KPMG internrevisjon De ti viktigste risikoene i 2015 kpmg.com
KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015 En effektiv internrevisjonsfunksjon er mye mer enn bare compliance. Virksomheter konkurrerer og lever i en verden i rask endring, og må håndtere nye utfordringer hver eneste dag: nye og kompliserte myndighetskrav, cybertrusler, økt basering på data og analyser, fusjoner og oppkjøp, ekspanderende internasjonale aktiviteter, outsourcing med mer. Internrevisjonen må holde seg oppdatert på disse trendene etter hvert som de oppstår, slik at den kan forbli relevant for organisasjonen. Disse forretningstrendene medfører ny risiko, og internrevisjonen må kontinuerlig overvåke disse risikoene og deres potensielle effekt på organisasjonen. For å levere størst mulig verdi må internrevisjonen finne muligheter til å utfordre status quo for å redusere risiko, forbedre kontroller og identifisere potensielle effektiviseringstiltak og kostnadsfordeler på tvers av organisasjonen. For å hjelpe internrevisjonsfunksjonene med å oppnå disse målene har KPMG gjennomført en undersøkelse blant sine medarbeidere og internrevisjonsavdelinger i selskaper innen flere bransjer. Resultatet er en oversikt over de ti viktigste risikoene i 2015, som skisserer områder hvor internrevisjonen kan forbedre sitt fokus slik at den mer effektivt kan gi merverdi på tvers av organisasjonen og maksimalisere sin innflytelse, inkludert allokere sine ressurser til områdene som har størst påvirkning på organisasjonen. De ti viktigste risikoene i 2015 1 Cybersikkerhet 1 2 Etterlevelse av myndighetskrav 2 3 Tiltak mot bestikkelser og korrupsjon 3 4 Internasjonal virksomhet 4 5 Tredjepartsrelasjoner 5 6 Fusjoner, oppkjøp og avhendelser 6 7 Strategisk tilpassing 7 8 Integrert og kontinuerlig risikovurdering 8 9 Dataanalyse og kontinuerlig revisjon 9 10 Rekruttere og beholde dyktige medarbeidere 10
1 Cybersikkerhet unngå kostbare konsekvenser av databrudd som etterforskninger, bøter, dekning av kunders tap, reparasjonsanstrengelser, tap av tid og fokus for toppledere og mellomledere samt potensielt tap av kunder og avtaler unngå omdømmetap for organisasjonen, spesielt med hensyn til tapte kundedata hindre tap av immateriell eiendom og kapital og annen privilegert selskapsinformasjon I dagens verden med kontinuerlig tilkobling er cybersikkerhet et viktig fokusområde for mange selskaper. Cybersikkerhet opptrer øverst på mange styreagendaer, og datasikkerhetsbrudd synes nå å være i nyhetsbildet nesten ukentlig. Flere faktorer har drevet den økte oppmerksomheten som rettes mot cybersikkerhetsspørsmål, inkludert endringer i trusselbildet, raske teknologiendringer, endringer i myndighetskrav, sosiale endringer og selskapsendringer. Ressursene og teknikkene som brukes av hackere, vokser og utvikler seg fortløpende, spesielt når det gjelder målretting mot spesifikk informasjon eller bestemte personer. Det blir kontinuerlig utviklet nye metoder av stadig mer sofistikerte og kapitalsterke hackere som kan rette angrep mot selskaper ikke bare direkte gjennom nettverk, men også gjennom forbindelser med hovedleverandører og teknologipartnere. Konsekvensene av sikkerhetshull kan være katastrofale siden organisasjonens bunnlinje og omdømme påvirkes. Det er kritisk at alle selskaper er på vakt og holder seg oppdatert angående nye beskyttelseskriterier. gjennomføre en risikovurdering rundt organisasjonens cybersikkerhetsprosess med bruk av bransjestandarder som guide og komme med anbefalinger til prosessforbedringer gå gjennom eksisterende prosesser for å bidra til å sikre at ledelsen tar hensyn til truslene som miljøet i kontinuerlig utvikling innebærer vurdere implementering av reviderte sikkerhetsmodeller for teknologi, som forsvar i flere lag, forbedrede oppdagelsesmetoder og kryptering av data som forlater nettverket vurdere tredjeparts sikkerhetsleverandører for å vurdere i hvilken grad de håndterer de mest aktuelle risikoene fullstendig og tilstrekkelig KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015 1
2 Etterlevelse av myndighetskrav sikre etterlevelse av et økende antall myndighetskrav, både innenlands og utenlands kontrollere de økende kostnadene med å etterleve dette økende antallet myndighetskrav utarbeide en strategi for å redusere de begrensende effektene av etterlevelsesaktiviteter på virksomheten sørge for at etterlevelsesfunksjoner samstemmes etter en fusjon eller et oppkjøp Uavhengig av bransje blir selskaper oversvømt av nye myndighetskrav, både innenlands og utenlands. Disse nye forskriftene legger en stadig større byrde på etterlevelse (compliance)-ansvarlige og deres underordnede, noe som øker muligheten for at enkelte krav overses. I tillegg gir overholdelse av denne strømmen av nye forskrifter en betydelig ekstrakostnad til selskapets budsjett innen etterlevelse (compliance) og økt kompleksitet til interne strukturer og informasjonsbehov. Fusjoner og oppkjøp øker også, noe som betyr at selskaper må kombinere sine etterlevelsesfunksjon med - funksjonen til den oppkjøpte enheten og sikre en enhetlig tilnærming til etterlevelse. lage en oversikt over myndighetsorganer og -krav som påvirker selskapet vurdere selskapets tilnærming til å håndtere sine globale etterlevelsesaktiviteter, inkludert integrering av kravene til oppkjøpte selskaper evaluere selskapets respons til eventuelle nevneverdige tilfeller av manglende etterlevelse sørge for at opplæringsprogrammer i compliance som tilbys til medarbeidere og andre interessenter er egnet for rollen og det geografiske området 2 KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015
3 Tiltak mot bestikkelser og korrupsjon identifisere risikoer som oppstår i forbindelse med myndighetskrav og compliance, så som den som introduseres ved organisk ekspansjon inn i nye markeder, tredjeparter og oppkjøpte virksomheter gi interessenter innsikt i effektiviteten av eksisterende tiltak mot bestikkelser og aktiviteter innen korrupsjons-compliance bevare selskapets evne til å kontrollere når det informerer reguleringsmyndighetene om et potensielt brudd Ifølge noen estimater var gjennomsnittskostnaden i forbindelse med håndtering av en Foreign Corrupt Practices Act (FCPA)-sak over 80 millioner USD i 2013. Beløpet representerer bøter ilagt av justisdepartementet og Securities and Exchange Commission, sanksjoner, beslag av inntekter, og renter i perioden frem til dom foreligger. Sett i denne sammenhengen er det lett å forstå hvor mye oppmerksomhet selskaper har rettet mot å forstå sin eksponering mot bestikkelser og korrupsjon og mot å evaluere sine gjeldende compliance-programmer. Fordelene med et effektivt program for tiltak mot bestikkelser og korrupsjons-compliance, kalibrert etter et selskaps spesifikke risikoprofil, er klare. Tydelig skrevne policyer som lister opp forbudte aktiviteter, toppledelsens engasjement i tiltak mot bestikkelser og korrupsjon, periodisk opplæring, revisjonsklausuler i avtaler med tredjeparter samt aktsomhet fra compliance-personell kan hindre bestikkelser og korrupsjon og dermed redusere risikoen for reguleringsmyndigheters kostbare og forstyrrende håndhevelsesaktiviteter og økonomisk tap. Dersom det utenkelige skulle skje, kan et godt utformet og gjennomført program for tiltak mot bestikkelser og korrupsjons-compliance bety forskjellen mellom tiltale og en straffefrihetsavtale og kan også redusere bøtene og de økonomiske sanksjonene som ilegges. gjennomføre en vurdering av organisasjonens eksisterende prosedyrer mot bestikkelser og korrupsjon i forhold til ledende praksis i veiledning for myndighetskrav sikre at utformingen og den driftsmessige effektiviteten til organisasjonens relevante kontroller for forebyggelse og oppdagelse er god forbedre internrevisjonens prosedyrer mot bestikkelser og korrupsjon i sine eksisterende/planlagte revisjoner og oppsynsaktiviteter overfor tredjeparter sikre at bestikkelses- og korrupsjonsrisiko kommer til overflaten gjennom dataanalyse og tredjepartsrevisjoner lede eller låne ressurser til granskninger av forhold som involverer potensiell noncompliance drive kontinuerlig forbedring gjennom testing og evaluering av organisasjonens program for hindring av bestikkelser og korrupsjon KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015 3
4 Internasjonal virksomhet forbedre oppsyn med og synlighet av internasjonal virksomhet, spesielt når det gjelder regionale geopolitiske problemstillinger oppnå større sikkerhet om at lokale forretningspraksiser er akseptable og compliance med konsernets policyer og regelverk gjøre forretningspraksiser og -prosesser mer enhetlige på tvers av regioner redusere risiko for noncompliance med eksportlover og annet relevant regelverk Etter hvert som selskaper ekspanderer virksomheten globalt, møter de en rekke unike utfordringer og risikoer. Internasjonal virksomhet gjør at selskaper må konfrontere en rekke problemstillinger fra produktkvalitet til etterlevelse av kompliserte lokale myndighetskrav. Geopolitiske problemstillinger (som sanksjoner, embargoer og regelverk for handel på tvers av landegrenser) gir enda en dimensjon av komplikasjoner når det gjelder forretninger med andre land, og krever at selskaper har detaljert kunnskap om hendelser i verden og forventninger under utvikling. Ytterligere risikoer inkluderer inkonsekvente forretningspraksiser, utilstrekkelig konsernoppsyn og juridiske og regulatoriske krav som er kompliserte og som endrer seg. Hvordan internrevisjonen kan bistå gå gjennom de viktigste prosessområdene og kontrollmiljøene, inkludert compliance med internasjonale gjeldende krav og lokale krav (som import- og eksportbestemmelser) gå gjennom forretningspraksiser, potensielle brudd på etiske retningslinjer og problemstillinger rundt tiltak mot bestikkelser og korrupsjon blant utenlandske enheter eller forretningspartnere legge til rette for kommunikasjon av selskapets risikoer, kontroller og bedre praksiser til internasjonale medarbeidere for å støtte konsekvent anvendelse av konsernets policyer og prosedyrer 4 KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015
5 Tredjepartsrelasjoner øke oppsyn med tredjepartsrelasjoner øke inntekter og kostnadsreduksjoner forbedre kontraktsledelse skape mer effektive selvrapporteringsprosesser for kontrakter hindre risikohåndteringsfeil hos tredjeparts forretningspartnere eller oppdage dem i god tid For å øke produktivitet og effektivitet baserer selskaper seg i stadig større grad på tredjeparter for å utføre viktige forretningsfunksjoner. Men bruk av tredjeparter kan eksponere selskaper for nye risikoer og potensielle feil som kan føre til bøter, søksmål, driftsforbud og omdømmeskade. Forretningspartnere har kanskje ikke til hensikt å gjøre dette, men de kan komme til kort på grunn av kompleksiteten i miljøet eller avtalene deres. Tredjeparter kan ofte ha tilgang til selskapers nettverk, noe som øker muligheten for datainnbrudd, eller selskaper er kanskje ikke klar over at tredjeparter anvender underleverandører som kan ha svak internkontroll. Tredjeparter kan også operere i områder med politisk usikkerhet, noe som utsetter selskapene som inngår kontrakter for mer risiko. Gitt alle disse faktorene må selskapene sikre at de får mest mulig utbytte av disse eksterne relasjonene samtidig som de har egnede kontroller på plass for å redusere risikoer. Hvordan internrevisjonen kan bistå gå gjennom prosesser og kontroller i forbindelse med tredjeparts identifikasjon, due diligence, utvelgelse og igangsetting av tjenestelevering evaluere kontraktsforvaltningsprosesser som brukes av ledelsen for å holde oversikt over tredjepartsrelasjoner overvåke utviklinger i myndighetskrav relatert til tredjeparter håndheve revisjonsrettsklausuler og sørge for at de er konsekvente håndheve tredjeparters compliance med selskapets standarder for informasjonssikkerhet utvikle, implementere og kalibrere et løpende overvåkingssystem av selvrapporterte data fra tredjeparts forretningspartnere KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015 5
6 Fusjoner, oppkjøp og avhendelser vurdere den strategiske risikoen ved fusjons-, oppkjøps- og avhendingsaktivitet, inkludert påvirkning av andre deler av virksomheten implementere et grundigere og bedre kontrollert M&A-program for å identifisere og håndtere disse risikoene, samt innhente validering av transaksjonsrisiko og forventninger før disse kommuniseres til aksjonærer forbedre planlegging, levering og resultatoppfølging av gjennomføring f forbedre integrasjonsprosesser på tvers av alle nøkkelfunksjoner M&A-aktivitet har tatt seg opp igjen i løpet av det siste året og forventes å fortsette gjennom 2015, oppmuntret av lave renter, rekordhøye aksjekurser, bedring i sysselsettingstall og en overflod av kontanter. 1 Denne trenden legger økt vekt på selskaper som har de riktige due diligence- og integrasjonsmekanismene på plass for å sikre at de henter mest mulig verdi ut av hver avtale. Et behov for å håndtere gjennomføringsrisiko mer effektivt gjør også at mange selskaper bygger inn ytterligere grundighet i sine programmer for fusjoner, oppkjøp og avhendelser for å bidra til å sikre en faktabasert og velkontrollert due diligence-, valuerings-, planleggings- og gjennomføringsprosess. utføre gjennomganger i ettertid av tidligere avtaler eller avhendelser for å vurdere effektiviteten til prosedyrer vurdere overholdelse av due diligence-sjekklister for regnskap og internkontroll som tar for seg viktige områder av avtaler (f.eks. kvaliteten av inntekter og eiendeler, kontantstrømmer, ikke bokførte forpliktelser) og identifisere internkontrollhull både for det oppkjøpte selskapet og kombinert forstå kommunikasjonsprosesser mellom økonomi, internrevisjon og avtaleteam for å vurdere kontrollimplikasjoner ved gjennomføring av forretningsprosessendring i løpet av aktive integrasjoner eller avhendelser gjennomføre en prosjektrisikovurderingsgjennomgang av prosessen for virksomhetsintegrasjon eller -avhendelse med fokus på potensielle risikoer, mål på integrasjonssuksess og informasjonssystemer 1 KPMG s 2015 M&A Outlook Survey Report. http://www.kpmgsurvey-ma.com/ 6 KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015
7 Strategisk tilpassing sikre at internrevisjonen er samstemt med selskapets strategiske prioriteringer og forblir relevant i lys av organisatorisk og annen endring sikre at internrevisjonen er involvert i selskapets viktige strategiske initiativer, enten gjennom konsultering eller gjennomgang av progresjon/resultater Omlegging av virksomheter har mange årsaker, inkludert et vendepunkt i globalisering, en omfattende avdemping i vestlige økonomier, betydelige skifter i teknologi og energikostnader samt utfordringene med compliance med myndighetskrav. Når et selskaps endringsmessige og andre mål fører til endrede strategiske målsettinger og initiativer, bør internrevisjonen være en aktiv deltaker i vurdering av påvirkning av risiko og tilhørende selskapsledelse og kontroller. Internrevisjonen bringer et unikt perspektiv til strategisk endring og bør være til stede og aktiv i viktige strategiske initiativer. sørge for at ressurser blir allokert til organisasjonens viktigste målsettinger og initiativer skjerpe fokus på områder utenfor eierstyring og selskapsledelse som ikke så ofte assosieres med internrevisjonsfunksjonen, f.eks. utvalgte ledelsesprosesser, IT- og dataadministrasjon og driftsrisikoer fastslå hvordan selskapet vurderer risiko relatert til større strategiske initiativer og hvordan det håndterer endring relatert til de initiativene sørge for at internrevisjonen er godt tilpasset selskapets strategi KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015 7
8 Integrert og kontinuerlig risikovurdering bryte ned siloer og skape et miljø hvor alle funksjoner forstår risikoene som hele organisasjonen står overfor utvikle prosesser for å vurdere og håndtere risikoer som endrer seg anskaffe relevante risikorelaterte målinger i god tid for å legge til rette for beslutningstaking Tidligere ville en årlig risikovurdering fra internrevisjonsavdelingen fastsette selskapets internrevisjonsplan for det kommende året. Det er en utfordring at andre funksjoner også foretar sine egne vurderinger for å oppfylle mandatene sine. I tillegg står selskaper overfor et økende antall risikoer som utvikler seg hele tiden. Organisasjoner har innsett behovet for å ha et mer integrert syn på risiko.et antall grunnleggende komponenter er viktige for å bidra til å sikre en effektiv, integrert risikostyring: et felles risikospråk som inkluderer prioritering av problemstillinger, et koordinert risikovurderingsprogram for å minimalisere overlapping mellom funksjoner, en koordinert revisjonsprosess som lar andre risiko- og kontrollfunksjoner delta, og et koordinert rapporteringssystem. Ved å kombinere denne integrerte risikovurderingen med innhenting av viktige risiko- og resultatindikatorer som informerer risikoeierne og internrevisjonen, kan man skape en mer dynamisk planleggingsprosess. Selv om denne kontinuerlige risikovurderingsprosessen har sine utfordringer (f.eks. datakvalitet, datatilgjengelighet osv.), skaper den muligheten til ikke bare å ta verdien av internrevisjonen og andre risiko- og kontrolloppsiktsfunksjoner til et nytt nivå, men den kan også til slutt innføres av ledelsen for å forbedre den generelle bevisstheten om og miljøet for risiko og kontroll. Når sistnevnte oppnås, kan internrevisjonen gå over til et mer avansert nivå av overvåking og kontinuerlig risikovurdering. koordinere en holistisk tilnærming til en helhetlige risikovurdering som tjener som internrevisjonens utgangspunkt for å utarbeide revisjonsplanen legge til rette for en integrert risikovurdering som inkluderer alle relevante funksjoner i en organisasjon, for å bidra til å sikre et felles risikospråk og en felles forståelse av selskapsomspennende risiko teste ut kontinuerlig risikovurdering for en liten undergruppe av risikoer for å demonstrere fordelene evaluere selskapets nåværende tilnærming til risikohåndtering i lys av resultatene av helhetlig risikovurdering 8 KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015
9 Dataanalyse og kontinuerlig revisjon realisere kontinuerlig risikohåndtering i sanntid øke samlet effektivitet av revisjoner som gjennomføres (frekvens, omfang osv.) dykke dypere ned i hovedrisikoområder gjennom analyse av nøkkeldata redusere kostnader ved revisjon og overvåking realisere tidlig oppdagelse av potensielle tilfeller av bedrageri, feil og misbruk De siste årene har dataanalyse bidratt til å revolusjonere måten selskaper vurderer og overvåker på, spesielt når det gjelder å effektivt ekspandere omfanget av revisjoner og forbedre detaljnivået som revisjoner kan utføres med. Dataanalyse og kontinuerlig revisjon kan hjelpe internrevisjonsavdelinger med å forenkle og forbedre sine revisjonsprosesser, noe som resulterer i revisjoner av bedre kvalitet og håndfast verdi for virksomheten. Tenk på den tradisjonelle revisjonstilnærmingen som er basert på en syklisk prosess som involverer manuell identifisering av kontrollmålsettinger, vurdering og testing av kontroller, utføring av tester og små stikkprøver for å måle kontrolleffektivitet eller driftsresultater. Sammenlign dette med dagens metoder som bruker repeterbare og bærekraftige dataanalyser som gir en grundigere og mer risikobasert tilnærming. Med dataanalyse har selskaper evnen til å gå gjennom hver eneste transaksjon ikke bare stikkprøver noe som gjør det mulig med mer effektive analyser på en større skala. Internrevisjonsavdelinger bør samarbeide med organisasjonen sin for å utvikle og implementere en helhetlig strategi for å utnytte dataanalyse til fordel for selskapet som helhet. Hvordan internrevisjonen kan bistå bistå med å utarbeide automatiske ETL-prosesser (extract, transform and load trekke ut, transformere/transportere og laste inn) sammen med systemgenererte analyser og dashboards overvåket av virksomheten i forhold til spesifiserte risikokriterier vurdere tilpassingen av selskapets strategiske mål og målsettinger til risikohåndteringspraksiser og overvåking og prioritering av de strategiske målsettingene og risikoene på en kontinuerlig basis fremme revisjonsprogrammer som er klargjort for dataanalyse og designet til å verifisere den underliggende dataanalysen og rapportere om risiko på virksomhetsnivå implementere automatisert revisjon fokusert på analyse av grunnleggende årsak og ledelsens responser på risikoer, inkludert virksomhetsanomaliteter og utløserhendelser anbefale konsekvent bruk av analyse, inkludert beskrivende, diagnostiserende, forutseende og foreskrivende elementer KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015 9
10 Rekruttere og beholde dyktige medarbeidere internrevisjonens økende deltakelse i selskapets strategiinitiativer internrevisjonens ekspanderende rolle til å inkludere gjennomgang av tilnærminger til risikohåndtering; driftsforbedringsinitiativer; og andre områder utenfor et historisk compliancebasert omfang økende kompleksitet som krever internrevisjonens gjennomgang og utfordring mangel på strategitenkende forretningsfolk til å utføre internrevisjonens misjon Internrevisjonen blir i økende grad bedt om å ekspandere sitt nærvær i flere områder av organisasjonen og bli en strategisk partner i virksomheten. Hvis internrevisjonen skal lykkes med å utøve sin voksende misjon, trenger den tilgang til dyktige fagfolk og eksperter innen bestemte felt med kunnskap om hvor selskapets risikoprofil endrer seg. Dette er enda mer akutt grunnet dagens knapphet på dyktige personer. En organisasjon har flere alternativer for hvordan den oppfyller behovene sine, inkludert fulltidsansatte, outsourcing og cosourcing. Utfordringen er å sørge for at de riktige personene ansettes, beholdes, motiveres og utvikles for å hjelpe selskapet med å oppnå sine forretningsmålsettinger og -strategier. Selskaper må også evaluere risikoreduksjonsplaner for nøkkelpersoners avgang. gå gjennom internrevisjonens behov basert på realistiske syn på gjennomføring av internrevisjonsplanen vurdere nye ressursbehov etter hvert som internrevisjonen blir mer involvert i virksomhetens strategiske initiativer gjennomføre intern kompetansevurdering av nåværende ressurser for å forstå hull i kompetansen som trengs identifisere områder hvor det er behov for fagfolk innen bestemte felt etter hvert som internrevisjonen ekspanderer rollen utover compliance bygge relasjoner med eksterne tjenestetilbydere for å dra nytte av disse fagfolkene og ressursene innen bestemte felt ved behov gi ansatte i internrevisjonen opplæring- og utviklingsprogrammer knyttet til utviklinger i myndighetskrav samt bredere virksomhetsmålsettinger utover compliance sørge for at selskapets ansettelsespraksiser aktivt tar hensyn til internrevisjonens behov og være tett involvert i ansettelsesprosessen 10 KPMG INTERNREVISJON: DE TI VIKTIGSTE RISIKOENE I 2015
Magnus Digernes Senior Manager, Advisory T +47 40 63 96 95 E magnus.digernes@kpmg.no Ole Willy Fundingsrud Director, Advisory T +47 40 63 96 92 E ole.willy.fundingsrud@kpmg.no kpmg.no 2015 KPMG AS, a Norwegian member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. This document is made by KPMG AS, a member firm of the KPMG network of independent firms affiliated with KPMG International, a Swiss cooperative The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International Cooperative ( KPMG International ).