelse 2. Iverksette styrets føringer 3. Følge opp gjennomføring 4. Rapportere tilbake til styret
«Three lines of defence" er et godt utgangspunkt for avklaring av roller og ansvar for kontrollfunksjoner Kilde ECIIA
Hva med en finansregulatorisk tilnærming? - Finanstilsynet / EBA (4 tema / 17 prinsipper) Selskapsstruktur og organisasjon: 1. Organisasjonsstruktur 2. Ansvars- og myndighetsområder 3. Risikostyring Styrets ansvar og oppgaver: 4. Styrets ansvar 5. Strategi, informasjon 6. Risikostyring oppdatering 7. Internkontroll 8. Interessekonflikter; dokumentasjon 9. Kapitalbehov 10. Vurdering av institusjonens/konsernets overordnede styring og kontroll 11. Styresammensetning, uavhengighet mv. 12. Nøkkelpersoner 13. Etiske standarder Interne kontroll- og overvåkingsfunksjoner: 14. Internkontroll 15. Risikokontrollfunksjonen 16. Compliancefunksjonen 17. Internrevisjonsfunksjonen 18. Styrings- og rapporteringssystemer 19. Bekymringsmeldinger Opplysningskrav: 20. Krav til informasjon 21. Finansiell informasjon
Supplerende risikofaglig tilnærming: - Revisor vs Aktuar-/ingeniørtilnærmingen Revisor: Risk is the possibility that an event will occur and adversely impact the achievement of the entity s mission or business objectives. Ingeniør/aktuar: Risk is a measure of adverse deviation from the expectation, expressed at a level of uncertainty (probability).
Tips: Hva bør dekkes Mulige hovedkomponenter S&K: - Tydelig mål og retning - Ryddig overordnet organisering - Tydelige føringer (styringsdokumenter) - Relevant og pålitelig styringsinformasjon - Kultur og handlekraft Mulige dimensjoner i revisjonsplanen: - Overordnet S&K - Løpende drift - Endring/prosjekter/investeringer - Halerisiko / potensielle kriser - (Evt compliance)
Tips: Anvendelsen av observasjonene til ledelseskommunikasjon Har man generelt OK kontroll på: Styringsmodellen Internkontroll i løpende drift Prosjektstyring Har man OK kontroll/beredskap ift de potensielt store smellene? "Da går hverdagen greit" "Da overlever man en krise"
Hvordan revidere / innhente revisjonsbevis: Generelt om revisjonsobjekt og revisjonsbevis System Output Systemelementer: Overordnet styring og kontroll Kjerneprosesser Støtteprosesser (inkl. regnskapsarbeidet) Output: Disposisjoner Vedtak Måloppnåelse Regnskap etc Jonas Gaudernack 12
Oppsummering: Hvordan vurdere overordnet styring og kontroll 1. Hvorfor vurdere styring og kontroll Ledelsens behov Revisors/internrevisors behov Andre? 2. Hvem er det man vurderer for / uttaler seg til? 3. Når og hvor skal man uttale seg, og hvilken tidsperiode dekkes? 4. Hva dekkes av begrepet "styring og kontroll"? 5. Hvordan skal man revidere > hva utgjør revisjonsbeviset og hvordan skal man innhente det? Én kjemperevisjon? Aggregert vurdering basert på en portefølje av revisjoner? Andre mekanismer?
Takk for oppmerksomheten Jonas Gaudernack Partner PhD, Statsautorisert revisor jonas.gaudernack@no.pwc.com Tlf: 95 26 07 69 2010. er benevnelsen for de uavhengige medlemsfirmaene i PricewaterhouseCoopers International Limited. s virksomhet i Norge ligger i selskapene PricewaterhouseCoopers AS og Advokatfirmaet PricewaterhouseCoopers AS.