Styring og intern kontroll. 8. november 2007 Eli Skrøvset Leiv L. Nergaard Margrete Guthus May-Kirsti Enger
Temaer Regelsett som omhandler intern kontroll Foreslåtte lovendringer om pliktig revisjonsutvalg Styrets ansvar for intern kontroll med regnskapsrapportering Styrets rapportering om intern kontroll Norsk anbefaling om eierstyring og selskapsledelse Risikostyring og intern kontroll, eget punkt 10 Etablering av god intern kontroll COSO-rammeverket Godt eksempel på ledelsens etablering og oppfølging - Statkraft Arbeid med intern kontroll i styre og revisjonsutvalg 2 2007 Deloitte AS
Regelsett Aksjeloven og allmennaksjeloven særlig kapittel 6 om selskapets ledelse foreslåtte endringer i kap. 7 i ASA loven vedrørende revisjonsutvalg Bokføringsloven, regnskapsloven og revisorloven alle AS/ASA er bokførings-, regnskaps- og revisjonspliktige Norsk anbefaling om eierstyring og selskapsledelse gjelder for børsnoterte foretak EU-direktiver (gjeldende fra 2008) børsnoterte foretak, kredittinstitusjoner, forsikringsvirksomheter Internkontrollforskriften Gjelder finansforetak, men kan gi veiledning 3 2007 Deloitte AS
Styrets ansvar for intern kontroll med regnskapsrapportering Aksjeloven og allmennaksjeloven: Holde seg orientert om selskapets økonomiske stilling Påse at selskapets virksomhet, regnskap og formuesforvaltning er gjenstand for betryggende kontroll. Føre tilsyn med den daglige ledelse og selskapets virksomhet for øvrig. Årsregnskap og årsberetning skal behandles i møte. Regnskapsloven: Årsregnskapet og årsberetningen skal underskrives av samtlige styremedlemmer. 4 2007 Deloitte AS
Eierstyring og selskapsledelse Norsk anbefaling utgitt av Norsk Utvalg for Eierstyring og Selskapsledelse (NUES) Oppdatert 28. november 2006 Reflekterer krav som vil komme i norsk lovgivning som følge av EU direktiv om endringer av regnskaps- og konsernregnskapsdirektivene og Revisjonsdirektivet (Implementeringsfrist for direktivene er 29. juni 2008) Anbefalingen gjelder selskaper notert på Oslo Børs Nytt punkt 10 Risikostyring og intern kontroll Revisjonsutvalg behandles i punkt 9, styrets arbeid 5 2007 Deloitte AS
Styrets ansvar for intern kontroll med regnskapsrapportering Norsk anbefaling om eierstyring og selskapsledelse Påse at selskapet har god eierstyring og selskapsledelse. Påse at selskapet har god intern kontroll og hensiktsmessige systemer for risikostyring. Bør også omfatte selskapets verdigrunnlag og etiske retningslinjer. Bør årlig gjennomgå viktigste risikoområder og den interne kontroll. Styret må selv danne seg en oppfatning av selskapets interne kontroll basert på informasjon som blir forelagt styret Vurdere bruk av styrekomiteer Bidra til grundig og uavhengig behandling av saker som gjelder finansiell rapportering. Bør bestå av styremedlemmer som er uavhengige av den daglige ledelsen. 6 2007 Deloitte AS
Styrets ansvar for intern kontroll med regnskapsrapportering (forts) EU-direktiver skal implementeres i norsk rett Forslag til nye paragrafer 7-6 til 7-8 i Allmennaksjeloven Stiller krav om revisjonskomité Unntak for små ASA Revisjonskomiteens oppgaver: Forberede styrets kvalitetssikring av finansiell rapportering overvåke interne kontroll, internrevisjon (dersom aktuelt), og systemer for risikostyring, overvåke den lovpålagte revisjonen gjennomgå og overvåke uavhengigheten til den valgte revisor eller revisjonsselskap, og særskilt ytelsen av tilleggstjenester Har ansvaret for å sikre at årsregnskapet, årsrapporten og, når denne utarbeides separat, redegjørelsen for selskapets eierstyring og selskapsledelse, er utarbeidet og publisert i samsvar med kravene i dette direktivet (78/660/EEC). Det samme gjelder for konsern etter direktiv 83/349/EEC. 7 2007 Deloitte AS
Styrets rapportering om intern kontroll med regnskapsrapportering Norsk anbefaling om eierstyring og selskapsledelse Skal gi en samlet redegjørelse for eierstyring og selskapsledelse i årsrapporten. Dersom anbefalingen ikke er fulgt, skal det forklares. Bør i årsrapporten gi en beskrivelse av hovedelementene i selskapets interne kontroll og risikostyringssystemer knyttet til dets finansielle rapportering EU-direktiver: Skal inkludere en redegjørelse for eierstyring og selskapsledelse i årsrapporten. Inkluderes som et spesifikt avsnitt i årsrapporten (styrets årsberetning) Gi en beskrivelse av hovedelementene ved selskapets/konsernets intern kontroll relatert til prosessen for utarbeidelse av årsregnskap/konsernregnskap. 8 2007 Deloitte AS
Punkt 10 Risikostyring og intern kontroll Styret skal påse at selskapet har god intern kontroll og hensiktsmessige systemer for risikostyring i forhold til omfanget og arten av selskapets virksomhet. Internkontrollen og systemene bør også omfatte selskapets verdigrunnlag og etiske retningslinjer Styret bør årlig foreta en gjennomgang av selskapets viktigste risikoområder og den interne kontroll Styret bør i årsrapporten gi en beskrivelse av hovedelementene i selskapets interne kontroll og risikostyringssystemer knyttet til dets finansielle rapportering 9 2007 Deloitte AS
COSO rammeverket For risikostyring og intern kontroll
COSO - rammeverk 1992 - Internal Control Integrated Framework Etablere en felles definisjon av internkontroll Et rammeverk for internkontroll Skisserer roller og ansvarsområder for ledelsen En standard for å vurdere et selskaps intern kontrollsystem Finnes i norsk versjon 2004 - COSO's Enterprise Risk Management Framework Etablere en konsistent risiko og kontroll bevissthet gjennom hele organisasjonen Bli til en akseptert modell for diskusjon og vurdering av organisasjonens risikostyringsprosess 11
Definisjon internkontroll - COSO Internkontroll er i vid forstand en prosess som er iverksatt og drevet av virksomhetens styre, daglige ledelse og øvrige ansatte, og som har til hensikt å gi rimelige sikkerhet for at følgende typer fastlagte mål nås: Målrettet og kostnadseffektiv drift Pålitelig regnskapsrapportering Overholdelse av lover og regler 12
COSO-modellen Overvåking Drift Overvåking Kontrollaktiviteter Regnskapsrapportering Overholdelse av lover og regler Informasjon og Risikovurdering kommunikasjon Informasjon og kommunikasjon Kontrollaktiviteter Kontrollmiljø Risikovurdering Kontrollmiljø Kilde: COSO-rapporten 13 2007 Deloitte AS
Kontrollmiljø - faktorer Styre Kompetanse Tildeling av ansvar og autoritet Ledelsesfilosofi Organisasjonsstruktur Kontrollmiljø HR retningslinjer og praksis Integritet og etiske verdier 14
Sannsynlighet Risiko av betydning for finansiell rapportering Eksempel Høy Skatt Finansielle derivater Verdivurdering varelager Kundekontrakter Pensjoner Oppkjøp Middels Tap på kundefordringer Miljøforpliktelser Bruk av regneark Nedskrivning Bonus Lav 15 Lav Middels Høy Konsekvens
Kontrollaktiviteter Sammenheng med risikovurderingen Etablere kontrollaktiviteter som dekker risikoene identifisert i risikovurderingen Valg av kontrollaktiviteter Kontrollaktiviteter velges basert på kostnad i forhold hvor godt de dekker risikoen Automatiserte kontroller er normalt mer kostnadseffektive Trend: automatiserte kontroller, arbeidsdeling innebygd i rollefordeling i itsystemene, automatisk varsling Behov for skriftlighet bør vurderes 16 2007 Deloitte AS
Informasjon og kommunikasjon Generelle kontroller rundt IS/IT systemer Endringshåndtering Informasjonssikkerhet og tilgangskontroller Driftsrelaterte kontroller Eks: batch-overføringer mellom systemer Manualer Regnskapsmanual med kontospesifikasjon og regnskapsprinsipper Rapporteringsmanual Krav til intern kontroll Oppdateringer og nyheter Nye regnskapsstandarder Markedsinformasjon og ledelsesinformasjon som har betydning for finansiell rapportering Intern kommunikasjon Ekstern kommunikasjon 17 2007 Deloitte AS
Overvåking Skal overvåke om etablert intern kontroll har virket i perioden Ledelsen er opptatt av, og søker informasjon om intern kontrollen Egenerklæringer Forholder seg aktiv til revisors rapportering av svakheter Gjennomføre uavhengig gjennomgang av kontroll-aktiviteter Intern revisjon Konsernregnskap har review 18 2007 Deloitte AS
Kontaktinformasjon May-Kirsti Enger Partner Deloitte AS Margrete Guthus Partner Deloitte AS Direct: +47 23 27 92 26 Main: +47 23 27 90 00 Fax: +47 23 27 90 01 Mobile: +47 90 12 03 02 menger@deloitte.no www.deloitte.no Direct: +47 23 27 92 94 Main: +47 23 27 90 00 Fax: +47 23 27 90 01 Mobile: +47 90 51 25 86 mguthus@deloitte.no www.deloitte.no 19 2007 Deloitte AS
Deloitte AS AS Member of Deloitte Touche Tohmatsu