Modul 3104 Bankrevisjon som er et spesialprodukt til bankrevisorene star pa denne bakgrunn sa klart i fare. Jeg vil derfor benytte denne anledning til og si at under forutsetning av at det rnelder seg nok studenter sa kornmer dette til og fort sette fra h sten av, det er ingen ting som tyder pa noe annet. Bankakademiet har forlenget s knadsfristen til 1507B9, sa kjrere kolleger, kjenn deres bes kelsestid, ved siden av blant annet N.B.R.F. sine landskonferanser er dette noe av det beste vi har her i landet. Et tertial og med hva dette medf rer for bankrevisorene ligger bak ass, forran oss ligger SOMMEREN, jeg vil nske dere alle en GOD OG KRAFTSAMLENDE SOMMER, N.B.R.F. trenger kreftene i tiden som kommer. ~l~. GOD SOMMER bankrevisoren 1
INNHOLD I DEllE NUMMER Side 1 Presidenten har ordet 5 Datasikkerhet - status og utfordringer v/soussjef Tom Nilsen 13 Sparebankenes sikringsfond - Revisjonskontoret v/statsaut. revisor Per Edvin Bolme 19 I Norbank-systemets dager talte? v/jan Erik Frantsvag 23 Studiekurset «Bankrevisjon» 88/89 v/einar Elgvin 25 Refleksjoner fra Landskonferansen 1989 v/ragnhiid Lindeland 28 Kredittilsynets rundskriv 30 Artikkelprisen 1988 31 Redakt0ren har ordet 2 bankrevisoren
32 Referat fra NBRF's generalforsamling 1989 36 Referat mote lokalavdelingsutvalget 36 Lokalavdelingene Bergensavdelingen Rogalandsavdelingen 50rlandsavdelingen Twndelagsavdelingen 0stlandsavdelingen 49 Nye e ' medlemmer 53 EDP Auditors Association.."... ~ bankrevisoren 3
bank e revlsoren DIT ER. MUUG FOR. IKKE=MEDlEMMER A ABONNERE pa BANKREVISOREN Utkommer 4 ganger ariig. Abonnementspris: Kr. 100,- pro ar. Henvendelse til lokalforeningens formann. (Se fortegnelse i bladet) eller til hovedforeningens kasserer, Steinar Hopland, Kreditkassen, Oslo Tli. (02) 48 51 73 Samleperm til Bankrevisoren kan bestilles ho Petter Noreng, Oslobanken, Oslo, tit. (02) 55 55 00 Plis pro stk. kr. 40,- inkl. porto 4 bankrevisoren
Datasikkerhet status og utfordringer v/soussjef Tom Nilsen, Bergen Bank, Bergen Bergen Bank har hatt Datasikkerhetssjef siden 1984 og jeg har hatt gleden av it ha den stillingen. Det har v~rt et utfordrende arbeide med bade motvind 09 medvind. Nar jeg na skal gj re opp status for 5 arr rna jeg konstatere at det har skjedd en del, men ikke sa mye som jeg hadde trodd pa forhand. Hva har skjedd? INTERESSE OG EN GRYENDE FORSTAELSE. Der er merkbart st rre interesse for Datasikkerhet na enn da jeg begynte, 09 jeg har holdt flere uforedrag" internt pa det siste aret enn pa de f rste 4 arene til sammen. Da jeg begynte, var interessen st rre pa utsiden av banken - i pressen. Der ble problemstillingene hauset opp til enkle plakattekster som enten "full kontroll" eller "ingen kontroll", Hvorfor er der st rre og mer ekte interesse for datasikkerhet og risikostyring i dag: vi har fatt et hardere samfunn hvor ogsa datakrim er en realitet. De fleste husker vel BBS og de ber mte 900 mill. Hackers og virusmakere er gode markedsf rere for datasikkerhet, Internkontroll i bank har v~rt for darlig og for mange har trodd at alt var OK uten a kontrollere, Hendelser de siste arene har apenbart vekket mange ledere : "Dont expect - inspect!", I disse innstrammingstider bygges internkontroll kraftig ut, og disse personene er gode samarbeidspartnere for Datasikkerhet. bankrevisoren 5
vi er blitt flinkere til a bruke formuleringer lederne forsta.r. Ord sam passord, 10gonID og autorisasjonsniva er byttet ut med elektronisk signatur 09 elektronisk fullmakt. Fullmakter er ledere vant med a. ha.ndtere. som I 1984 var de fleste av bankens systemer uten personlig autorisasjon. Tilgang ble gitt til terminalen eller hele avdelingen UdelteU pa en Bruker-identifikasjon. I dag har 95% av systemene personlig autorisasjon og brukerne begynner a ane at de kan hefte for det de gj r. Var revisjon er begynt a stille n~rgaende sp rsmal am hvem som har ful1makt til hva, am lederen er kjent med dette og har kontroll med beslutningene. ER DETrE NOR? Etter min mening har vi fatt pa plass Ugrunnmuren ll, godt arbeide igjen med selve sikkerheten. men har mye Jeg skal gjennomga det som jeg tror blir de viktigste faktorene fremover FASTLEGGING AV p~svar FOR DATASIKKERHET I BANKEN. BEVISTGJ0RING AV LEDERE OG DEN ENKELTE MEDARBEIDER. LAGE "VERKT0yn SOH }{AN L0SE UTFORDRINGENE I DATASIKKERHET. ANSVAR FOR DATASIKKERHET. Ansvaret for datasikkerhet rna fastlegges gjennom en skriftlig policy. vi har hatt en Autorisasjonspolicy siden 1985 (se ramme) og er na ferdig med en Datasikkerhetspolicy som omfatter aile omrader innenfor datasikkerhet. Der er 3 sentrale begrep i policy : KLASSIFISERING. Data og system skal klassifiseres etter den risiko de representerer og til hver klasse h rer der forskjellige sikkerhetskrav. Dette vii f re til at oppmerksomhet 09 iessurser brukes pa de data og system sam trenger det mest. LINJEANSVAR. Bankens linjeledelse har ansvar for datasikkerhet i sitt ansvarsomrade. 6 bankrevisoren
Noen trodde kanskje at det var datasikkerhetssjefen som I1tok seg av det derll. t-.tin rolle er a koordinere, veilede, kontrollere og stille krav. Det betyr ikke at jeg er fri for ansvar. Mine faglige rad og krav rna v~re gode nok og jeg rna varsle ledelsen am omrader med ntynn is". Jeg vil dra en parallell til konomistyring: Det er selvf lgelig ikke konomisjefen sam er ansvarlig for et budsjettavvik i en avdeling. Jeg er heller ikke ansvarlig for at en leder lar brukerne dele pa en bruker-identitet og lar dem rope passordet til hverandre. Hvis det komrner meg "for lore", tar jeg selvsagt fatt i det allikevel, men gjennorn leder. EIERSKAP. Alle data og system skal ha en eier sorn er ansvarlig for sikkerheten i disse. ---- Banksysterner skal ha en eier i linjen og ikke i f eks dataseksjonen. Her er en typisk m teplass for fagkunnskap og et sarnspill mellom eier og datasikkerhetssjef er n dvendig. Bier er en fagmann pa de bankforretninger som data og system representerer og de forretningsrisiki som dette f rer med seg. Han har ogsa det viktigste verkt yet - pengene til a fa gjort endringer i sitt system. Datasikkerhetssjefen har (eller kan skaffe) ekspertise pa de typiske riski sam bruk av data generelt medf rer og hvilke teknikker sam sikrer mot disse. Han skal og s rge for at he Ie banken har en ensartet vurdering av risiko, og at ikke hver enkelt kan vurdere sin risiko helt isolert. Vi far ikke god nok sikkerhet ved a ta hensyn til bare en av dem og vi rna utnytte synergieffekten. SamspiIIet blir derfor - Datasikkerhetssjefen lager modell for risikoanalyse og klassifisering av data og system. Han lager ogsa krav til sikring av den enkelte klassen. - Eier tar modellen i bruk og be stemmer klasse med assistanse fra Datasikkerhetssjef. - Eier vurderer am de krav sam stilles i klassen dekker de virkelige risiki sam han sam fagmann kjenner til og am derfor tilleggskrav er n dvendig. - Datasikkerhetssjefen kan overpr ve klassingen og evt palegge tilleggskrav. Dette kan sikre et fornuftig samarbeide hvor begge 1 s kompetanse utnyttes til a skape en god sikkerhet. bankrevisoren 7
BEVISTGJ0RING AV LEDERE. Det lett a si at "linjeledelsen er ansvarlig". Nar vi vet at linjeledelsen tildels har en darlig forstaelse for data generelt og datasikkerhet spesielt, innser jeg at vi er inne i ct vakuum. Lederen er ofte ikke bevist pa hvilke risiki sam finnes, og vet enda mindre am hvordan risiki kan elimineres. vi registrerer ofte at ledere blir "matt i blikket" og henviser til den Iokale guru nar viktige ledersp rsmal innenfor data(sikkerhet) skal avgj res. Dette er det sentrale problem. Hvis lcderen vil bli klar over sitt ansvar og vii gj re noe med svakheter, rna ekspertvelde kunne bista med teknikker. Lederoppl~ring for a bevistgj re lederne i risiki ved bruk av data er derfor et satsingsomrade fremover. OG DEN ENKELTE MEDARBEIDER. En annen viktig forutsetning er at retningslinjene er pa plass og er kjent. Datasikkerhetssjefen skal lage generelle retningslinjer og s rge for at disse blir kjent blandt lederne. Linjen rna supplere med lokale forhold, gj re retningslinjene kjent, fa dem gjennomf rt og oppfulgt. vi har retningslinjer klar for det meste av temaet autorisasjon, sikkerhet pa PC osv, men ogsa her er mye godt arbeide i arene fremover. Et mal rna v~re a fa hovedpunkter av retningslinjer inn i ansettelseskontrakter, arbeidsreglement, personalhandbok og lignende. Da f rst er datasikkerhet blitt en selvf lgelig del av hverdagen. Data er allerede en selvf lgelig del av hverdagen for mange. - "VERKT0yll FOR DATASIKKERHET. Vi har hatt en Autorisasjonspolicy siden 1985 og med denne som rettesnor har vi klart 11 bygge OPP et ensartet autorisasjonsmilj. Brukerne kan ha en bruker-identifikasjon og et passord - en signatur - i mot aile-system. Beslutningen om hvem som skal fa fullmakt fattes av leder for avdelingen/kontoret og en Iokal autorisasjons-administrator fore tar den praktiske inn- og utmeldingen mot et sentralt autorisasjons-system. 8 bankrevisoren
Den lokale gjennomf ring og ansvar sikrer at "brukerne 11 blir reelle og at mengden av fullmakter blir vedlikeholdt ved endringer i organisasjonen. Vi er ikke sa naive at vi tror at aile lokalt er ajour til en hver tid, men hvis 80% gj r en bra jobb, rna resultatet bli bedre enn ved en sentral innmelding og 1 ukes~ehandlingstid etter innsending av skjema... Fleksibilitet og sikkerhet ved sykefravrer og andre uforutsette situasjoner er et krav fra en leder og en av suksess- faktorene for ledernes engasjement. Autorisasjon rna skje betryggende, selv om det skjer raskt. vi har ca 120 slik desentrale administratorer (DA), og vi anser disse som 120 mulige ambassad rer for datasikkerhet lokalt og dette er igjen en rn teplass mellom lokal og sentral ekspertise. llden sam har skoen pa osv ll Sikkerhetsmessig og faglig oppf lging fra var side en viktig forutsetning. Dette skjer ved 2 dager's kurs og senere oppf lging fra en fulltids koordinator for autorisasjon. Koordinatoren arbeider pa datasikkerhetsavdelingen og vi styrker na denne fun};:sjoi"ten med enna en medarbeider. var oppf lging skal imidlertid ikke pulverisere lederens ansvar lokalt. ---- En annen forutsetning for at aile disse skal kunne gj re sikkerhetsarbeide pa en trygg mate, er at der finnes et eget autorisasjons-system med kobling mot aile banksystemer. Systemet rna vrere brukervennlig og raskt. Det rna vrere enkelt a liste ut hvem som har fullrnakt til hva. Pa den annen side rna ikke systemet tillate DA a gj re mer enn hun/han skal, ut i ira sin fullmakt og avdeling. Hverken ACF2, RACF eller andre sikkerhets-system kan brukes til en slik utstrakt desentralisering direkte. vi har derfer fatt laget et fellessystem for IDA-bankene som bygger pa sikkerhets-systemet for a oppna det banken trenger. Dette systemet forbedres stadig. PASSORO ELEKTRONISK SIGNATUR. Nar vi erstatter en vanlig signatur rned et passerd rna vi v~re observante, for uisen er tynn ll Maskinen kan ikke se forskjell pa hvem som bruker tastaturet, og vi rna derfer stille stadig strengere krav til passord for a sikre identifikasjonen. Krav som : Lengde minimum 5 tegn, rna}.simum 5 fors k med feilt passord, passord rna vrere en blanding av tall og bokstaver, du kan ikke bruke dine 5 sist brukte passord, du rna bytte passord hver 30. dag....... Listen kan gj res mye lenger og vi strammer stadig grepet. Brukerne innser (del vis) at dette ogsa er i deres interesse; de vii heist v~re utenfor faresonen nar noe ubehagelig skjer. Men et sted gar grensen for hva vi kan fa brukere og kunder til a forholde seg til nar det gjelder passerd. ------ bankrevisoren 9
Vi har derfor fatt utviklet et system som gj r det mulig for bruker/kunde a fremstille engangspassord basert pa srnartkort og en liten hand-terminal med kortleser. vi kaller systemet for AEGIS. net kan ogsa brukes til a signere innholdet i f eks et betalingsoppdrag over telefon, via en telex eller en kontrakt sendt fra en PC.... Forel pig er det bare enkelte av vare kunder som rna bruke dette systemet. I fremtiden vii vi ta det i bruk Og503. for bankansatte brukere pa omrader med h y risiko. Vi har integrert AEGIS i stormaskinmilj et (MVS/RACF/ACF2) og kan bruke det i fra aile applikasjoner med et minimum av programmering. Nar kravene er blitt strenge nok til vanlige passord, vil disse kanskje f le det som en lettelse a ga over til a passe pa sitt smartkart ag den tilh rende personlige kaden. REKONSTRUKSJON AV HENDELSER (log). Utdrag fra var autorisasjonspolicy lyder slik : ".. kan dette (=autorisasjon) bidra til a holde uskyldige utenfor mistanke. 1I 11 net skal vzere mulig a rekonstruere et hendelsesforl p med hensyn til adgang til data - hvem som har gjort hva og nar " Jeg tror at mulighet for rekonstruksjon er et sentra1t punkt som vii veie stadig tyngre i arene fremover. I Sverige er fagbevegelsen begynt a kreve gode autorisasjonsrutiner f r de tillater sine medlem~er a bruke systemene. Vi har hittil vrert mest opptatt av a fa autorisasjons-systemet og organisasjonen av DA'er etablert. Na skal vi arbeide sterkere med a bruke muligheten til oppf lging og kontroll pa en positiv mate bade for banken og den enkelte. En prinsipperklrering (policy) kan vrere nyttig 1 Logger skal aldri brukes til annet enn autorisasjonsarbeide og internkontroll og med betryggende diskresjon. Ingen leder kan for lange loggen anvendt til ytelsesmaling, hvem som har bruk for terminal og andre II storebror ser deg U _ behov. 2 net skal vzere mulig for aile a kunne kontrollere II si tt omrade u pa en enkel mate.. Eks: brukeren mot sin aktivitet, DAlen mot sitt omrade og divisjonslederen for hele divisjonen (osv). 10 bankrevisoreni
3 4 Logger skal kunne brukes som bevis i en rettsak. Dette stiller strenge krav til driftsrutiner for logging, program for ekstrahering og autorisasjon til disse, slik at log ikke kan forfalskes, eller at data kan undertrykkes eller endres ved ekstrahering fra orginallog (fra SNF etc). Vi kan tenke ass at fremtidens log blir skrevet pa et medium hvor det som engang er skrevet ikke kan endres (WORM - optiske disker) 09 hvor den som bruker loggen selv ekstraherer data fra orginal-log. vi skal logge de aktiviteter som vi ut i fra en plan vet at vi har behov for. vi har langt igjen f r aile disse punktene er dekket 09 jeg tror dette vii bli et omrade hvor datasikkerhet, intern-kontroll og revisjon vil m tes og ha nytte av hverandre. Det f rste punktet er imidlertid sa viktig at vi har handhevet det slik fra starten. Jeg vil avslutningsvis si at jeg har snakket mye am problemstillinger rundt autorisasjon og lite om alle de andre sidene av datasikkerhetsarbeide. Dette er gjort av 2 grunner : Autorisasjon er det viktigste omradet i DS-arbeidet. I en kort artikkel er det best a begrense seg. Jeg haper allikevel at synspunktene kan provosere noen av Bankrevisorens lesere til en dialog om datasikkerhet. bankrevisoren 11
::DBERGEN ::DBANK DAJASIKKERHET -~ Autorisasjon = Adgangskontroll Fysisk LoglSk tp HONOLULU Oppling! hnje Lis (kart + kode) 10 + passord ~ Autorisasjon Autorisasjon regulerer hvem som far tilgang til hva. Sam et senttal! hjelpemiddel i datasikkerhetsarbeidet kan dette bidra til a holde uskyjdige utenfor mistanke ved svinde1. Ansvar for og tildeling av autorisasjon folger bankens organisasjon. Oa9119 oppfalging og kontroll skat forega i den enkelte enhet i banken. Datasikkerhetssjefen har ansvar for a - 91 relningstinjer for autorisasjons- og sikkerhetssystemer - administrere autorisasjons-systemene senltalt - koordinere og kontrollere bruk av systemene for autorisasjon og sikkerhet. Aile EDB-systemer - savel sentrale masseruliner sam Jokale fuliner og tekstbehandling - skal omfattes av var autorisasjons-policy. Nivaet av autorisasjon skal tilpasses informasjons-verdien j systemet. Adgang til data skal forega via en personlig autorisasjon av den enkelte medarbeider eller kunde. Vedkommende er selv ansvarlig for at den per$onlige identifikasjonen ikke misbrukes. Hver enkelt skal bare ha adgang til data $Om er nedvendige i det daglige arbeidet. Endringer i den enkeues autorisasjon skal- sa sanl det er mulig - skje Iokalt (fra en avdelingsansvarlig eller et ekspedisjonssted) og med direkte oppdatering.. Det skal veere muug a rekonstruere et hendelsesforlep med hensyn til adgang til data - hvem scm har gjort hva nar. Pa fagspraket kal1es deue audit trail. Januart9S5 12 bankrevisorenl
Sparebankenes Sikringsfond. Revisjonskontoret av statsaut. revisor Per Edvin Bolme Sparebankenes sikringsfond. Sparebankenes sikringsfond ble opprettet i 1962. Bestemmelsene om Sparebankenes sikringfsfond finner vi i sparebanklovens 7. kapittel. Enhver sparebank 09 forretningsbank som sparebanker hat alle aksjer i, skal v~re medlem av Sparebankenes sikringsfond. Sikringfonaets hovedformal frerngar av sparehanklovens paragraf 41 hvor det bi.a. starj "Fondet har til formal a stlzltte medlemsbankenes virksomhet 09 sikre at de oppfyller sine forpliktelser". Formen for st0tte fremgar av paragraf 41 09 omfatter stort sett ~konomisk st0tte til banker som er kommmet i vanskeligheter. Det er fondets styre sam bestemmer hvilken st tte som skal gis, 09 vilkarene for slik st tte. I henhold til paragraf 41, fjerde ledd skal fondet dekke tap som andre innskytere enn banker kan fa pi sine innskudd ved rekonstruksjon eller avvikling av en medlemsbank. Paragraf 43 sier at fondets ansvarlige kapital skal motsvare 1,5 % av medlembankenes samlede forvaltningskapital. Inntil minimumskaptalen er skaffet ved innbetalinger skal restbelspet dekkes ved garantier fra medlemsbankene fordelt etter stsrrelsen av deres forvaltningskapital. I henhold til paragraf 44 skal hver medlemsbank hvert ar betale inn til Eondet en avgift som svarer til 0,5 promille av bank ens forva1tningskapital etter nest siste irs regnskap inntil fondets innbetalte kapital har nidd den pabudte st rrelse. Pr. 31. mars 1989 var fondets stsrre1se pa 3.772 mi11.kr. Av dette er 1.450 mill.kr. innbetalt kapita1 og 2.322 mi11.kr. er dekket ved garantier. For disse garantiene rna bankene deponere sikre og lett omsettelige verdipapirer sam sikkerhet. Paragraf 45 sier at sikringsfondet er et selvstendig rettsubjekt og at ingen medlemsbank har eiendomsrett til noen del av fondet. Paragrafene 45 og 46 gir bestemmelser vedr0rende fondets generalforsarnling og styre. Fondets virksomhet lepes av et styre pi sju medlernmer. Fern medlemmer med personlige varamenn velges av genera1- forsarnlingen(som bestar av medlemsbankene). Ett medlem med varamann oppnevnes av direksjonen Eor Norges Bank. Kredittilsynets direktpr er fast medlern av styret. Det er fastsatt vedtekter og styreinstruks for Sparebankenes sikringsfond - vedtatt i generalforsamlingen og godkjent ved kongelig resolusjon og av Bankinspeksjonen (nav~rende Kredittilsynet). Revisjonskontoret. Hisr:orikk Med hjemmel i sparebanlovens paragraf i 1964. Til a begynne med var det med revisjonsstandarden i medlemsbankene. noen spesielle kvalifikasjonskrav til 41 ble revisjonskantoret apprettet det for lye a arbeide for a h0yne Pa det tidspunkt var det ikke revisorene 1 sparebankene. Ved bankrevi'ioren 13
endring i sparebankloven i 1970 - jfr. paragrae 42 - Eikk sikringseondet rett til a granske medlembankenes regnskaper 09 revisjonsforhoid 09 vurdere deres forvaltning. I denne sammenheng kan fondet kreve at en medlemsbank skal legge frem dokumenter m.v. 09 opp1ysninger som fondet anser nodvendig. Denne granskningsrett var det natur1ig a 1egge til sikringsfondets revisjonskontor som aiierede hadde et organisasjonsapparat til a ta seg av saken. Det er dereor med bakgrunn i sparebanklovens paragraf 42 at revisjonskontoret i dag Eoretar sin kontroll og oppf0lging av de enkeite sparebanker. Utvikiingen i sparebankene 09 deres revisjonsforhold i perioden etter at revisjonskontoret ble opprettet i 1964 har pavirket revisjonskontorets arbeidsoppgaver. Utviklingen har bl.a. bestatt i en overgang fra forholdsvis mange sma bankenheter til f~rre, st0rre og mer profesjonelle virksomheter med avansert databehandling, kvaliflkasjonskrav til revisjonen, omfattende oppl~ring etc. Dette har pavirket revisjonskontorets arbeid nar det gjelder kontroll og radgivning vedr. rutiner, organisasjon, kontroll, revisjon, regnskap og risikovurdering etc. Reyisjonskom:orets malsetting 09 arbeidsonpgaver. Revisjonskontorets gransking av bankene etter sparebanklovens paragraf 42 er en selvstendig kontrolloppgave som skal ivareta sikringsfandets interesser. Mals<2tCl:lg. RevisjonsKontoret har folgende som hovedmaisetting; Se etter og medvirke til at medlemsbankene virker silk -at de kan oppfylle sine forpliktelser -pa en hensiktsmessig og betryggende mate -i samsvar med lov 09 forskrifter. RevisJonskontoret skal ogsa se etter at bankene har en forsvarlig Ikc~omisk drift pa kart og lang sikt. Pa grunnlag av denne hovedmalsetting kan vi si at revisjonskontoret arbeider for a gjore medlemsbankene sikrere ved: Al A granske(dvs. se etter/kontrollere) medlemsbankenes regnskaper, revisjonsforhold og vurdere de res forvaltning for a fastsla om bankene driver sin virksomhet pa en betryggende mate slik at de ikke pafores vesentlige tap som igjen kan berore sikringfondets ansvar etter sparebanklovens paragraf 41. Vi forslker her a skaffe oss nodvendig oversikt over risikoforholdene(risiko for feil, tap etc.) B) A drive konsultativ virksomhet(dvs. medv rke tiljradgiving) overear bankene og bankrevisorene pa omradene revis on, kontroll og regnskap. Dette gj0r vi for a redusere risiko og for bedre den interne kontroll, bankenes drift etc. For a dekke det sam Kommer inn under disse oppgavene hat revisjonskontoret for tiden 11 ansatte( 10 revisorer og okonomer, samt 1 sekret~r). Kontorene er i Sparebankenes Hus i Oslo. Direkt0r og leder av revisjonskontoret er statsaut. revisor ~Iilhelm Forland. 14 bankrevisoren,
Arbeidsoopgaver. Nedenfor vii vi kart skissere noen av de praktiske oppgavene sam revisjonskontoret for tiden arbeider med. 1. Arsregnskapskontr01l. Innhenting og kontroll av sparebankenes arsoppgj0r. Dette gj0res for aile sparebankene hvert ar. Pa grunnlag av denne Kantroll kan vi finne de banker som er svake regnskapsmessig sett 09 eventuelt trenger n2rmere oppfslging. Ved dette arbeid fordeles ban~,ene pa revisorene ved kontoret. Vi foretar ogsa en "rating"(dvs. rangering) av bankene pa grunnlag av diverse faktorer sam inntjening, s01idltet og likviditet, samt diverse andre forhold vedr. arsoppgj0ret. Denne rangeringen 9ir igjen et grunnlag for prioriteringen i oppf01gingen av den enkelte bank. 2. Innhenting og kant roll av utvalgte bankers delarsrapporter. Dette gj~res for a fslge n2rmere med i enkelte (ofte svake) bankers utvikling. 3. Risikoforespsrsler til utvalgte banker hvor vi bl.6. innhenter 0Pp'3dver over stsrre engasjementer, overtrekk og mislighold pa egne skjema&r for a fa en viss oversikt over bankenenes risikoeksponering. vi qjennomgar ogsa bankenes oppgaver over misligholdte 1.&n og overtrekk ved arsskiftet. Pa denne maten kan vi fa antydning om banker sam er spesielt utsatte for tap. 4. BankbesSk hvor vi gjennomgar og vurderer bankens driftsopplegg og utvikling, samt far direkte kontakt med bankenes ledelse og revisorer. Nedenfor vii vi komme noe narmere inn pa vart arbeid i forbindelse med bankbes0k, som utgj0r en vesentlig del av var virksomhet. 5. Garantisaker. I de senere ar har det regelmessig V<2rt saker hvor det er reist sp0rsmal om a fa sikringsfondets garanti el1er st0tteinnskudd. Det dreier seg s<2rlig om banker i vanskeligheter og hvor man ma regne med at mulige tap vii overstige bank ens egenkapital og en-bloc avsetninger. Bade f0r og under garantifastsettelsen er det nsdvendig med en rekke unders0kelser, analyser og vurderinger. Idette arbeidet har revisjonskontoret hatt hovedoppgaven. Ogsa under garantitiden er det nedvendig a fslge med i de banker hvor garanti er stillet selv am hovedansvaret er overtatt av en annen bank som fslge av fusjon e.l. Oet dreier seg da om a f01ge med i og vurdere behandlingen av de deler av banken som sikringsfondet har garantert. Spesielt i den senere tid har det v2rt noen stsrre saker, hvor det bl.a. er gitt garanti i form av ikke innbetalt ansvarlig kapital. 6.!<ontakt med og oppfslging av bankenes revisjonsforhold. Ofte far vi henvendelse om bistand fra bankenes revisorer nar det gjelder spesielle forhold som vedrsrer banker. Dette gjelder bade ekstern ansvarlig revisor og intern revisor. 7. Tilsyn med bankdatasentraler ved blant annet deltagelse i revisjonskomiteene i datasentralene. En av revisjonskontorets ansatte folger spesielt med i EDB-utviklingen i oatasentralene. 8. Deltagelse i andre utvalg 09 komiteer, sa som revisjonssjefkretsen og andre revisororganisasjoner. bankrevisoren 15
~. KursvirKSOlnhet rettet mot bankrevisorer 09 kurs for kontrollkorniceene. Vi kan bl.a. nevne at revisjonskontoret na i flere ir har gjennomfort.:holdt en Arskonferanse for revisorene i sparebankene. Her blir aktuelle tema vedrorende revisjonen i bankene tatt opp. 10. Kontoret kan ogsa gi bistand ved etablering av intern revisjon i banl:ene. Dette kan dreie seg om hvordan den interne revisjonen skal funqere organisasjonsmessig, arbeidsopplegg, instrukser etc. 11. Lopende faglig oppdatering/informasjon til revisorene og bankene bl.a. ved rundskriv/informasjonsutsendelser. 12. Konsultativ virksomhet pa omradene regnskap, revisjon og intern kontroll. Ved kontoret er det na ogsa ansatt en person som spesielt skal ta seg av eventuelle konsulentoppdrag vedrorende bankenes organlsasjon etc. 13. Befoyelsessaker, sa som a dispensere fra sparebanklovens paragraf 24 vedrorende grensen til a eie last eiendom, samt paragraeene 28(vedr. regnskapsf~ringen), 31(oppskriving), 32(anvendelse av overskudd) og 35(lan etc. til revisor). Revisjonskontoret tilrettelegger sakene for styret. N~Im~Ie om bankbes k. Nar en velger ut en bank for n~rmere oppf0lging, eventuelt bes k skjer dette bl.a. ved de arsregnskapskontroller 09 risikoforesp rsler som er nevnt foran. Vi kan ogsa velge a f lge opp en bank som det er lenge siden vi har bes0kt, slik at vi kan fa en viss kontinuitet i bes kene og kontakten med bankene. Vi har ogsa lopende kontakt med ansvarlige personer i en rekke banker; kontakt som bl.a. er opprettet ved tidligere bes0k i banken. Nar vi finner det aktuelt a tolge opp en bank narmere, sa har vi blant annet utarbeidet sporreskjemaer som vi benytter i den anledning: a) Sp0rreskiema til banker som det er aktuelt a unders~ke narmere. b) Sp0rreskiema til revisor vedr~rende den uteorte revisjon i en bestemt bank. Nar det gjelder sp~rreskjema til bank og revisor sa er disse sa detaljerte at vi fors~ker a skaefe oss en oversikt over bankens systemer, rutiner og regnskap for eventuelt a avdekke vesentlige risil'oomrader. Forhold sam nevnt ovenfor, samt diverse andre impulser kan gi grunnlag for besok 09 n~rmere kontroll i bankene. Kontrollbesokene baserer seg del vis pa utarbeidet arbeidsprogram. Dette er meget detaljert og omfatter de fieste arbeidsoppgaver og omrader sam en bank er engasjert i. Vart arbeidsprogram er delt inn i Eolgende hovedomrader: A-I Innledning 2 Regnskapsanalyser 3 Diverse forhandsarbeider B- Granskingsomrader o Bankens organisasjon/ledelse 16 bankrevisoren)
1 Innskuddsvirksomheten 2 Personalkostnader 3 Andre kostnader 4 Dr iftsmidler 5 Verdipapirer 6 Finanser 7 Utlan 8 Bankers- og interimskonti 9 Likvider 10 Diverse servicefunksjoner 11 Valuta 12 Fonds 13 Eiendomsmegling 14 Regnskap, budsjetc 15 EDB-omradet C-1 Revisjonen(ev. andre kontrollorganer) D-1 Konklusjoner. Etterarbejd. Rapporter. Arkivering. For de forskje1lige forhold sam omfattes av vart arbeidsprogram tar vi ved besoket kontakt med ansvar1ige personer i banken(ansvarlige for de enkelte rutiner Eller omrader). OvenEor nevnte arbeidsprogram er for omfactende til at vi kan gjenncmga det i helhet ved hvert bes0k og det blir dereor ved det enke1te bes0k som oetest kun aktue1t a se pa prioriterte omrader. Som hovedpunkter ved et vanlig rutinebes0k ser vi bl.a. nesten all tid pa f0lgende forhold: a) Gjennomgar og vurderer bankens ut1an/engasjasjementer sammen med ansvarlige personer i banken. Vi ser her under ogsa pa bank ens organisering av utlansvirksomheten og bankens oppfolging av st~rre engasjementer, mislighold og overtrekk. Hvordan og om bankene innhenter regnskap etc. og foretar analyser av sine bedriftskunder. vi gjennomgar disse analysene og fors0ker a komme med rad, papeke eventuelle svakheter etc. (jfr. arbeidsprogrammet omrade B 7). Herved kan vi v~re med a avdekke svake engasjementer 09 forhindre storre tap. b) Gjennomgar 09 vurderer utviklingen i bankens okonomi og soliditet sarr,men med ansvarlige personer i banken. Vi ser under dette arbeid pa forskjellige forhold som kostnader, inntjening, soliditet, vekst etc. vi skaffer oss under dette arbeid bl.a. grunnlag for vurdering av bankens 0konomistyring. (jfr. arbeidsprogrammet omrade A2,B14) c) Gjennomgar 09 vurderer bankens rutiner og interne kontroll pa vill.tige omra,der. Herunder ser vi ogsa pa det arbeid som eventuelt utf~res av intern revisor. Det er derfor viktig med et godt samarbeid med de interne revisorene.(jfr. 6rbeidsprogrammet - del B - Granskingsomrader, hvor vi velger ut omrader for narmere oppfplging). d) Kontakt med lovbefa1t revisor for a se pa det revisjonsarbeid som er utf0rt og fa h re ansvarlig revisors erfaring med banken, herunder om eventuelle forhold som revisor har tatt opp med eller papekt over for banken. I forbindelse med vare bes k er dereor samarbeid med lovbefalt revlsor av st rste viktighet.{jfr. arbeidsprogrammet del C-l) e) Gjennomgar bankens regnskaper for a vurdere kvaliteten pa bankrevisoren 17
regnsl,apsf0ringen. Vi vii her bloa. se om darlige regnskap er pyntet pa.{jfr. arbeidsprogrammet B14 og 15) Avhengig av hva vi pa forhand velger a se pa og hva sam "dukker opp" under bespket, sa vii et rutinebes0k kunne yare fra 3-5 dager. Det er da f\zlr bes ket foretatt et grundig forarbeid{jfr. arbeidsprogrammet del A) og det blir aktuelt a f.01ge opp banken i et etterarbeid med bl.a. rapportskriving til banken og til revisor.(jfr. arbeidsprogrammet del D). Avhengig av resultatet av bes.0ket kan det bli aktuelt med videre oppfplging og eventuelt snarlig nytt bes0k i banken. Ved siden av rutinebes kene foretas det ofte "spesialbeslzlk" hvor det er mer spesielle forhold 'led banken sam f01ges opp. I disse tileelle er det aktuelt a utarbeide mer "skreddersydde" arbeidsprogram tilpasset det enkelte bes k. Diverse. Det skjer stadig en 10pende utvikling ved kontoret med faglig oppdatering og videreutvikling av arbeidsopplegg tilpasset den aktueiie situasjon for sparebankene. Slik situasjonen er i dag med store tap i bankene blir det aktuelt a rette arbeidet mer direkte inn mot dette for eventuelt a begrense tapene mest mulig. Vi gj0r ogs.3. stadig mer bruk av EDE Eor a Kunne innhente og bear be ide aile relevante data sa effektivt og sikkert som mulig. Administrasjon og forvaltning av sikringfondets midler ledes av iorretningse0reren for sikringsfondet sam er administrerende direkt r i Sparebankforeningen. paragraf 6 i vedtektene har bestemmelser vedrprende anbringeise av fondets midier. Den del av sikringsfondets midler som ikke er bundet som st~tteinnskudd i el1er Ian til medlemsbanker skal for minst 80% anbringes 1 norske ihendehaverobligasjoner. dog minst for 50~ i norske stats- Eller statsgaranterte obligasjoner. Det resterende skal anbringes Etter styrets bestemmelse i samsvar med styreinstruksen. Revisjonskontoret har ansvaret for sikringfondets regnskapsforsei med bl.a. kontroll og oppf0igning av transaksjoner og fondsforvaltning. Revlsjonskontoret foretar OgSd innkreving og kontroll av avgift til fondet. Konklusjon. I fremtiden sam na vii hovedoppgaven for revisjonskontoret v~re a bidra til at bankene far minst mulig tap av en silk st0rrelse at det belaster sikringsfondet. Dette fors~ker vi fortrinnsvls a oppna ved den lopende oppfplgingen av bankene. Hvis tap sam belaster sikringsfondet forst oppstar bllr oppgaven a se etter at oppf01glngen av disse skjer pa en tilfredsstillende mate. Sku lie eventuelle lesere ha sp0rsmal eller kommentarer vedr~rende det sam omhandles i denne artikkel, sa kan en ta kontakt med revisjonskontoret pro brev eller teleeon. Sparebankenes Sikringsfond Revisjonskontoret PB 6805, St.Olavs plass 0130 Oslo I till 02) 110075 18 bankrevi,orenl