NKRF Årsmøte 2009 Revisors vurdering av internkontroll



Like dokumenter
Oppfølging av Internkontroll Jonas Gaudernack 25. oktober 2010

Tema: Internkontroll. Styrets risiko- og kontrolloppfølging: de nye EU-kravene?

Medlemsmøte Econa Styrenettverket 10. april 2013

Intern kontroll i finansiell rapportering

Styring og intern kontroll.

Stiftelsens egenkontroll over formålsrealiseringen Jonas Gaudernack 15. mai 2013

Risikostyring og internkontroll

Hva kjennetegner god Risikostyring?

Sammenligning av ledelsesstandarder for risiko

EuroSOX og Ny forskrift for risikostyring og internkontroll

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

FULL EKSTERN EVALUERING AV INTERNREVISJONEN I Helse Vest RHF Februar 2017

Revisjon av styring og kontroll

Gjelder fra: Godkjent av: Camilla Bjørn

Prinsipper for virksomhetsstyring i Oslo kommune

Instruks for internrevisjon ved NMBU Instruks for revisjonsutvalg ved NMBU

Konsernføring: Samfunnsansvar og ytre miljø

Utkast instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Corporate Governance. Årsmøte Styreakademiet Innlandet

MalemaL Liv: UTK. Rapport 4/2015. Revisjon av Sykehusapotekene HF

Gjelder fra: Godkjent av: Fylkesrådet

Norsox. Dokumentets to deler

Oppgaver og organisering av compliance-funksjonen Foredrag ved Norges Interne Revisorers Forening - Nettverksgruppen Finanssektoren

Pensjonskasser: Etablering av internrevisjon Jonas Gaudernack Juni 2019

Risikostyring & internkontroll med fokus på verdiskaping for selskapet VFF Complianceseminar 24. november 2016

FORVALTNINGSREVISJON - STYRINGSSYSTEMER I KLÆBU KOMMUNE. Kommunestyret Møtedato: Saksbehandler: Eva Bekkavik

Internkontroll i Gjerdrum kommune

Delseminar 5: Kommunal internkontroll med introduksjonsloven. Rune Andersen IMDi Indre Øst

PLAN FOR FORVALTNINGSREVISJON

INSTRUKS FOR STYRETS REVISJONSUTVALG HELSE SØR-ØST RHF

Instruks for konsernrevisjonen Helse Sør-Øst

Sykehuset Innlandet HF Styremøte SAK NR HELHETLIG PLAN FOR VIRKSOMHETSSTYRING Forslag til VEDTAK:

Årsrapport 2012 Internrevisjon Pasientreiser ANS

EU Direktivene 43 og 46 /2006 EuroSox Nye påbud fra sommeren 2008 Er du beredt?

Eierstyring og selskapsledelse

Årsrapport 2014 Vedlegg 4 Oppsummering av revisjonsområdet kompetansestyring

Utfordringer innen IKTområdet PwC 20. september 2011

Masteroppgave, Institutt for økonomi og ressursforvaltning 2012

EDB Business Partner. Sikkerhetskontroller / -revisjoner

Årsrapport 2014 Internrevisjon Pasientreiser ANS

Revisjonsutvalgets fokus og arbeidsoppgaver - viktige praktiske bidrag for økt kvalitet på utvalgets arbeid

UTFORDRINGER INTERNKONTROLL INTERNKONTROLL SOM SVAR KONTROLLKOMPONENTER KONTROLLMÅLSETTING. INTERNKONTROLL- FORSKRIFTEN (Helse og sosial)

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

Om internrevisjon. Pensjonskassekonferansen. 14. mai 2019

Innhold. Forord Innledning og sammendrag Innledning Sammendrag 13

Retningslinjer for risikostyring ved HiOA Dato siste revisjon:

PLAN FOR FORVALTNINGSREVISJON

Et revisjonsblikk på internkontroll

ephorte: 2018/61949 Overlevert: OPPSUMMERING AV KARTLEGGING INTERNKONTROLL I MATTILSYNET, 2.LINJE

Virksomhetsstyring i Bane NOR SF

Saksframlegg Referanse

Aktuelt fra Kredittilsynet. v/anne Merethe Bellamy 18. september 2007

Markedskraft har fokus på opprettholdelse av høy etisk standard, og sitt gode omdømme både i markedet og hos myndigheter.

Veiledning- policy for internkontroll

Revisjon av informasjonssikkerhet

1. FORMÅL 2. PROFESJONELT GRUNNLAG

PLAN FOR FORVALTNINGSREVISJON

Internkontroll og avvikshåndtering

Ledelse og kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgssektoren

Compliance funksjonen utøvelse og praktisk angrepsvinkel

HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014

Revisjonsplan 2012 Internrevisjon Pasientreiser ANS

5. desember Vanlige problemer og utfordringer i møtet med helhetlig risikostyring. Agenda

CARL FLOCK ADVOKAT/LEDER FINANSJURIDISK ENHET

Presentasjon sikkerhetsforum Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

Forvaltningsrevisjon Bergen kommune Internkontroll i Byrådsavdeling for finans, eiendom og eierskap. Prosjektplan/engagement letter

Arkivplan og internkontroll Merarbeid eller samarbeid?

Policy for Antihvitvask

Policy for Eierstyring og Selskapsledelse

Søknad om konsesjon. Advokat Søren L. Lous. når løsningen teller

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Rammeverk for risikostyring i Helse Midt-Norge

Ekstern evaluering av internrevisjonen i Helse Nord RHF

Hvordan ha orden på internkontrollen?

Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter

Handlingsplan etter forvaltningsrevisjon fra EY november 2016 sak 33/16

Innhold. Del I Introduksjon til virksomhetsstyring og internkontroll

NOTAT. Fastsette mål- og resultatkrav innenfor rammen av disponible ressurser og forutsetninger gitt av overordnet myndighet.

Kommunestyrets overordnede tilsynsansvar

Nasjonal internrevisjon av medisinsk kodepraksis i helseforetakene

Kraft Bank ASA EIERSTYRING OG SELSKAPSLEDELSE (VEDTATT I GENERALFORSAMLING )

Årsrapport 2014 Vedlegg 3 Oppsummering av revisjonsområdet ressursstyring

IKT-revisjon som del av internrevisjonen

Tilsynssaker vedrørende kontrollfunksjonen. Halvdagsseminar for verdipapirforetakene 1. desember 2010 Tilsynsrådgiver Leif Roar Johansen

Utkast Revisjonsplan 2015 Internrevisjon Pasientreiser ANS

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Kontrollutvalget, Bodø kommune,

Egenevaluering av internkontrollen

Rutinebeskrivelse for regnskapsføring i Olje- og energidepartementet. Instruks

Instruks for internrevisjon NMBU

Samlet bevilgning. neste år Utgifter Inntekter

FORSLAG. Virksomhetsstyring, økonomi og eierskap Stillingsbeskrivelser nivå 4, 5 og stab og støttestillinger for nivå 1 og 2

Aktuarrollen Mai 2012

Helseforetakenes senter for pasientreiser ANS 1/2016

Ledelse og. kvalitetsforbedring. Forskrift om ledelse og kvalitetsforbedring i helseog omsorgssektoren

Veileder og verktøy for internkontroll i offentlige anskaffelser. Mona Stormo Andersen Seniorrådgiver Mobil:

Styreskolen. Prodekan Lars Atle Kjøde. Universitetet i Stavanger uis.no

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

Transkript:

NKRF Årsmøte 2009 Revisors vurdering av internkontroll Jonas Gaudernack, juni 2009 *connectedthinking P w C Begrepsavklaringer Risikostyring vs risikovurdering Internkontroll vs kontrolltiltak Risiko Tiltak? Slide 2

Hvordan skal revisor gå frem for å vurdere intenrkontroll? Kilde: http://www.revisorforeningen.no/d9420397/rs-315-sendt-pa-horing Slide 3 RS315 Clarity versjon Slide 4

COSO rammeverkene 1992 2009: Økende fokus på overordnet risikostyring og kontrollovervåkning Slide 5 Hva skal revisor gjøre ved identifiserte svakheter? Kilde: http://www.ifac.org/guidance/exd-details.php?edid=0100 Slide 6

Revisorene har forbedringspotensiale på internkontroll. Hvor sviktet det? Slide 7 COSO visualisert: Risikostyring og kontroll Styre/Prinsipal Rapportere Revisjon: Krav: Mål Risikotoleranse Tiltak/Kontroll Påstander: Risikosystem Risiko/Tiltak Etterlevelse/Avvik Revisjon Risiko- / kontrollsystem Risikoforhold & tiltak Ledelsens overvåkning Ledelse/Agent Slide 8

Hva er internkontroll? Begrepet internkontroll er direkte oversatt fra det engelske begrepet internal control. Sistnevnte omfatter langt mer av styringsaspekter enn hva som på norsk ofte snevert forstås som interne kontrolltiltak. Skal vi forstå begrepet intern kontroll må vi se sammenhengen mellom mål, risiko, styring og interne kontrolltiltak. Kilde: Senter for Statlig Økonomistyring, Rapport 4/2009 pkt 2.1.1 Slide 9 Hva er risikostyring? Foretakets risikostyring er hva foretaket gjennom strategi, organisasjon, rutiner og forsvarlig drift gjør for å nå fastsatte mål og sikre sine og kundenes verdier, samt pålitelig apportering og etterlevelse av lover og regler. Dette innebærer mer enn det som tradisjonelt har vært oppfattet som internkontroll. Kilde: Kredittilsynets veiledning til forskrift om risikostyring og internkontroll (rundskriv 3/2009) Slide 10

Vanlige utfordringer risikostyring og internkontroll Roller og ansvar Fremgangsmåte Innhold i risikovurderingene (nivå/omfang) Etterlevelse Dokumentoverflod Internkontroll blir en løsrevet prosess på siden av virksomheten Slide 11 Internkontroll skal være en integrert del av virksomhetsstyringen Kredittilsynet har registrert at for enkelte foretak er det en tendens til at oppfyllelse av internkontrollforskriftens krav blir en årlig øvelse på siden av den løpende virksomheten, der drivkraften i stor grad synes å være selve oppfyllelsen av forskriften. Man har ikke klart å etablere internkontrollen som en integrert del av den løpende driften. Kredittilsynet 2007: Høringsbrev forskrift om risikostyring og internkontroll Slide 12

Da må man fokusere på det viktige Mange har oversett vesentlighetsprinsippet som er lagt til grunn og derfor produsert hyllemeter med dokumentasjon der dokumentasjon tilknyttet vesentlige risikoforhold gjerne druknet. Det er samtidig på grunn av mengden, tilnærmet umulig å klare å oppdatere dokumentasjonen. Kredittilsynet 2007: Høringsbrev forskrift om risikostyring og internkontroll Slide 13 Definer noen enkle hovedaktiviteter med klare roller for aktørene Aktiviteter: Prosess for risikovurdering Prosess for utforming og implementring av tiltak Prosess for oppfølging av at tiltak etterleves/gjennomføres Aktører: Styre (Formannskap?) Revisjonsutvalg (Internrevisjon) Øverste leder (Revisor) Øverste økonomileder Controller-/regnskapsapparat Øvrig ledelse Slide 14

Gjeldende regelverk kan gi god veiledning også for kommunal sektor, spesielt for selskapsrevisjon Hovedkilder for å forstå kravene: 1. Aksjelovgivningen kap. 6 2. Norsk Anbefaling for Eierstyring og Selskapsledelse (NUES) kap. 10 3. Regnskapslov / verdipapirhandellov 4. Internkontrollforskriften (Kredittilsynet) 5. Nye EU-krav i 4. og 8. direktiv (forventes implementert i 2009/2010): 4. direktiv implementeres i regnskapsloven 3-3b 8. direktiv implementeres i allmennaksjeloven kap. 6 6. COSO rammeverkene (1992, 2004, 2006, 2009) 7. Indirekte krav: revisjonsstandarder (RS og IIA) 8. (Sarbanes-Oxley act, PCAOB Standards, SEC Guidance) 9. (Regulatorisk veiledning i velregulerte bransjer for eksempel finans) Finnes det noen sammenheng? Slide 15 NUES kap 10: Risikostyring og Internkontroll Styret skal påse at selskapet har god intern kontroll og hensiktsmessige systemer for risikostyring i forhold til omganget og arten av selskapets virksomhet. Internkontrollen og systemene bør også omfatte selskapets verdigrunnlag og etiske retningslinjer. Styret bør årlig foreta en gjennomgang av selskapets viktigste risikoområder og den interne kontroll. Styret bør i årsrapporten gi en beskrivelse av hovedelementene i selskapets interne kontroll og risikostyringssystemer knyttet til dets finansielle rapportering Anbefalingen om risikostyring og intern kontroll er en presisering av styrets tilsynsansvar Presisering (ikke utvidelse) av krav i asal. 6-12 og 6-13 Slide 16

Internkontrollforskriften: ansvar og fremgangsmåte (NB gjelder kun foretak underlagt tilsyn, men inneholder god veiledning om roller, ansvar og fremgangsmåte) Kapittel 2. Ansvar for risikostyring og internkontroll 3. Styret 4. Daglig leder 5. Utkontraktering Kapittel 3. Risikostyring og internkontroll 6. Risikostyring 7. Gjennomføring av internkontrollen 8. Dokumentasjon og rapportering Slide 17 Hva er essensen i regelverket? Prosessfokus - fremgangsmåte: Gjennomgå og overvåk systemene for risiko og kontroll Gjennomgå og overvåk prosess for finansiell rapportering Substansfokus innhold i vurderingene: Gjennomgå konkret risiko og tilhørende kontrolltiltak Formalisering slik at det kan ettergåes/underbygges: Hovedelementene i systemet Styrets/revisjonsutvalgets gjennomføring av tilsyn Slide 18

Revisors fremgangsmåte: vurdering av virksomhetens styringsmodell Kilde: Jonas Gaudernack Styringsstruktur Risikostyring Steg 1: Styringsstruktur a. Roller og ansvar i. Styrende organer ii. Ledelsesfunksjoner iii. Kontrollfunksjoner b. Kommunikasjons- og rapporteringslinjer c. Årlig styringshjul: i. Planlegging: Strategi / budsjett / handlingsplan ii. Oppfølging: Business review / rapportering iii. Finansiell rapportering Steg 2: Integrasjon av risikostyring i styringsstrukturen a. Risikovurdering b. Utforming og implementering av kontrolltiltak c. Oppfølging av etterlevelse Styrende Dokumenter Steg 3: Formalisering / Styrende dokumenter a. Mandater og instruksverk b. Etiske regler c. Prosessbeskrivelser / retningslinjer d. Finansiell rapportering / regnskapshåndbok e. Obligatoriske verktøy f. Annet? Slide 19 Viktig spørsmål (1): Fullføres kontroll-løpet på systematisk vis? 1. Utformet 2. Dokumentert 3. Kommunisert 4. Forstått Design og implementering 5. Gjennomført 6. Fulgt opp / overvåket 7. Håndhevet Etterlevelse Slide 20

Viktig spørsmål (2): Styringssystemets modenhetsnivå hvor vil man være? Nivå 6 - Optimalisert Systematisk effektivisering av kontrolltiltak gjennom standardisering av beste praksis. Integrert oppfølging av etterlevelse. Nivå 5 Overvåket Periodisk oppfølging av etterlevelse av gjeldende krav, inkludert oppsummerende rapportering til styrende organer. Manglende etterlevelse følges opp med konkrete tiltak. Nivå 4 Systematisert Systematisk toppstyrt prosess for utforming, formalisering og dokumentasjon av kontrolltiltak. Oversiktlig lagrings- og kommunikasjonsmedium for gjeldende krav. Nivå 3 Formalisert/Dokumentert Kontrolltiltak utformes på ulike organisasjonsnivå og blir generelt formalisert og dokumentert, men det er vanskelig å få oversikt over totaliteten. Nivå 2 Uformelt / Ad-hoc Ad-hoc utforming av kontrolltiltak på ulike organisasjonsnivå. Liten grad av formalisering og dokumentasjon. Nivå 1 - Upålitelig Uforutsigbart miljø uten bevisst utforming av kontrolltiltak. Effektivitet / Trygghet Risiko / Usikkerhet Antatt akseptabelt nivå på foretaksstyring og internkontroll Nivå fleste norske virksomheter antas å være på Slide 21 Viktig spørsmål (3):Konseptuell metodikk for risikostyring Sannsynlighet 2.2.2 Utilstrekkelig kontrollert Tiltak bør iverksettes umiddelbart Utilstrekkelig kontrollert Tiltak bør iverksettes 2.2.3 2.2.1 2.1.1 Key risk Tilstrekkelig kontrollert Etterlevelse av risikotiltak bør følges opp 2.5.2 2.1.2 2.3.1 2.3.3 2.3.2 2.6.1 2.6.3 Forklaring: Plassering i matrisen viser iboende risiko (før kontrolltiltak) Farge viser om tilstrekkelige risikotiltak er på plass Konsekvens

Viktig spørsmål 4: are your balls in control? Risiko Tiltak? Takk for oppmerksomheten Jonas Gaudernack Director PhD, Statsautorisert revisor jonas.gaudernack@no.pwc.com Tlf: 95 26 07 69 Karl-Ludvig Mauland Director Statsautorisert revisor karl-ludvig.mauland@no.pwc.com Tlf: 95 26 07 63 Slide 24

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding