Bilag C Kravspesifikasjon Internrevisjon 201200390
1 Innledning Garanti-instituttet for eksportkreditt GIEK er en statlig forvaltningsbedrift underlagt Nærings- og handelsdepartementet. GIEKs formål er å fremme norsk eksport, ved å stille garantier på vegne av den norske stat. Ved utgangen av 2011 var GIEKs garantiansvar på 75 mrd. kroner. GIEK garanterer for økonomisk og politisk risiko, dekker 150 land, og er tilgjengelig for alle norske eksportører av kapaitalvarer og -tjenester. Leverandørindustrien til olje- og gassvirksomheten er sammen med maritim virksomhet, de største brukerne av GIEKs garantier. For mer informasjon, se vår nettside www.giek.no 1.1 Formål Hensikten med dette dokumentet er å spesifisere GIEKs behov og krav i forbindelse med anskaffelse av internrevisjonstjenester. 1.2 Om regnskapet i GIEK GIEK opererer med 8 garantiordninger hvor det føres separat regnskap for hver av disse. Fondsregnskapet følger regnskapsloven «så langt det passer». Innenfor garantiordningen er det 4 aktive ordninger (dvs. garantiordninger som fortsatt mottar premieinntekter og hvor det fortsatt utstedes poliser) samt 4 ordninger under avvikling (fordringer hvor man jobber med inndrivelse eller som har poliser som fortsatt er aktive hvor GIEK har forpliktelser). Utviklingen de senere år har vært formidabel, illustrert ved denne graf som viser sum av premie- og gebyrinntekter. Estimert har GIEK inntekter på 1,25 mrd i 2012: Per 3.kvartal 2012 hadde GIEK et utestående ansvar, maksimal eksponering innenfor Alminnelig garantiordning på 77,6 mrd. Dette representerer 433 poliser i antall, hvilket indikerer flere store transaksjoner. Side 2 201200390
2 Beskrivelse av oppdraget 2.1 Internrevisjonsarbeidet hos kunden Styret er ansvarlig for Kundens interne kontroll, herunder adekvat omfang av internrevisjonsdekningen. Rådgiver skal ivareta rollen som styrets internrevisor. Revisjonsdekningen skal fastsettes i samarbeid med styret og bygge på en omforent risiko/vesentlighetsvurdering. Det skal årlig, i samarbeid med styret, utarbeides en revisjonsplan for løpende internrevisjonsoppgaver. Den årlige revisjonsplanen redegjør for hvilke revisjonsoppgaver som skal utføres i løpet av året. Årlig revisjonsplan med angivelse av omfang godkjennes av styret. Internrevisjonsoppgavene, både de som er avtalt i den årlige planen og tilleggsoppdrag, skal utføres i henhold til: Gjeldende lover og forskrifter Institute of Internal Auditors (ILA) s standarder og retningslinjer Eventuelle pålegg fra Kredittilsynet Kundens instruks for internrevisjon Rådgiver vil få innsynsrett i de av Kundens anliggender som er nødvendig for utførelsen av den til enhver tid godkjente revisjonsplanen. Kunden vil stille arbeidsplasser til disposisjon til Rådgivers personell. 2.2 Internrevisjonsplan Det skal for hvert kalenderår utarbeides en revisjonsplan for alle løpende internrevisjonsoppgaver for året. Planen redegjør for hvilke revisjonsoppgaver som skal utføres i løpet av året. Årlig revisjonsplan med angivelse av omfang godkjennes av styret. Internrevisjonsplanen skal minimum inneholde: Oversikt over revisjonsområder/revisjoner Tidsplan for de forskjellige revisjonene Kort beskrivelse av bakgrunnen for revisjonen, hvordan revisjonene skal gjennomføres og målsetningen med revisjonen Angivelse av hvilke revisorer som er tenkt til å gjennomføre revisjonene Estimat over antall timer for hver revisjon Etter at revisjonsplanen er godkjent av styret har Rådgiver plikt til å gjennomføre revisjonen i henhold til planen. Områdene som er beskrevet under vil i stor grad utføres årlig og inngå i den årlige revisjonsplanen. Noen av områdene kan bortfalle enkelte år, mens andre kan komme til. Side 3 201200390
Revisjonsområder 1 Generell revisjon Vurdering av Kundens organisasjon, rutiner, arbeidsverktøy, IT-systemer og arbeidsform med hensyn til kvalitet, effektivitet, sikkerhet og hensiktsmessighet. Det skal også gis anbefalinger om forbedringer. 2 Finansiell revisjon Foreta en finansiell revisjon av Kundens halvårs- og årsregnskaper med hensyn til riktighet og fullstendighet. Dette skal presenteres halvårlig på en hensiktsmessig måte. 3 Ledelsesrådgivning Gi råd til GIEKs ledelse fortløpende om forbedringsmuligheter av drift og faglig arbeid. 4 Revisjon av virksomhetsstyring Sikre at virksomhetsstyring, risikostyring og intern kontroll hos Kunden ivaretar alle forhold i tildelingsbrevet, økonomireglementet, vedtekter og delegerte fullmakter. 5 Revisjon av nye engasjement Revidere om det er samsvar mellom polise og den risiko Kunden eksponeres for. 6 Oppfølging av mislighold og tap Oppfølging av mislighold og tap for å ivareta krav om tapsreduserende tiltak. 7 Forberedelse årsoppgjør Diskusjon om prinsipper, noter, mv. 2.3 Rapportering Resultatet fra de enkelte revisjonsprosjektene rapporteres skriftlig til de reviderte enheter. De reviderte enheter får anledning til å påpeke eventuelle feil eller misforståelser og påføre sine kommentarer til konklusjoner og foreslåtte anbefalinger. Den endelige revisjonsrapporten, eller sammendraget av denne, distribueres til: Ledelsen for revidert enhet Kundens koordinator for internrevisjon Styret Vesentlige forhold eller saker av prinsipiell betydning tas opp løpende med styret og administrerende direktør. Dersom lederen for internrevisjonen mener at ledelsen har godtatt et nivå for gjenværende risiko som er uakseptabel for organisasjonen, skal leder for internrevisjonen diskutere saken med styret. En årlig rapport om internrevisjonens aktiviteter skal legges frem for styret innen utgangen av februar påfølgende år. Rapporteringen skal også omfatte vesentlige Side 4 201200390
risikoeksponeringer og temaer knyttet til kontroll og styring, corporate governance og andre forhold som styret og ledelsen har behov for eller har anmodet om. Styret innkaller internrevisjonen etter behov. Årsrapporten stiles til styret og sendes via administrerende direktør. Øvrige rapporter stiles og sendes til administrerende direktør. Alle rapporter skal distribueres på papirform og elektronisk (pdf-format). Øvrige bestemmelser knyttet til rapportering skal fremgå av Kundens til enhver tid gjeldene Instruks for internrevisjon. For hver revisjon og hvert tilleggsoppdrag skal det rapporteres medgått antall timer for hver av de involverte revisorene. 2.4 Tilleggsoppdrag Rådgiver, skal etter ønske fra Kundens styre eller administrerende direktør kunne yte bistand utover de planlagte revisjonsoppgaver i henhold til godkjent årsplan. Dette kan for eksempel være bistand i relasjon til: Tilleggsoppdrag innen revisjon Kvalitetssikring av (evt. deltagelse i) interne prosjekter Intern etterforskning av eventuelle misligheter mot GIEK fra ledelsen, ansatte eller utenforstående utover planlagt revisjonsomfang. Rådgivning innen internkontroll Annet Kundens administrerende direktør, eventuelt den vedkommende delegerer dette til, er Kunden for slike oppgaver. Enhver avtale om slike tilleggsoppdrag skal godkjennes av administrerende direktør eller den som har fått delegert slik fullmakt. Rapport over utført arbeid skal sendes administrerende direktør, eventuelt vedkommende som en slik myndighet er delegert til. Slike oppgaver er utenfor de arbeidsoppgaver som følger av revisjonsplanen og må godkjennes av GIEK før arbeidet igangsettes. For hvert tilleggsoppdrag skal det også rapporteres som for revisjonsoppdragene som inngår i revisjonsplanen. I årsrapporten fra Rådgiver skal det gis en kort beskrivelse av hvilke slike tilleggsaktiviteter Rådgiver eventuelt har utført for Kunden. 3 Behov og krav 3.1 Krav til kompetanse Det skal tilbys navngitte revisorer med høyt kompetanse og erfaringsnivå som, i tillegg til revisjonskompetanse i form av god erfaring med anvendelse av relevante deler av leverandørens metoder og rammeverk, kan dokumentere høy kompetanse og minst 3-års dokumentert erfaring innenfor leveranseområdene som er angitt i tabellen under. Side 5 201200390
Det er ønskelig at det tilbys et dedikert og kompakt kjerneteam med dobbel dekning innen hvert kompetanseområde. Det kan således tilbys inntil 10 dedikerte ressurser som skal være foretrukne i oppdrag under avtalen, slik at disse kan bygge god kompetanse om GIEKs virksomhet, etablere gode relasjoner og dermed utføre effektiv revisjon. 1 Finansinstitusjoner, bank/forsikringsselskaper Tilbudte ressurser må ha kompetanse på revisjon av finansinstitusjoner og forsikringsselskaper, fortrinnsvis kredittforsikring. Erfaring som revisor eller konsulent ved bruk av eller kjennskap til Basel II/III og Solvency II. Det er nødvendig med kompetanse innenfor kompetansebasert garantivirksomhet og/eller erfaring fra andre internasjonale garantiinstitutter. 2 Offentlig sektor Tilbudte ressurser må ha kompetanse innen Økonomireglementet for Staten, budsjettarbeid i staten, generell styring av statlige virksomheter og forståelse for den rollen og de rammebetingelser som Kunden arbeider innenfor, i krysspresset mellom det forretningsorienterte, og det samfunnsmessige, mellom det næringsmessige og det politiske og mellom ambisjoner og muligheter. 3 Skatte- og avgiftsforhold Kundens har aktiviteter både innenfor og utenfor avgiftsområdet. Det kan være noe behov for kompetanse knyttet til skatte- og avgiftsrettslige forhold. 4 Corporate Governance Kunden har et høyt ambisjonsnivå når det gjelder Corporate Governance, herunder styring og kontroll. Kunden skal ta risiko i henhold til instrukser og strategier. Det krever at Kunden legger til grunn en risikofokusert adferd i sin styring av den samlede virksomheten. Kunden gjennomfører risikoanalyser for å identifisere risikoområder, både på overordnet strategisk nivå så vel som på operativt nivå. Periodiske eksterne uavhengige gjennomganger på utvalgte områder for å bekrefte status og identifisere forbedringsområder, er en del av internrevisjonen. 5 Informasjonsteknologi Kunden er stor bruker av informasjonsteknologi i sin virksomhet på alle aktivitetsområder og støttefunksjoner. Vår revisor må derfor ha kompetanse og forståelse for de IT-utfordringer som Kunden vil stå overfor på dette området. Rådgiver skal dokumentere erfaring og metode for IT-revisjoner. Side 6 201200390
3.2 Krav til gjennomføring Følgende krav stilles til gjennomføring av oppdraget: 1 Kvalitativt god og kostnadseffektiv revisjon Revisjon og evt tilleggsoppdrag skal gjennomføre i samsvar med etablerte metoder og gjennomføringsmodeller samt bestepraksis innen aktuelle leveranseområder. Det må sikres at leverandørens etablerte metoder og verktøy praktisk implementeres og anvendes i gjennomføring av revisjonsoppdrag innen de angitte leveranseområder, herunder kompetanseoverføring internt og overfor kunde, kvalitetssikring, dokumentasjon, avslutning og overlevering av oppdrag. 2 Planmessig gjennomføring Gjennomføring av en målrettet og effektiv revisjon bygget på en revisjonsplan for hvordan samspill og leveranser skal skje i løpet av året. Det vektlegges at samarbeidet med Kundens interne ressurser, foregår på en god måte. 3 Tilgjengelighet og samarbeidsmodell Kunden vil at revisjonsmedarbeidere skal være tilgjengelige for styret når relevante temaer tas opp. Styret skal ha en løpende og god dialog med øverste ansvarlige partner for oppdraget. Det forutsettes at ansvarlig partner personlig er ansvarlig og gjennomfører hoveddelen av revisjonsaktivitetene hos Kunden. For tilleggsoppdrag er det viktig at revisorer er tilgjengelig og kan ta oppdrag på relativt kort varsel. Det skal oppnevnes en fast kontaktperson overfor Kunden. Beskriv hvordan oppdragsforespørsler håndteres og oppdrag initieres - samt innen hvilke ledetider. Samarbeid og kommunikasjon mellom Kunden og Rådgiver under utførelse av oppdrag skal beskrives. 4 Råd og veiledning I tillegg til revisjonskontroll vil det også vektlegges at det kan tilbys kompetent bistand knyttet til veiledning, omstilling, utvikling mv.. Kundens medarbeidere har behov for veiledning, oppdatering og ajourhold innenfor områder som risikostyring, tapsvurderinger, økonomi, regnskap og avgift. Dette gjelder også Kundens økonomi- og regnskapsmedarbeidere som til daglig arbeider med økonomisk styring og oppfølging. Rådgiver skal kunne gi råd og veiledning slik at Kunden skal kunne utvikle seg. Dette omfatter å fange opp endringer innen de fagområder som er relevante og gi råd om og kommunisere disse til Kunden. Rådgiver skal også kunne bidra i den praktiske kompetansebyggingen og ajourholdet som gjennomføres. Side 7 201200390