Intern revisjon Intern kontroll

Like dokumenter
Utfordringer med de tre forsvarslinjer

Hvordan vurdere/revidere overordnet styring og kontroll

Asset Management. Compliance og Operasjonell Risiko. Asle Bistrup Eide. Presentasjon i VFF den 28. november 2012

En praktisk anvendelse av ITIL rammeverket

ISO 41001:2018 «Den nye læreboka for FM» Pro-FM. Norsk tittel: Fasilitetsstyring (FM) - Ledelsessystemer - Krav og brukerveiledning

Prinsipper Internrevisorer forventes å anvende og opprettholde følgende prinsipper:

REVISJON AV COMPLIANCE-PROGRAMMER

RAPPORT RAPPORT OM EKSTERN EVALUERING AV INTERNREVISJONEN VED UNIVERSITETET I OSLO - IHHT. IIA STANDARD 1312

Nye krav i ISO 9001, hvilke er de og hvordan implementere disse i TQM? Ragna Karoline Aasen

1. FORMÅL 2. PROFESJONELT GRUNNLAG

ISO-standarderfor informasjonssikkerhet

Den europeiske byggenæringen blir digital. hva skjer i Europa? Steen Sunesen Oslo,

Tor Solbjørg (diplom. IR, statsautorisert revisor) Revisjonssjef Helse Nord RHF

og standarder for profesjonell utøvelse av internrevisjon Januar 2013

Risikofokus - også på de områdene du er ekspert

Helhetlig risikostyring og informasjonssikkerhet. Knut Håkon T. Mørch PricewaterhouseCoopers Tlf.

ETISKE REGLER OG STANDARDER. for profesjonell utøvelse av internrevisjon. Fremskritt gjennom deling av kunnskap

Internrevisjon et samarbeid på tvers

Jeanette Wheeler, C-TAGME University of Missouri-Kansas City Saint Luke s Mid America Heart Institute

Når beste praksis rammeverk bidrar til bedre governance. Ingar Brauti, RC Fornebu Consulting AS

PAS 55 kvalitetsstandard for anleggsforvaltning i infrastrukturselskaper. Elsikkerhetskonferansen 2013 NEK

Risikokultur grunnmuren i risikostyring

og standarder for profesjonell utøvelse av internrevisjon Januar 2011

Erfaringer fra en Prosjektleder som fikk «overflow»

Nytt fra INTOSAI. CAS Oslo October

Internrevisjon og intern kontroll i statlige virksomheter

FM kompetanseutvikling i Statoil

Bilag 8 Instruks for internrevisjon og Garanti-Instituttet for Eksportkreditt

ISO 9001:2015 Endringer i ledelsesstandarder

Rapporterer norske selskaper integrert?

V-sak 12 - side 1 av 14

Unit Relational Algebra 1 1. Relational Algebra 1. Unit 3.3

Forvaltningsrevisjon Bergen kommune Effektivitet og kvalitet i internkontrollen Prosjektplan/engagement letter

Public roadmap for information management, governance and exchange SINTEF

Capturing the value of new technology How technology Qualification supports innovation

The Union shall contribute to the development of quality education by encouraging cooperation between Member States and, if necessary, by supporting

Trust in the Personal Data Economy. Nina Chung Mathiesen Digital Consulting

Styremøte Helse Midt-Norge Presentasjon rapport evaluering internrevisjonen

Quality in career guidance what, why and how? Some comments on the presentation from Deidre Hughes

Oppdatert NORSOK N-005

Innovasjonsvennlig anskaffelse

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Difi, Oslo

FM kompetanseutvikling i Statoil

Utvikling av skills for å møte fremtidens behov. Janicke Rasmussen, PhD Dean Master Tel

Standarder for Asset management ISO 55000/55001/55002

Nye krav til internrevisjon i staten. Ola Otterdal, Forvaltnings- og analyseavdelingen, Direktoratet for økonomistyring

Neste generasjon ISO standarder ISO 9001 og ISO Hva betyr det for din bedrift? DNV GL Business Assurance Norway AS SAFER, SMARTER, GREENER

Lovlig bruk av Cloud Computing. Helge Veum, avdelingsdirektør Cloud Inspiration Day, UBC

Independent audit av kvalitetssystemet, teknisk seminar november 2014

FM strategi: Bruk av standarder for sourcing, effektivisering og dialog

Endringer i revidert ISO 50001

INSTRUKS FOR VALGKOMITEEN I AKASTOR ASA (Fastsatt på generalforsamling i Akastor ASA (tidligere Aker Solutions ASA) 6. mai 2011)

Styring og ledelse av informasjonssikkerhet

Midler til innovativ utdanning

av Trygve Sørlie - Revisjonsdirektør i Gjensidige

Quality Policy. HSE Policy

DE VIKTIGSTE ENDRINGENE I NYE ISO 9001:2015 OG ISO 14001:2015

Sammenligning av ledelsesstandarder for risiko

European Crime Prevention Network (EUCPN)

EN Skriving for kommunikasjon og tenkning

ETISKE REGLER OG STANDARDER. for profesjonell utøvelse av internrevisjon. Fremskritt gjennom deling av kunnskap

Virginia Tech. John C. Duke, Jr. Engineering Science & Mechanics. John C. Duke, Jr.

Arbeidet i en working group. Charlotte Grøntved

Strategi med kunden i fokus

Improving Customer Relationships

NIRF Finansnettverk. Trond Erik Bergersen

From Policy to personal Quality

ISO/DIS 45001, INNHOLD OG STRUKTUR. Berit Sørset, komiteleder, Norsk Industri

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

Requirements regarding Safety, Health and the Working Environment (SHWE), and pay and working conditions

Instruks for Konsernrevisjonen Helse Sør-Øst. Erstatter instruks av

IEA PVPS. Trond Moengen. Global co-operation towards sustainable deployment of photovoltaic power systems

Internationalization in Praxis INTERPRAX

God praksis på personalutvikling i TTO/KA. Presentasjon FORNY Seminar Sommaroy

Korrupsjon og misligheter i kommunal sektor revisors rolle

Bedriftscase 1 Positive konsekvenser av tøffe krav

Peter Hines: Lean er mer enn verktøy

Nærings-PhD i Aker Solutions

Neil Blacklock Development Director

RS402 Revisjon i foretak som benytter serviceorganisasjon

Norges Interne Revisorers Forening

Luftfartstilsynets funn under virksomhetstilsyn.

Itled 4021 IT Governance Governance, COBIT og ITIL

Erfaringer med smidige metoder på store prosjekter i Telenor. Kristoffer Kvam, Strategic Project Manager, Portfolio & Projects, Telenor Norway

Hvordan komme i kontakt med de store

KIS - Ekspertseminar om BankID

Ny personvernlovgivning er på vei

Sustainability Programme

Gjenopprettingsplan DNBs erfaringer. Roar Hoff Leder av Konsern-ICAAP og Gjenopprettingsplan Oslo, 7. desember 2017

UiO : Universitetet i Oslo Universitetsdirektøren

Compliance i praksis:

Familieeide selskaper - Kjennetegn - Styrker og utfordringer - Vekst og nyskapning i harmoni med tradisjoner

Internrevisjon i en digital verden

Rammeverk og metode for aktsomhetsvurdering m.h.t. menneskerettigheter, miljø og korrupsjon hva innebærer det for oppdragsgivere og leverandører?

- En essensiell katalysator i næringsklyngene? Forskningsrådets miniseminar 12. april Mer bioteknologi i næringslivet hvordan?

Emnedesign for læring: Et systemperspektiv

Feiltre, hendelsestre og RIF-modell

Internrevisjonsordningen i Forsvarssektoren

ROS analyse for samfunnskritiske IKT systemer. Utfordringer og muligheter 24/11-05

Gjermund Vidhammer Avdelingsleder Governance, risk & compliance

Transkript:

Intern revisjon Intern kontroll Norsk Akkreditering 2016 Prof. Flemming Ruud, PhD, Statsautorisert revisor Handelshøyskolen BI, Oslo, University St. Gallen, Sveits flemming.ruud@bi.no

Slide 2 Innhold Hva er intern revisjon? Definisjon, arbeidsfelter, organisatorisk plassering, Rammeverk, kjerneprinsipper, etiske regler, standarder 3 linje forsvarsmodellen, eierstyring, governance Intern styring og kontroll COSO modellen Styringsmiljøet, risiko management Terminologi - forsvar vs. beskyttelse Skille vs. Samarbeid, «Continuous auditing» - eller monitoring Oppsummering IIA NIRF, Exec. Master of Management Program BI, COSO

Definisjonen av internrevisjon Slide 3 Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sine målsettinger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og governance.

Slide 4 Bekreftelsesoppdrag versus rådgivningsoppdrag To eller tre forskjellige aktører:? Premissene gitt av oppdragsgiver Effekt på uavhengighet (1130.C1 og C2) Vesentlige forhold skal kommuniseres til toppledelsen og styret (2440.C2) NB må inn i planen og rapporten

Slide 5 Øverste myndighet Styre, Storting, Styrets revisjonskomite, Direktør Skal godkjenne instruksen Intern revisjonen skal ha et funksjonelt rapporteringsforhold til øverste myndighet Sikrer uavhengigheten! 5

Slide 6 Risk-Control in the Governance Example (Swiss Post Annual Report 2015, p. 12) 6

Funksjonelt rapporteringsforhold når Prof. T. F. Ruud, PhD, SR styret: Slide 7 godkjenner intern revisjonsinstruksen godkjenner den risikobaserte intern revisjonsplanen godkjenner intern revisjonens budsjett og ressursplan mottar rapporter fra revisjonssjefen på intern revisjonens utførelse i forhold til planen og andre forhold godkjenner beslutningen om ansettelse og fratredelse av revisjonssjefen godkjenner revisjonssjefens betingelser foretar egnede forespørsler rettet mot ledelsen og revisjonssjefen for å fastslå om det foreligger utilstrekkelig omfang eller ressursbegrensinger 7

Instruksen for intern revisjonen Prof. T. F. Ruud, PhD, SR Slide 8 Hvem er vi? Hva er vårt formål? Hva er vårt ansvar? Hva er vår myndighet? Hvordan sikrer vi uavhengighet? Hva gjør vi? Hvilke typer bekreftelsestjenester leverer vi? Leverer vi bekreftelser til parter utenfor virksomheten? Hvilke typer rådgivningsoppdrag gjør vi? Hvordan gjør vi det? Følges IIAs standarder, etiske regler, def. av intern revisjon?

Slide 9 Vekst Re-Performance Intern revisjon - utvikling NYSE Listing Rules: Section 303A.07(d): "Each listed company must have an internal audit function. (2003) Ongoing Compliance Introduction SOX Compliance (2002) Basel Committee: Internal audit in banks and the supervisor's relationship with audit (2001) COSO Internal Control (1992) Control COSO ERM (2004) Risk Operations Update COSO Internal Control (2013) Basel Committee: The internal audit function in banks (2012) Governance Financial Reporting Compliance Internal Control over Financial Reporting Update NUES / Swiss Code (2014) Risiko management prosesser Standard 2120 Quo vadis Standard 2110 Governance prosesser Interne styringsog kontrollprosesser Standard 2130? 1990 2000 2010 2020

Slide 10 Arbeidets art governance, risk management, and control processes The IAA should assess and make appropriate recommendations for improving the governance process in its accomplishment of the following objectives: Promoting appropriate ethics and values within the organization. Ensuring effective organizational performance management and accountability. Effectively communicating risk and control information to appropriate areas of the organization. Effectively coordinating the activities of and communicating information among the board, external and internal auditors and management. Risk Management Processes (2120) Governance Processes (2110) Control Processes (2130) The internal audit activity should evaluate risk exposures relating to the organization s governance, operations, and information systems;...and based on the risk assessment... Evaluate the adequacy and effectiveness of controls... Achievement of the organization s strategic objectives Reliability and integrity of financial and operational information; Effectiveness and efficiency of operations; Safeguarding of assets; and Compliance with laws, regulations, and contracts.

Tre forsvarslinje modellen Prof. T. F. Ruud, PhD, SR Slide 11

International Professional Practices Prof. T. F. Ruud, PhD, SR Framework (IPPF) Slide 12

Internrevisjonens formål «mission» Prof. T. F. Ruud, PhD, SR Slide 13 Å fremme og beskytte organisasjonens verdier gjennom å gi risikobaserte og objektive bekreftelser, råd og innsikt. Styrets / toppleders uavhengige verktøy Rådgiver Revisor (bekreftelser) Risikobasert HELE organisasjonen Governance Risikostyring Kontroll

De ti kjerneprinsippene Slide 14 1. Har og synliggjør integritet 2. Har og synliggjør kompetanse og tilbørlig faglig aktsomhet. 3. Er objektiv og fri for utilbørlig påvirkning (uavhengig) 4. Tilpasser seg organisasjonens strategier, mål og risikoer 5. Er hensiktsmessig posisjonert organisasjonsmessig og har de riktige ressurser 6. Har og synliggjør kvalitet og kontinuerlig forbedring 7. Kommuniserer virkningsfullt 8. Gir risikobaserte bekreftelser 9. Er innsiktsfull, proaktiv og fremtidsfokusert 10. Fremmer forbedring i organisasjonen

De ti kjerneprinsippene Prof. T. F. Ruud, PhD, SR Slide 15 Alle de ti kjerneprinsippene må være gjeldende og fungerer etter sin hensikt, både for intern revisor og internrevisjonsfunksjonen, for at en intern revisjon skal vurderes som effektiv og hensiktsmessig. Hvordan kjerneprinsippene blir oppfylt vil variere fra organisasjon til organisasjon. Manglende evne til å rette seg etter enkelte prinsipper tyder på at en intern revisjonsfunksjon ikke er så effektiv og hensiktsmessig som budskapet i intern revisjonens formål tilsier.

Slide 16 International Professional Practices Framework (IPPF) DEFINITION OF INTERNAL AUDITING Assurance-related Implementation Standards Mission Core Principles Code of Ethics Attribute Standards 1000 Purpose, Authority & Responsibility 1100 Independence & Objectivity 1200 Proficiency & Due Professional Care 1300 Quality Assurance & Improvement Program Performance Standards 2000 Managing the Internal Audit Activity 2100 Nature of Work 2200 Planning the Engagement 2300 Performing the Engagement 2400 Communicating Results 2500 Monitoring Progress 2600 Communicating the Acceptance of Risks Consulting-related Implementation Standards DEFINITION OF INTERNAL AUDITING Mandatory Implementation Guides Supplemental Guides Recommended

Slide 17 Etiske regler Formål: Fremme en etisk kultur i intern revisjonsprofesjonen. Komponenter med prinsipper som er relevante for profesjonen og for yrkesutøvelsen og adferdsregler som beskriver normer og forventet oppførsel Integritet: Integriteten til interne revisorer etablerer tillit og følgelig basisen for at deres vurderinger kan stoles på. Konfidensialitet: Interne revisorer respekterer verdien av og eierskapet til informasjon som de mottar, og videreformidler ikke slik informasjon uten spesifikk tillatelse med mindre det foreligger en juridisk eller profesjonell forpliktelse til å gjøre dette. Objektivitet: Interne revisorer utviser høyeste grad av objektivitet i innhenting, evaluering og rapportering om aktiviteten eller prosessen som er under vurdering. Interne revisorer gjennomfører en balansert vurdering av alle relevante forhold, og er ikke urimelig påvirket av egne interesser eller av andre personer i vurderingsprosessen. Kompetanse: Interne revisorer bruker de kunnskaper, ferdigheter og erfaring som er nødvendig i sin utøvelse av intern revisjonsaktiviteter.?

Slide 18 Internasjonale standarder Sist oppdatert 1. januar 2013 Endringer i standardene er ute på høring, og blir publisert i ny form 1. januar 2017

Hensikten med standardene Prof. T. F. Ruud, PhD, SR Slide 19 Definere grunnleggende prinsipper som representerer utøvelsen av internrevisjon slik den burde være Danne et rammeverk for å utøve og fremme et bredt spekter av merverdiskapende internrevisjonsaktiviteter Etablere et grunnlag for å måle utøvelsen av internrevisjon Stimulere til forbedring av organisasjonsmessige prosesser og drift

Om standardene Slide 20 Intern revisjon utføres i ulike juridiske og kulturelle miljøer innen organisasjoner med ulike formål, størrelse, kompleksitet og struktur og av personer innenfor og utenfor organisasjonen. Selv om ulike rammebetingelser kan påvirke hvordan intern revisjon blir praktisert i forskjellige miljøer, er overensstemmelse med IIAs internasjonale standardene for profesjonell utøvelse av intern revisjon (International Standards for the Professional Practice of Internal Auditing (Standards) avgjørende for å sikre at interne revisorer og interne revisjoner ivaretar sitt ansvar.

Slide 21 Ulike måter å organisere intern revisjonsfunksjonen Intern revisjonen skal være ledet av en intern revisjonssjef, men denne trenger nødvendigvis ikke være ansatt i virksomheten Egen organisatorisk enhet med fast ansatte intern revisorer Modellen innebærer at virksomheten har en organisatorisk enhet plassert i virksomheten med ansvar for å levere intern revisjonstjenester Ansatt internrevisjonssjef med team fra egen virksomhet. Modellen innebærer at ansatte i virksomheten ledes av en intern revisjonssjef Ansatt internrevisjonssjef som kjøper eksterne tjenester. Modellen innebærer at det ansettes én revisjonssjef som kjøper tjenester fra eksterne fagmiljøer. Tjenestene kan kjøpes hos én eller flere leverandører (flere rammeavtaler). Felles internrevisjonsfunksjon på tvers av likeartede virksomheter. Modellen innebærer at flere virksomheter deler på en intern revisjonsfunksjon. Eks FD. Full outsourcing Mulig å etablere en kombinasjon av modellene, eksempelvis modell 1 og 2 eller 2 og 3, samt å inngå rammeavtaler og ha budsjett for kjøp av outsourcede ressurser for alle modellene (unntatt modell 5 Full outsourcing, der dette ligger i hovedmodellen). Vanlig blant de intern revisjonene som per i dag er etablert i statlig sektor og co-sourcing er særlig vanlig ved kjøp av spesialiserte IKT-tjenester.

Definisjon - intern styring og kontroll Prof. T. F. Ruud, PhD, SR (med k ) Slide 22 Intern styring og kontroll er en prosess, iverksatt av styret, ledelsen og annet personale, for å gi rimelig grad av sikkerhet for måloppnåelse innen følgende kategorier: Målrettet og effektiv drift Pålitelig (finansiell) rapportering (fjernet i COSO 2013) Etterlevelse av lover, forskrifter og regler (Internal Control - An Integrated Framework - COSO 1992/2013) Control comprises those elements of an organization (incl. its resources, systems, processes, culture, structure and tasks) that, taken together, support people in the achievement of the organization s objectives. (Criteria on Control (CoCo)) Any action taken by management, the board, and other parties to manage risk and increase the likelihood that established objectives and goals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurance that objectives and goals will be achieved. (The IIA, 2008)

Betydning av intern styring og kontroll Prof. T. F. Ruud, PhD, SR Slide 23 "If you look at all the failures of quoted companies in the past, they all have been failures of internal control. Sir Adrian Cadbury

COSO: Komponentene i intern Prof. T. F. Ruud, PhD, SR styring og kontroll Slide 24 The entire process is monitored and modified as conditions warrant. Meanwhile, relevant information is captured and communicated throughout the organization. Control activities are implemented to help ensure that management directives to address the risks are carried out. Within this environment, management assesses risks to the achievement of specified objectives. The control environment provides an atmosphere in which people conduct their activities and carry out their responsibilities. It serves as the foundation for the other components.

Slide 25 Målsettinger og komponenter av internal control Intern kontroll er relevant for hele organisasjonen, eller til de enkelte enheter eller aktiviteter Informasjon trengs for alle tre målsettinger drift, finansiell rapportering og etterlevelse Alle fem komponenter gjelder oppnåelse av alle mål

Styrings- og kontrollmiljøet basis av Prof. T. F. Ruud, PhD, SR internal control Tone at the top Slide 26 Styrings- og kontrollmiljøet setter tonen i en organisasjon, påvirker kontrollbevisstheten til de ansatte Fundamentet for de øvrige komponentene gir disiplin og struktur Styrings- og kontrollmiljøet omfatter: Integritet, etiske verdier og Kompetanse hos de ansatte Ledelsesfilosofi og -stil Ansvars og fullmaktstildeling Hvordan ansatte organiseres og utvikles - HRM Oppmerksomhet og styring fra styret og dets revisjonskomite

Slide 27

Risikovurdering integrert i styring og Prof. T. F. Ruud, PhD, SR kontroll Slide 28 Enhver organisasjon konfronteres med risiko fra eksterne og interne kilder som må vurderes og hensyntas En forutsetning for risikovurdering er etablering av målsettinger, satt I sammenheng, NB! - internt konsistente Innen kategoriene: drift / finansiell rapportering / etterlevelse Overlappende hvite flekker Risikovurdering omfatter identifikasjon og analyse av relevante risikoer for å nå målsettinger gir en basis for å bestemme hvordan risikoer kan styres På grunn av endringer av økonomisk, bransje, regulatorisk og driftsmessig art inntreffer, trengs mekanismer for å identifisere og håndtere spesielle risiki Forhold som krever spesiell oppmerksomhet: f. eks, endret driftsmiljø, nytt personale, nye og endrede informasjonssystemer, ny teknologi, nye produkter, aktiviteter, restrukturering, utenlandsk utvikling, etc

Risikovurdering Prof. T. F. Ruud, PhD, SR Slide 29

Styrings- og kontrollaktiviteter tiltak Prof. T. F. Ruud, PhD, SR for å håndtere risiko Slide 30 Policy, handlinger og prosedyrer som hjelper til å omsette ledelsens direktiver Sikrer at nødvendige tiltak utføres for å håndtere risiki som truer eller påvirker måloppnåelse Aktiviteter skjer i hele organisasjonen, på alle nivåer og i alle funksjoner Inkluderer: Godkjenning, attestasjoner, verifikasjoner og avstemminger Driftsanalyser, Top level reviews, Sikring av eiendeler Ansvars- og funksjonsdeling

In Control med C Slide 31 Attention Radar

Internal Control Slide 32 Directive Controls: Support the achievement of objectives Preventive Controls - Prevent non-beneficial behavior or events Design Organizational measures: Control effected by the company itself in terms of separation of functions, design of work processes Organizational tools: Plan of the organization, plan of processes, plan of functions, guidance, time stamp, signatory power Technical tools: Securities, IT controls Detective Controls: designed to detect misstatements or omissions as soon as possible Checking Corrective Controls: designed to re-align the actual state with the target state

Eksempel: Risikoanalyse og vurdering Prof. T. F. Ruud, PhD, SR av internkontrollaktivitetene Slide 33 Målsettinger O,F,C Risikoanalyse Handlinger/styring og Andre målsettinger Vurderinger og Risikofaktorer Sannsynlighet kontrollaktiviteter berört konklusjon O, F Virkelig mengde mottatt kan avvike fra mengden angitt på ordre eller forsendelsesdokumenter Middels-Höy 8. Mottatte varer telles, veies eller verifiseres på annen maate as quantity 9. Mottak av varer kontrolleres på stikkprövebasis Kontrolltiltakene er tilstrekkelige for å nå satte mål......... 10.......... Drift (Operations), Finansiell rapportering, Etterlevelse (Compliance) (COSO, 1992 / 2013)

Slide 34 COSO Intern styring og kontroll - 2013 Nytt med 17 prinsipper Components Control Environment Risk Assessment Control Activities Information and Communication Monitoring Activities Principles 1. Organization demonstrates commitment to integrity and ethical values 2. Board of Directors demonstrates independence of management and exercises oversight responsibility 3. Management establishes structure, reporting lines, authority and responsibility 4. Organization demonstrates commitment to competence 5. Organization enforces accountability 6. Organization specifies relevant objectives 7. Organization identifies and analyzes risks 8. Organization considers the potential for fraud and assesses fraud risk 9. Organization identifies and analyzes significant change 10. Organization selects and develops control activities 11. Organization selects and develops general controls over technology 12. Organization deploys through policies and procedures 13. Organization obtains or generates and uses relevant, quality information 14. Organization internally communicates relevant information 15. Organization externally communicates relevant information 16. Organization selects, develops, and performs ongoing and/or separate evaluations 17. Organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for corrective actions

Slide 35 COSO Internal Control-Framework vs COSO Smaller Public Companies-Guidance Information and communication Monitoring (more focus) Control activities Risk assessment Control environment Larger organizations Smaller organizations

Purposes of Control Frameworks (CF) Prof. T. F. Ruud, PhD, SR Slide 36 Purpose 1: A control framework provides a way of understanding the important elements of control, including their important relationships between them Purpose 2: Implementation and improvement of internal control As a basis for implementing internal control processes As a benchmark for evaluating and improving internal control Increases transparency of internal control Purpose 3: Audit of internal control CF allows comprehensive audit of the relevant control processes Higher legitimization of recommendations and better support by management and board More efficient and effective communication of the audit results, e.g., between internal and external audit, as both parties use the same language Results of audit can be reconstructed by a third party Purpose 4: Self assessment of internal control CF allows a systematic and comprehensive assessment of internal control When performing a self assessment, management and employees get an idea of an ideal internal control

Audit Risk Model Slide 37 Inherent Risk Probability of misstatements in the financial statements Control Risk Misstatements not detected by the internal control system Misstatements circumventing the internal control system Detection Risk Misstatements detected by the auditor Audit Risk Misstatements undetected by the auditor

Rapportering Prof. T. F. Ruud, PhD, SR Slide 38 1. Criteria (What should be there) 4. Effect (What does this mean in terms of risk) 5. Recommendation (What should be done) Management Actions Comments 2. Condition (What is really there; What has been found) 3. Cause (Why is there a difference between Criteria and Condition) (Quelle: Holcim)

Forsvar vs. risikoreduksjon vs. In Control Slide 39 Den iboende risikoen i verdikjeden blir redusert gjennom de tre forsvarslinjene Iboende risiko 1 st Line of Defense Management Control Interne Steuerung und Kontrolle 2 nd Line of Defense Risikomanagement Compliance Qualitätssicherung 3 rd Line of Defense Internes Audit Restrisiko

Slide 40 The Three Lines of Defense Model - hva med dataanalyser og kontinuerlig revisjon? Governing Body / Board / Audit Committee Senior Management 1 st Line of Defense 2 nd Line of Defense 3 rd Line of Defense Financial Control Security External Audit Regulator Management Controls Internal Control Measures Risk Management Quality Internal Audit Compliance Big data Analytics Continuous auditing???

«Defense» - Forsvar Slide 41 Betydning av forsvar : Fransk; Defense som stammer fra latin; Defensa «Protection» 1. Beskytte seg mot angrep; Angrep fra noen / forhindre noe 2. Argumentere for en person, sak - som er utsatt for kritikk 3. I en rettssak - anklaget i en straffesak forsvare seg i en rettssak 4. Sport Forsvare hvem - seg mot hvem?? Ledelsen? Styret? Eiere Kreditorer? Ansatte (Bibliografisches Institut, 2013)

Forsvar vs. verdiskapning Prof. T. F. Ruud, PhD, SR Slide 42 Forsvar vs. Defense Lingvistiske aspekter Verdiskapende merverdiskapning i intern revisjon (3 rd linje) og risk management funksjoner (2 nd linje) Lines of Control? Lines of Responsibility? 3 rd Line-Assurance? Tradisjonelt tankemønster Intern revisjonen som politi for ledelse og styre? Gammeldags bilde av intern revisjonen? Fra «compliance revisjoner til strategic assurance» (Austbø, Statoil) Alternativ til tilbakeskuende «offense»? Se mer «upstream» og mindre «downstream»

Flere 2. linjefunksjoner Slide 43 Risk Management Information Security Financial Control Physical Security Quality Health and Safety Inspection Accreditation Certification Compliance Legal Environmental Other (depending upon industry-specific or company-specific needs) (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 6)

Koordinere Utveksle Informasjon og Prof. T. F. Ruud, PhD, SR rapporter Combined Assurance Slide 44 Revisjonsrapporter kan koordineres med andre interne og eksterne funksjoner som yter bekreftelses- og rådgivningstjenester Andere tilbydere kan gis tilgang til rapportering fra intern revisjon Dobbeltdekning vs «hvite flekker» Begrense bruk og nytte samt utbredelse av informasjon Sustainability Officer Controlling Compliance Legal Internal Audit Risk Management IT- Security Management Quality Management... Sustainability Officer Controlling Compliance Legal Internal Audit Risk Management IT- Security Quality Management Management...

Slide 45 Tre-linje modellen Prosessorientert Overordnet - «Helhetlige bekreftelser» Legislation Shareholders Investors Other Stakeholders Government Direction Suppliers 1 st Line Indicators Controlling Risk Management BoD CEO Vision Objectives Strategies Compliance Employers Certification Nomination Remuneration Audit Committee Value Adding Process 2 nd Line Security Quality Management 3 rd Line- Assurance Signals Risk Management and Internal Control External Audit Customers Accountability

Slide 46 Development and Current State of Internal Auditing Internal auditing has got to be the coolest profession in the world. (Tom Peters, The Institute of Internal Auditors International Conference, Orlando, 2013) Tom Peters (*November 7, 1942) American management guru and writer on business management practices; Co-author (with Robert H. Waterman, Jr.) of best-seller In Search of Excellence, 1982

Slide 47 Norges Interne Revisorers Forening En del av The Institute of Internal Auditors med totalt 190,000 medlemmer globalt NIRF har 800 medlemmer «Progress through sharing» Fremskritt gjennom deling av kunnskap Visjon: NIRF bidrar til at intern revisjon er en allment anerkjent, relevant og verdiskapende profesjon gjennom å være samlende og ledende for alle som arbeider med intern revisjon samt virksomhetsstyring, risikostyring, compliance og intern styring og kontroll

Hva og hvem er NIRF? Prof. T. F. Ruud, PhD, SR Slide 48

Slide 49 Diplomert Intern Revisor og Internasjonale Sertifiseringer

Slide 50 Certified Internal Auditor (CIA) Krav til utdanning : Bachelor eller kombinasjon av utdanning og yrkespraksis. Bestått del 1-3 av CIA eksamen Krav til praksis: To års relevant praksis fra intern revisjon eller tilsvarende

Litteratur Prof. T. F. Ruud, PhD, SR Slide 51

Slide 52 Litteratur

Leveraging COSO across the Prof. T. F. Ruud, PhD, SR Three Lines of Defense Slide 53 Thought Paper of the Committee of Sponsoring Organizations of the Treadway Commission (COSO) 2015 SUPPORT Governance Structures How the organisation assigns specific tasks and responsibilities in internal control (COSO, Leveraging COSO Across the Three Lines of Defense, 2015)

Leveraging COSO across the Prof. T. F. Ruud, PhD, SR Three Lines of Defense Slide 54 Thought Paper of the Committee of Sponsoring Organizations of the Treadway Commission (COSO) 2015 SUPPORT Governance Structures How the organisation assigns specific tasks and responsibilities in internal control (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 4)

Leveraging COSO across the Prof. T. F. Ruud, PhD, SR Three Lines of Defense Slide 55 (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 5)

Slide 56 Leveraging COSO across the Three Lines of Defense (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 7)

Og som kan Prof. T. F. Ruud, PhD, SR Slide 57 Assist management in design and development of processes and controls to manage risks Define activities to monitor and how to measure success as compared to management expectations Monitor the adequacy and effectiveness of internal control activities Escalate critical issues, emerging risks and outliers Provide risk management frameworks Identify and monitor known and emerging issues affecting the organization s risks and controls Identify shifts in the organization s implicit risk appetite and risk tolerance Provide guidance and training related to risk management and control processes (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 6)

Slide 58 Leveraging COSO across the Three Lines of Defense (COSO, Leveraging COSO Across the Three Lines of Defense, 2015, S. 8)

Ta gjerne kontakt: Prof. T. F. Ruud, PhD, SR Slide 59

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding