INTERNREVISOREN Nr. 2 VINTER 2005 13. årgang Foreningens nye tidsalder NIRFs nettverk Helhetlig riskostyring på norsk
Styrets leder har ordet Kjære lesere Et begivenhetsrikt halvår har vi bak oss. For syv måneder siden flyttet vi inn Munkedamsveien 3B og innledet en ny epoke for vårt samarbeide med NKRF, Norges Kommunerevisorforbund. Svein Stabekk, vår da nyansatte foreningssekretær, startet da med nærmest blanke ark, men med en stor arbeidsmengde foran seg. Styret i NIRF/S har i lang tid hatt som en høy prioritert aktivitet å ansette en generalsekretær. For å få dette til måtte tre forhold klaffe. Økonomien måtte være på plass, vi var avhengige av gunstige markedsforhold i internrevisjonsbransjen og vi var avhengige av å finne den riktige personen. Disse tre forhold slo til i første halvår i år. Forhandlinger og styrebehandlingen ble avsluttet i løpet av august, og 1. september var også vår generalsekretær Frank Alvern på plass. September var også tiden for å styrke internasjonale bånd. En delegasjon på 20 revisorer fra IIA China kom til Norge på besøk. De fikk sine ønsker innfridd ved presentasjoner både fra NIRF og Nordea og sa seg meget godt fornøyd med det de mottok. Vi skal nok ikke overdrive den faglige betydningen denne typen utveksling gir oss her i Norge, og da tenker jeg først og fremst på grunn av språklige barrierer, men det er et ledd i å være en del av en internasjonal organisasjon og det er helt i tråd med vår grunntanke om fremgang ved å dele. Gjennom hele høsten har det vært nedlagt mye godt arbeid i komiteene og nettverkene. 25. oktober var en spesielt gledelig dag da det var kick off for det nye nettverket med arbeidstittelen "Nettverk for interne uregelmessigheter og misligheter. gi programkomiteen innspill til planene fremover. Disse var mange og danner et svært nyttig grunnlag for komiteens planlegging. En annen stor oppgave som er forløst nå i høst er oversettelsen av "COSO Enterprise Risk Management Integrated Framework" til "Helhetlig risikostyring et integrert rammeverk". Utgivelsen er en kjempeprestasjon av vår forening. Måtte den bli å finne under mange juletrær i år og årene fremover! I disse dager feirer Den norske Revisorforening sitt 75 års jubileum. DnR har over mange år bistått oss med kurs-, konferanse- og sekretariatstjenester. Vi har deltatt i feiringen og takket for godt samarbeide. Gaven fra oss i den anledning var selvfølgelig en utgave av vår norske COSO pent pakket inn med tykk gullsløyfe. Med sine 3600 medlemmer er ikke DnR en forening vi kan konkurrere med på størrelse ennå. Kan vi konkurrere på alder? Ja og nei. NIRF ble etablert i Norge i 1951 men våre røtter spores tilbake helt til 1921 og etableringen av Bankrevisorforeningen. Dette borger for en 85-årsmarkering av NIRF og spesielt i finansnettverket neste år. Julen er tiden for å takke for godt samarbeid. Jeg vil derfor takke alle medlemmer for at dere støtter opp om foreningen og de tillitsvalgte for den store innsats dere viser. En spesiell takk sender jeg til vår søsterforening NKRF for den mottakelse og bistand vi har fått i året som har gått. Vi ser frem til vårt videre samarbeid. I november gjennomførte vi vårt årvisse tillitsvalgtseminar. Forsamlingen møttes denne gang til en arbeidsøkt etterfulgt av en enkel kantinemiddag. Primært fokuserte vi denne gang på å Jeg ønsker dere alle en riktig god jul og et godt nytt år. Hilsen Reidar 2 INTERNREVISOREN 2 05
NORGES INTERNE REVISORERS FORENING President Reidar Døli DnBNOR J: 22 48 29 32 - M: 922 23973 reidar.doli@dnbnor.no Informasjons- og kommunikasjonskomiteen Reidar Døli leder DnBNOR J: 22 48 29 32 - M: 922 23973 reidar.doli@dnbnor.no Konferansekomiteen Even Nilsen leder Fagforbundet J: 23 06 40 00/23 06 46 28 even.nilsen@fagforbundet.no Programkomiteen Mari-Anne Teigum leder Internal Audit Activity, Nordea Bank Norge ASA J: 22 48 43 36 mari-anne.teigum@nordea.com Redaksjonskomiteen Alf Eldar Bergset leder KPMG AS J: 62 59 87 67 - M: 991 56616 alf.bergset@kpmg.no Høringskomiteen Einar Døssland leder Edbo risk management J: 90 98 27 56 einar@edbo.no Professional Practice Committee PPC Espen Uvholt leder Norsk Hydro J: 22 53 20 23 espen.uvholt@hydro.com Nominasjonskomiteen i NIRF og NIRFS Einar Døssland leder Edbo risk management J: 90 98 27 56 einar@edbo.no Foreningssekretariat Frank Alvern, generalsekretær M: 92 81 17 74 Svein Stabekk, foreningssekretær M: 93 23 79 12 Fax: 23 23 97 01 post@nirf.org Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika 0115 Oslo Besøksadresse: Munkedamsveien 3B, 4. etg. Internrevisoren: Organ for Norges Interne Revisorers Forening, NIRF Antall utgivelser pr år: 2 Opplag: 800 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: Sommeren 2006 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.v. Årsabonnement: Kr 150,- Annonsepriser: Helside: kr 2500,- eks. mva 1/2 side: kr 1500,- eks. mva 1/4 side: kr 750 eks. mva Grafisk produksjon: Pr.info DM Hamar Forsidefoto: Scanpix Creative Innhold 2 Styrets leder har ordet 4 Redaktørens spalte 6 Internrevision och internrevision 8 Rene offentlige anskaffelser eller korrupsjon? 12 Raising the Bar of Internal Audit 12 Internrevisjonskonferansen 2006 14 Helhetlig risikostyring på norsk og internrevisjonens rolle 16 Enterprise Risk Management på norsk 20 Foreningens nye tidsalder noen refleksjoner fra generalsekretæren 23 Medlemsnytt 24 NIRF inngår avtale med IIA 26 Nettverk for statlig sektor er på skinnene... 28 Nettverk for statlig sektor: Vellykket første medlemsmøte 30 Canada innfører krav til internrevisjon i statlig virksomhet 32 Intern kontroll og informsjonsteknologi nye risikoer for internrevisor 33 IT-revisjon Nye oppgaver for internrevisor 35 NIRF Nettverket for finanssektoren 36 Høringskommentarer 38 Bli med på nytt nettverk 39 På tampen INTERNREVISOREN 2 05 3
Redaktørens spalte En lang produksjonsprosess med mange involverte har resultert i en ny utgave av Internrevisoren. Før deadline settes er det alltid hektisk aktivitet med korrekturlesing, telefoner og mailer for å få hentet inn de siste artiklene. For en tid tilbake ble det besluttet at antall utgivelser av Internrevisoren pr år skulle reduseres fra fire til to, men at omfanget skulle øke. Med denne utgavens 40 sider innfrir vi løftet om utvidet omfang! I utgangspunktet hadde redaksjonskomiteen planlagt en temautgave om risikostyring med hovedvekt på risikostyring i statlig sektor. Imidlertid fant vi det hensiktsmessig å utsette dette temaet til neste utgave fordi dette vil sammenfalle med temaet på NIRFs årlige internrevisjonskonferanse i Bergen, samt at statlige virksomheter har fått veiledningen om Risikostyring i staten, Håndtering av risiko i mål- og resultatstyringen i hende. Vi har derfor i denne utgaven av Internrevisoren valgt et internt fokus ved å berøre noen av NIRFs aktiviteter. Nettverksetableringen er et av flere synlige tegn på at aktiviteten i foreningen øker. Mange bidrag har vi derfor denne gangen hentet fra nettverkene. NIRFs nettverksetableringer er gitt betydelig spalteplass i denne utgaven hvor det enkelte nettverk får presentere seg selv og spennende faglige temaer. Vi har også gleden av å presentere et nytt og sektorovergripende nettverk som er under etablering. Dette nettverket vil fokusere på interne uregelmessigheter og misligheter. Saker vedrørende misligheter er et tema som ofte dukker opp i media. Dette temaet er relevant for oss som internrevisorer og som IIAs standarder omtaler eksplisitt. I forhold til dette temaet har NIRF i samarbeide med Transparency International Norge, arrangert et seminar hvor temaet var relatert til korrupsjon ved offentlige anskaffelser. Nærmere informasjon om seminaret finner du i en artikkel i dette bladet. En annen betydelig NIRF aktivitet er oversettelser av sentrale faglige tungvektere som COSO ERM, Internrevisjonens rolle i Helhetlig risikostyring og GTAG. Oversettelse er et meget krevende arbeid og hvordan dette foregår og hvilke problemstillinger oversetterne står overfor kan du lese mer om. Imidlertid er det mest levende bevis på NIRFs aktivitetsøkning ansettelse av foreningssekretær og generalsekretær. Du kan lese mer om generalsekretærens spennende refleksjoner om Foreningens nye tidsalder! For øvrig har vi denne gangen hentet en meget interessant artikkel fra tidsskriftet til vår svenske søsterorganisasjon i Sverige. Det er et intervju med styrelsesordførande i blant annet Nordea og Uppsala universitet, Hans Dalborg. I dette intervjuet kan du blant annet lese om hva Dalborg mener er kritiske suksessfaktorer for en internrevisjon. Da gjenstår det bare å ønske Internrevisorens lesere en riktig god jul og et godt nytt år! Redaksjonskomiteen Alf Eldar Bergset - leder KPMG AS J: 62 59 87 67 M: 991 56616 alf.bergset@kpmg.no Karl-Helge S. Storhaug Sjøfartsdirektoratet J: 22 45 45 63 M: 95 25 35 46 karl-helge.storhaug@sjofartsdir.no Jens Arve Hansen Norsk Hydro J: 22 53 90 12 jens.arve.hansen@hydro.com Martin W. Stevens The Mobile Media Company J: 24 13 24 40 martin.stevens@mobilemedia.com Natalie Duchesne Yara International ASA J: 22 53 28 79 nathalie.duchesne@yara.com Sveinung Svanberg Universitetet i Oslo J: 22 85 62 89 s.k.svanberg@admin.uio.no Harald Bergh SEB, Oslo Branch J: 22 82 67 62 harald.bergh@seb.se Lars Espen Tøsse Universitetet i Oslo J: 22 85 43 39 l.e.tosse@admin.uio.no Hans Conrad Hansen - styrets representant Riksrevisjonen J: 22 24 14 07 M: 911 52 882 hans.conrad.hansen@riksrevisjonen.no 21.-23. mai Sett av datoen allerede nå! 4 INTERNREVISOREN 2 05
KPMGs Strategic Performance Review and Internal Audit (K SPRint) hjelper deg til en strukturert tilnærming til de tre kritiske suksessfaktorene for intern revisjon: posisjonen, menneskene og prosessene. Stein-Ragnar Noreng, partner, ansvarlig for KPMGs Risk Advisory Services e-mail: stein.noreng@kpmg.no Alf Eldar Bergset, manager, e-mail: alf.bergset@kpmg.no Tlf.: 62 59 87 50. Fax: 62 59 87 60 INTERNREVISOREN 2 05 5
Internrevision i Sverige Internrevision och internrevision Text och bild: Inga Astorsdotter Nordea kan inte fungera utan internrevision. Uppsala universitets internrevision måste vara större och ha mer auktoritet om den ska vara ett effektivt verktyg för styrelsen. Detta enligt Hans Dalborg, styrelseordförande i bl.a. Nordea och Uppsala universitet i en intervju om internrevisionen, banken och universitetet. Internrevision arbetar efter samma etiska kod och samma normer oavsett om organisationen är en myndighet eller ett företag, en bank eller en tillverkningsindustri. Men när kollegor träffas vid IRF:s olika arrangemang förvånas man ofta över hur olika arbetsvillkoren är. Skillnaden beror t.ex. på vilken typ av verksamhet som bedrivs och vilka krav som ställs på både verksamheten och internrevisionen, via t.ex. förordningar. Olikheterna beror givetvis också på internrevisionens ställning i organisationen och dess relation till styrelse, revisionskommitté och VD, GD eller motsvarande. En tydlig skillnad är antalet internrevisorer inom olika organisationer. Själv är jag internrevisor vid Uppsala universitet och försöker arbeta enligt god internrevisorssed, tillsammans med min ende arbetskamrat, kollega och tillika chef Thomas Davidsson. Att jobba ensam eller med ett fåtal är vanligt kollegor, särskilt inom offentlig sektor. Skillnad banken och universitet Skillnaden mellan internrevision och internrevision blev ännu tydligare för mig när Hans Dalborg utsågs till universitetets styrelseordförande. Hans Dalborg var under många år VD för Nordbanken och Nordea. Idag är han styrelseordförande för Nordea. Därigenom har han givetvis en gedigen erfarenhet av internrevision, inte bara i Sverige utan även i Norge, Danmark och Finland. Inom koncernen finns sammantaget hisnande omkring hundra (100!) internrevisorer. Riskbilden är givetvis en förklaring. Sannolikheten att ett universitet råkar ut för de risker som en bank kan göra är låg t.ex. när det gäller valutahandel eller krediter. och kvalitetsförbättringar. För att inte tala om vilken tid man kan avsätta på riskanalyser. Tanken svindlar! Även om jag personligen tror att universitets verksamhet är mycket intressantare och mer varierat än en bank, är det nära till hands att som internrevisor känna sig ganska amatörmässig vid en jämförelse. Men trots en spontan vilja att gömma sig så tar nyfikenheten överhand. Hans Dalborg blir därför oemotståndlig som val av intervjuobjekt när jag nu blivit medlem i redaktionskommittén. Det finns likheter i arbetsvillkoren för internrevisorer inom statliga myndigheter och finanssektorn. En likhet är förordningskravet på internrevision. Vid Uppsala universitet, liksom de flesta andra myndigheter med internrevision, skapades funktionen för ca 10 år sedan i och med en förordning om internrevision i statliga myndigheter. Kravet på internrevision inom finanssektorn sträcker sig minst 50 år tillbaka. Hans Dalborg berättar att oavsett kravet på Nordea att ha internrevision - reglerna varierar något i de olika nordiska länderna - så vill banken ha internrevision av ren självbevarelsedrift. Ordning och reda på Nordea När jag kom till dåvarande Nordbanken, mitt i finanskrisen, var det väldigt viktigt att stärka internrevisionens roll. Det viktigaste var att se till att internrevisionen säkerställde att det fanns en intern kontroll som fungerade i den löpande verksamheten. I den meningen kan man säga att en av internrevisionens viktigaste uppgifter är att se till att den löpande rörelsen har sina egna kontrollmekanismer. Detta gäller inom ekonomiavdelningen, men även på operationella avdelningar. Genom att använda internrevisionsrapporterna som ett styrinstrument medverkade Hans Dalborg till att höja statusen på arbetet att ha god ordning inom Nordbanken. När en kontorschef eller enhetschef skulle bedömas var det noga att ta fram huruvida vederbörande hade några anmärkningar i internrevisionen Hans Dalborg om förutsättningar för effektiv internrevision. Internrevisionen måste Styrelseordförande Hans Dalborg. Verka i en kultur som drar nytta av internrevisionen. Ha hög status inom organisationen och kunna agera oberoende av ledningen. Fokusera på de stora relevanta frågorna och inte söka under lampan. Följa upp varje rapport. Men ändå, hundra mot två. Vilken möjlighet till specialisering, till arbete med uppföljning 6 INTERNREVISOREN 2 05
Internrevision i Sverige eller om han eller hon hade goda omdömen i dessa sammanhang. Vi hade rankinglistor på olika enheter. Det här gjorde att det blev populärt att ha god ordning. Och det medverkade naturligtvis till att ändra på kulturen i en mera ordningsorienterad riktning. Hans Dalborgs syn på internrevision har inte förändrats sedan han blev styrelseordförande, möjligen förstärkts. Jag har en månatlig kontakt med chefen för internrevisionen där han berättar för mig om sina iakttagelser. Själva behandlingen sker dock i revisionskommittén där jag inte ingår. Men jag är väl informerad om vilka frågeställningar som är av betydelse. Antal anställda 2004 28 929 5 214 Omsättning 2004 (mnkr) 51 480 4 015 Balansomslutning 2004 (mnkr) 2 484 000 2 120 Antal internrevisorer 100 2 Internrevision sedan? 50 år minst 10 år Krav på internrevision? Ja, via Ja, via finansinspektionen förordning Kultur? Effektivitet och Kreativitet och ordning nyskapande Tidigare var internrevisionen mer involverad i revisionen av bokslut, alltså i bokslutsarbetet och den finansiella rapporteringen. Den tidigare väldigt intensiva revisionen av enskilda kontor sker numera stickprovsmässigt. Fokus har flyttats mot områden som kan åstadkomma skada på ett annat sätt än ett enskilt kontor. Riskbilden är ständigt under luppen, som t.ex. marknadsrisker, kreditrisker och inte minst operativa risker. Nordeas riskanalysverksamhet är omfattande och det är internrevisionens uppgift att se till att vi har väl fungerande instrument för att följa dessa risker. Finansinspektionens roll Nordea försöker homogenisera internrevisionen i de fyra nordiska länder, men det har varit stora skillnader. Denna skillnad beror inte bara på de enskilda bankerna utan även på vilket sätt de olika finansinspektionerna valt att arbeta med internrevision. En skillnad mellan myndigheter och finanssektorn är finansinspektionens roll. Samtliga internrevisionsrapporter vid Nordea är i princip tillgängliga för finansinspektionen. En internrevisionsrapport som visar på ett allvarligt fel kan gå raka vägen från internrevisionen till finansinspektionen. Internrevisionen på Nordea har alltså en mycket självständig ställning. Det är inte roligt om det skulle ske men finansinspektionen har alltid rätt att vara informerad. Därför behöver rapporten inte nödvändigtvis gå via styrelsen eller revisionskommittén och dessa kan inte heller hindra att en rapport lämnas till finansinspektionen. Nyttan med internrevision Angående nyttan av internrevision ser Hans Dalborg en klar skillnad mellan banken och universitetet. Det är svårt att föreställa sig Nordea utan internrevisionen. Men även nyttan av universitetets internrevision är avsevärt större än kostnaden. Att Hans Dalborg anser att internrevisionen är ett effektivt verktyg för Nordeas styrelse är utom allt tvivel. Där är skillnaden med universitet tydlig. Universitetets internrevision är inte ett effektivt verktyg i samma utsträckning som bankens. För att vara effektivt måste internrevisionen ha tillräcklig auktoritet och tillräcklig storlek för att betraktas som en naturlig del av verksamheten, säger Hans Dalborg. Men den ska inte vara så stor att den betraktas som byråkratisk och kostsam. Det vore att kasta pengar i sjön. Ett universitet har naturligtvis inte samma finansiella risker som en bank, men däremot operationella risker. Internrevision utan förordning I Norge avskaffades för några år sedan kravet på internrevisionen vid bl.a. universiteten och det ledde till att internrevisionsenheter lades ner. På vissa håll finns den dock kvar eftersom myndigheten ser nyttan med verksamheten. Ett lagstöd är förvisso en trygghet för internrevisionen, men samtidigt kan man förmoda att internrevisionens position och inflytande stärks om styrelsen väljer att ha internrevisionen för dess egen skull. Hans Dalborg förmodar att universitetet skulle behålla internrevisionen om man inte var tvungen att ha det. Men jag utgår från att internrevisionen behålls. Internrevisionen måste vara känd, accepterad, inarbetad och dessutom demonstrera goda resultat. Jag vet inte hur ni uppfattas idag. Som någon sorts poliser? Det hör inte till vanligheten, men jag måste medge att visst har det hänt. Begreppet STASI har också passerat. Fullständigt befängt! säger Hans Dalborg. Ett sånt synsätt skulle inte ha någon plats i en bank, åtminstone inte här. Aldrig. Mellanchefer och högre chefer måste ta till sig att revisionskontroll är till för att skydda dem från att det ska bli ännu värre. Cheferna har ju ett ansvar för att styra verksamheten och har man då ett informationsunderlag av betydelse så är det obegåvat att tacka nej till det. Det är uppenbart internrevisorernas situation i universitetsvärlden och bankvärlden skiljer sig åt inte bara när det gäller arbetsvillkor utan i högsta grad de olika kulturer vi verkar i. Ska man kallas för något med koppling till polisväsendet så känns CIA, som alla internrevisorer vet, betydligt bättre än andra öknamn även om man ännu inte är certifierad. Så vi jobbar på det. Liksom på att ständigt bli bättre, effektivare och mer respekterade. Denne artikkelen er tidligere publisert i medlemsbladet til vår svenske søsterforening. INTERNREVISOREN 2 05 7
Offentlige anskaffelser Rene offentlige anskaffelser eller korrupsjon? Elisabeth Aaserud er ansatt i KPMGs rådgivningsavdeling og tilhører internrevisjonsenheten Internal Audit Services (IAS). Hun jobber primært med tema relatert til etikk, miljø og samfunnsansvar. Tidligere har hun jobbet med samfunnsansvar for det britiske oljeselskapet Cairn Energy i India og for Norsk Hydro. Av Elisabeth Aaserud, KPMG 2. november 2005 ble det avholdt et seminar i regi av Transparency International (TI) og Norges Interne Revisorers Forening (NIRF). TI er en Berlinbasert, nonprofit organisasjon som ble stiftet i 1993 hvis hovedformål er å motarbeide korrupsjon nasjonalt og internasjonalt. Fokus for arrangementet var korrupsjon i offentlig sektor. De ulike bidragsyterne belyste hvor og når korrupsjon oppstår, hvordan man kan motvirke dette og hva man kan gjøre for å begrense korrupsjon. Flere trakk frem faren for at korrupsjonen oppstår i skillelinjen mellom offentlig og privat sektor, og alle understreket behovet for åpenhet, dialog og tilrettelegging av offentlig lovverk. Hva ligger i begrepet korrupsjon? På utenriksdepartementets hjemmesider defineres korrupsjon som misbruk av stilling for privat vinning. Den reneste formen for korrupsjon er å gi eller motta bestikkelser. Den senere tids avsløringer har imidlertid vist at problemet er langt mer sammensatt enn som så og grensen mellom korrupsjon og vennskapsforhold kan være vanskelig å skille, da korrupsjon også kan dreie seg om å bygge tette nettverk hvor det utveksles vennetjenester. På denne måten kan det oppstå avhengighetsforhold og takknemmelighetsgjeld som man kan dra nytte av på et senere tidspunkt. Denne formen for korrupsjon finnes i både offentlig og privat sektor og trekkes frem av flere av foredragsholderne. Arrangementet ble innledet av Arvid Halvorsen, styremedlem i TI og direktør for Samfunnsansvar i Norsk Hydro. Han trakk frem den senere tids avsløringer i norsk kommunesektor og i politiadministrasjon. Hvert år gjennomfører TI en verdensomspennende undersøkelse som rangerer graden av korrupsjon i ulike land. Selv om Norge kommer godt ut i internasjonal sammenheng ligger vi på jumboplass i Norden. Årlig brukes ca 200 mrd kroner på offentlige anskaffelser i Norge. Dette er et betydelig beløp og misbruk av disse midlene berører oss alle. Den nye regjeringens forslag om å heve anbudsrammen i offentlig sektor vil ikke akkurat bidra til å hjelpe Norge høyere opp på denne listen, snarere tvert imot. Halvorsen fikk støtte av Hans Conrad Hansen, ekspedisjonssjef i Riksrevisjonen. Han stilte også spørsmål om hvorfor Norge kom så dårlig ut i TIs undersøkelse. Et av problemene i Norge er at ansatte i offentlig sektor ofte får jobb hos tidligere leverandører. Dette bidrar til at det utvikles et nettverket av vennetjenester, avhengighetsforhold og takknemmelighetsgjeld. Videre spurte Hans Conrad Hansen hvem som er verst av store eller små virksomheter. I henhold til Riksrevisjonens rapportering er det de store virksomhetene som kommer dårligst ut selv om det er nettopp disse som burde være best på arbeidsdeling. Dessuten er det mer attraktivt for leverandører å kontakte større organisasjoner hvor de kan få hyppigere og større leverandøravtaler. Enkelte er villige til å strekke seg langt for å få disse avtalene. Selv om regelverket har foreligget lenge, er det først i de senere år at det har blitt mer oppmerksomhet rundt det, og grensene for hva som ansees som korrupsjon har forandret seg dramatisk bare de siste ti årene. Noen etterspør derfor et mer detaljert regelverk, men Hans Conrad Hansen mener det kan være mer fruktbart å ha større fokus på etikk i anskaffelsesprosessen. Pål Hellesylt er avdelingsdirektør i moderniseringsdepartementet. Han skisserte dagens regelverk for offentlig anskaffelser. Pr i dag finnes det ingen direkte anti-korrupsjonsbestemmelser. Isteden finnes det habilitetsbestemmelser Avdelingsdirektør Pål Hellesylt. 8 INTERNREVISOREN 2 05
Offentlige anskaffelser og prosedyrer og krav som kan bidra til å hindre korrupsjon. For eksempel må alle innkjøp over 500 000 registreres på DOF- FIN. DOFFIN er eneste offisielle database for offentlige innkjøp i Norge. Videre finnes det krav til leverandører om at de blant annet må fremlegge skatteattest, og avvise aktører som er tidligere dømt for korrupsjon. Klagenemnda for offentlige anskaffelser KOFA trådte i kraft 1.januar 2003. Nemnda er oppnevnt av Regjeringen for å gi en raskere, rimeligere klagemulighet for leverandørene på et lavere konfliktnivå og har behandlet neste 700 saker siden oppstart. Arne Slettebø er spesialrådgiver i Byggenæringens landsforbund. Han påpekte at det har skjedd en endring i måten man velger leverandører på. Tidligere så han tendenser til kommunal proteksjonisme med fremvekst av det man nærmest kan betegne som hoffleverandører. Organisasjonen driver derfor bevisst og fokusert opplæring i etikk og integritet av sine ansatte. Slettebø er videre svært bekymret over forslaget om å heve terskelverdien for offentlige anskaffelser, en bekymring han deler med de fleste andre bidragsyterne. Dette kan rett og slett gi spillerom for småskala korrupsjon. Et annet tiltak som kan være med på å begrense korrupsjon er revisjon av bestillinger i offentlig sektor. Ofte kan det være et gap mellom hva som blir bestilt og hva som faktisk blir levert. Hvem får mellomlegget? Neil Stansbury i TI UK har bakgrunn som advokat fra britiske og internasjonale bygge- og anleggsbransjen. Han leder TIs arbeid mot korrupsjon i denne bransjen og har selv over 20 års nasjonal og internasjonal erfaring fra bygg og anlegg. I løpet av sin karriere opplevde han et utbredt overbevisning om at man måtte betale bestikkelser for å vinne anbud. I følge TI er byggebransjen verdens mest korrupte industri, og slår overraskende Paneldeltagerne fra venstre: Arnhild Dordi Gjønnes, Åge Danielsen, Marit Wiig, Sverre Ellingsen, Hans Conrad Hansen, Einar Døssland og Neil Stansbury. nok både våpenindustrien og oljeindustrien. Stansbury peker på flere grunner til at denne bransjen er så korrupt. Byggeprosjekter innehar ofte store og uoversiktlige administrasjonsstrukturer med mange involverte leverandører, kontraktører og underkontraktører. Et enkelt prosjekt kan inneholde opptil 1000 kontrakter. Den eneste måten å stoppe korrupsjonen på er at banker, entreprenører, konsulenter, internasjonale kredittselskaper og myndigheter jobber sammen. I et forsøk på å hjelpe industrien med å få bukt med korrupsjonsproblemet, har TI utviklet et antikorrupsjonssystem, og i Storbritannia har man dannet et anti korrupsjonsforum for ulike bransjer. Neil Stansbury konkluderer med at den eneste måten å få bukt med korrupsjonsproblemene er åpenhet og dialog. Einar Døssland. Representerer Edbo risk management. Korrupsjon kan være svært vanskelig å oppdage. For å kunne avdekke korrupsjon må man se etter det, og det er et paradoks at ledelsen i et selskap selv utpeker eksternrevisor. Derfor er det svært viktig at internrevisor har et godt og ryddig forhold til styret. Videre er det viktig å holde rollene til styre, ledelse, internrevisjon og ekstern revisjon atskilt både for å forhindre korrupsjon og for at de skal kunne kontrollere hverandre. En annen viktig kontrollerende innstans i så måte er media. De har for tiden fokus på dette problemet. Dersom de ansatte opplever at deres organisasjon ikke er i stand til å rydde opp i eventuell korrupsjon internt vil ansatte gå til media med sine mistanker. Undersøkelsen Fraud 508 avdekket at mer enn 33% av korrupsjonstilfellene ble avdekket etter tips fra kunder, ansatte og leverandører mens 23% ble avdekket av internrevisor. Paneldebatt Siste delen av seminaret var arrangert som en paneldebatt bestående av foredragsholderne, samt Arnhild Dordi Gjønnes som er advokat i NHO, Åge Danielsen som er administrerende direktør for Rikshospitalet og styreleder i Forsvarsbygg, toll og avgiftsdirektør Marit Wiig og Sverre Ellingsen som er internrevisjonssjef i Statsbygg. Korrupsjon finnes over alt i både privat og offentlig sektor, på forsjellige nivåer i organisasjonene og i forskjellige former. Flere av de som satt i panelet hadde i løpet av sin profesjonelle karriere støtt på en eller annen form for mislighet eller korrupsjon. På tross av denne dystre statistikken var det stor enighet om at man ikke må miste tilliten til sine ansatte. Det er en fin balansegang mellom god virksomhetsstyring, tillit til de ansatte og å ha et årvåkent blikk for missligheter. Ledelsen i organisasjonen har et nøkkelansvar i å bidra til en god styringskultur for å skape en positiv bedriftskultur. Det INTERNREVISOREN 2 05 9
Offentlige anskaffelser er derfor viktig at det jobbes aktivt internt med kontrollrutiner, etikk, leverandørgjennomgang, at det er en kontinuerlig fokus på misligheter og korrupsjon. Særlig tatt i betraktning at det som blir betraktet som korrupsjon i dag, f.eks smøreturer ikke ble sett på som korrupsjon på 1980 tallet. Dette er noe som er i kontinuerlig forandring, og må derfor jobbes kontinuerlig med. For å motvirke korrupsjon var panelet enig om følgende; åpenhet, dialog og tillitsbygging innad i organisasjonen. Anrhild Dordi Gjønnes i NHO tok opp den rødgrønne regjeringens forslag om å høyne grensen for anbud til 500 000. Med dette vil en rekke kontrakter i f.eks kommunesektoren aldri måtte settes ut på anbud og en svært viktig kontrollfunksjon vil med dette falle bort. Det ble også nevnt at tiltak for misligheter og korrupsjon må integreres i virksomhetsstyringen for å avdekke korrupsjon på et tidelig tidspunkt. Signaler om farer for mislighold og korrupsjon må tas seriøst. Et viktig virkemiddel er internrevisor. Man har opplevd en økende interesse for virksomhetsstyring og internkontroll. Internrevisor skal være en uavhengig tredjepart som både de ansatte og styret har tillit til. Internrevisor beveger seg i organisasjonen på en helt annen måte enn ledelsen og styret og må derfor ikke være redd for å fortelle styret hva som avdekkes i forbindelse med revisjonen. Samtidig kan internrevisor formidle til styret hvis enkelte elementer i organisasjonen opptrer kritikkverdig. Skulle korrupsjon eller misligheter oppdages eller mistenkes, må organisasjonene ha en ryddig og profesjonell måte å håndtere dette på. Det er flere eksempler på at såkalte varslere har blitt avskjediget fra sine stillinger eller utstøtt fra organisasjonen. Panelet var klare på at de som står frem og forteller om korrupsjon eller misligheter i en organisasjon må tas godt vare på. Panelet konkluderte med at selv om mye av arbeidet mot korrupsjon kan gjøres internt i organisasjonene, må det offentlige regelverket tilrettelegges. Fra de lovgivendes side må det jobbes med å gjøre kjent intensjonen bak lovgivningen og i denne sammenheng bør det særlig være fokus på etikk. Dernest må regjeringen gå foran med et godt eksempel og aktivt bruke det regelverket som allerede foreligger i henhold til offentlig anskaffelser på nasjonalt nivå og i kommunesektoren. Oppsummering Konferansens foredragsholdere var i stor grad enige om at den eneste måten å motkjempe korrupsjon er åpenhet, dialog, bevissthet og tilrettelegging av lovverket. For å få til dette er det viktig at organisasjoner har et bevisst forhold til sin internkontroll. Dette innebærer kartlegging av potensielle risikoer og innføring av tilhørende kontroller for å avdekke eventuelle brudd på interne rutiner og retningslinjer samt offentlig lov. Et apropos til konferansen tema kan være å minne om at internrevisors rolle i forhold til misligheter omtales i The Institute of Internal Auditors. I standard1210 A2 heter det at "Interne revisorer skal ha tilstrekkelig kunnskap til å identifisere indikatorene for misligheter, men det forventes ikke at vedkommende skal ha samme kompetanse som en person hvis primæransvar er å oppdage og utrede misligheter". På grunn av intern revisors spesielle rolle i organisasjonen, som en uavhengig instans i forhold til ledelsen, styret og organisasjonen, kan de være et viktig virkemiddel i å begrense og oppdage misligheter og korrupsjon. Intern revisor har en dirkekte kontakt med, og innsikt i, de ulike delene av organisasjonen og kan derfor fungere både preventivt og avdekkende. Transparency International Norge Dronning Maudsgt. 15, PB 1385 Vika, 0114 Oslo Telefon: 22 83 48 00 - Telefaks: 22 01 22 02 Transparency International Transparency International Norge (TI Norge) er norsk avd. av Transparency International; en Berlin-basert, non-profit og upartisk global organisasjon stiftet i 1993 for å motarbeide korrupsjon nasjonalt og internasjonalt. TI Norge, etablert 30.11.1999, har samme overordnede mål som resten av TI, arbeider utelukkende for allmennyttige formål, driver ikke næringsvirksomhet og er registrert i Foretaksregisteret i Brønnøysund. Gjennom nasjonale avdelinger i 90 land oppmuntrer TI myndighetene til å iverksette effektiv lovgivning og politikk mot korrupsjon, fremme reformer sammen med internasjonale organisasjoner, øke befolkningens bevissthet om og støtte til arbeidet mot korrupsjon, og styrke åpenheten i internasjonale forretningstransaksjoner. TIs korrupsjonsindekser er anerkjent for systematikk og etterrettelighet. TI benytter profesjonelle analyser og høye standarder i sine undersøkelser. Medlemskap i TI er åpent for alle som støtter tiltak som reduserer korrupsjon. TI Norge finansieres av medlemskontingenter, støtte fra staten og støtte fra næringslivet. Kilde: http://www.transparency.no 10 INTERNREVISOREN 2 05
Interessert i CISA-eksamen? Eksamensforberedende kurs 2006 Revisjon, kontroll og kvalitetssikring av informasjonssystemer Certified Information Systems Auditor (CISA) er det eneste profesjonelle sertifiseringsprogrammet som utelukkende fokuserer på området kontroll, sikkerhet og revisjon av informasjonssystemer. CISA-samlingene er utviklet og blir gjennomført av Information Systems Audit and Control Association (ISACA). Kurset er bygget opp rundt tre samlinger. Undervisningen består av forelesninger, diskusjoner og oppgaver. Kandidatene som vurderer kurset må være oppmerksom på at CISA-programmet krever en stor grad av selvstudium og egeninnsats for å forberede seg til og bestå CISA-eksamen. Hva gir kurset deg? Du vil få god innsikt i hvordan en planlegger, kartlegger og evaluerer IT-prosessene med henblikk på risiko, kontroll og sikkerhet og anbefaling om forbedringer i henhold til ledende praksis. I tillegg vil du få kjennskap til bruk av forskjellige metoder og verktøy. Dette vil bl.a. sette deg i stand til å kommunisere bedre med IT-spesialister, revisorer og sikkerhetspersonell. Kurset gir en grundig innføring i metoder som benyttes for å sikre og verifisere at IT-systemene forvaltes med betryggende kontroll og sikkerhet, samt IT-revisjonens funksjon og arbeidsmetodikk. MÅLGRUPPEN IT-revisorer, revisorer, sikkerhetspersonell, systemutviklere, controllere og andre som i egenskap av systemeiere er ansvarlige for IT-systemer. CISA-EKSAMEN Innholdet i kurset dekker på et overordnet nivå de områdene som omfattes av CISA-eksamen. Eksamen avholdes 2 ganger per år i juni og desember. KURSOPPLEGG 2006 (med forbehold om endringer) CISA - samling 1 15 16 feb 2006 CISA - samling 2 8 9 mar 2006 CISA samling 3 20 21 apr 2006 Påmeldingsfrist: 20. januar 2006 For ytterligere informasjon og påmelding se www.isaca.no INTERNREVISOREN 2 05 11
Nordmenn i Barcelona Raising the Bar of Internal Audit Mari-Anne Teigum er Senior Competence Manager, Competence & Development Centre, Nordea Internal Audit Activity. Hun er utdannet Siviløkonom og har høyere revisorstudium fra Norges Handelshøyskole i Bergen. Videre er hun CIA og IIA Accreditation in Internal Quality Assessment/Validation. Hun har variert yrkeserfaring fra Kredittkassen/Nordea og har siden 1996 vært tilknyttet Konsernrevisjonen. Av Mari-Anne Teigum, Nordea In September this year, I had the opportunity to attend a conference with the thrilling title Raising the Bar of Internal Audit during an Evolution of Practices. The conference took place in Barcelona, Spain. 57 delegates from all over Europe participated at this two-day event, and a broad range of industries was represented. All together there were 14 case study presentations during the conference, and just one track each day. The main themes were: o Emerging issues for IA 2005 o New legislation and regulations o Progression of SOX o Innovation in internal auditing o Strengthening organisational development o External audit perspective The picture shows La Sagrada Familia, the life s work of Barcelona s favourite son, Antoni Gaudí. Whether this unfinished cathedral has been an inspiration to some of the speakers I could not tell. However, some of them were quite frank regarding their future challenges and their company being on the way - by itself a stimulating experience. The Nordic countries were well represented by 3 speakers. Norske Skog s Atle Farstad talked about Linking Internal Audit Resources to ERM. Atle Farstad is Director Corporate Risk Officer and gave his views on how to integrate the internal audit function with effective risk management. He chose a somewhat provocative approach, picturing the risk management as forward looking whilst the auditors should concentrate on yesterday s news. I snapped at that bait and hope to be able to follow up on this in a meeting in the Norwegian chapter of IIA an opportunity Atle Farstad welcomed. Statoil s Svein Andersen, then Senior Vice President Internal Audit, shared his views on the challenges inherent in staying competitive while being ethical. Awareness training was one of his key messages. As there were delegates present representing companies located in countries like for instance Angola and Iran the discussions continued during the following lunch. The Norwegian chapter of IIA gave, in co-operation with Transparency International, only last month a half-day seminar on corruption related to procurement to public services. As we will follow up on these essential topics during next year, permit me to express my gratitude for capacities like Svein Andersen being willing to share their experiences and views with us! Nordea s Dag Andresen, who is Group Chief Audit Executive, presented the Nordea journey focusing on how to manage increased expectations from the key stakeholders. The regulators are stating more explicit requirements on the internal audit function, and the requirements on our profession are becoming easier to measure. We are facing increased responsibility in a more complex environment. A broad view is required from the IA-function and the competence challenges are many. Among the strategic issues Dag Andresen focused on I will mention defining the core business and clearly communicate this in a mandate from the Board. Lars-Vind Sorensen represented the European Commission. He gave an overview of the revisions made regarding the 4th and 7th Directive and shared his thoughts as to how internal controls will be affected by directives. He spent some time on the differences between the EU and the US regime, focusing on cultural and legislative differences, and was able to engage the SOX-related part of the audience in a heated discussion regarding the beauty 12 INTERNREVISOREN 2 05
Nordmenn i Barcelona of empowering the stakeholders. Avoid box ticking and give general rules were among his key messages. The motto of this conference was: To acquire knowledge one must study. But to acquire wisdom one must observe. Does our own slogan progress through sharing take it a step further? Anyhow: Thank you for this opportunity to share my experiences with you! The conference documentation was put on the web site some days before the event, for delegates to download. The conference provider had done a good job chasing the speakers and all the presentations were available beforehand. So there we were, with no bulky documentation pack and well prepared. The vast majority of the speakers used the slides more like a back- ground for their additional comments and some of the slides were rather packed. Having familiarised yourself with the content beforehand thus improved these sessions. The documentation is still available on the web page; given you have the login details. As conference provider the Norwegian IIA Institute should consider to adopt this practice. The Conference program included several networking sessions, and some of the delegates seemed quite skilled at this game. Beforehand I was given the following advices: Read up on your company s official information. Keep in mind that in such settings you represent your company. Be aware that it may not be a forum for debating your many audit-specialities. This approach proved itself. Being able to give the highlights you quickly get common grounds, and the company s interests is even taken Internrevisjonskonferansen 2006 Konferansekomiteen vil med dette anmode alle medlemmer å holde av dagene 21. - 23. mai. Da går konferansen 2006 av stabelen. Stedet er Hotell Norge i Bergen. Det er jo ikke bare Rhododenron-blomstringen som skal lokke oss til Bergen, men også faglige innspill i det vi holder på med i hverdagen. Sist men ikke minst, kommer muligheten vi har til å bli bedre kjent med hverandre gjennom de sosiale delene av konferansen. Hovedtema for konferansen er helhetlig risikostyring. Dette er jo også deler av tittelen til den norske oversettelsen av COSO ERM. COSOs formann Larry Rittenberg vil gi oss to interessante foredrag om rammeverket. Også andre spennende foredagsholdere vil bli satt på programmet for å gjøre dette til en spennende og interessant konferanse. Praktiske eksempler på mislighold og korrupsjon får vi dessverre til stadighet i media så knagger å henge intern kontroll og revisjon på mangler ikke. Det som er nytt ved konferansen 2006 er at det ikke blir utdelt papirkopier av foredragene på forhånd. Foredragene vil bli distribuert på en minnepenn og lagt ut på foreningens hjemmeside etter hvert. Kanskje du skal ta med din laptop i år? Følg med på www.nirf.org for mer informasjon etter hvert som programmet blir klart. care of. You may get contacts whitch may prove useful for instance for future benchmarking. In this context I ll let you in to the fact that the Norwegian IIA Institute is planning to offer the service as conference manager to enhance the value of participating in conferences. One aspect by Raising the bar was really thrilling: Some of the companies planned for using their IA-function as a MUST in the rotation program for theirs coming Executive Management referring to General Electric, who are already there. In the Internal Audit department you get the overview of the risks and there you get the fundamentals required for a sound control environment. Protecting your brand name is part of the game to get a competitive edge, and the IA-function is considered a useful tool. So then: Are we ready? Are we willing? INTERNREVISOREN 2 05 13
Helhetlig risikostyring på norsk og internrevisjonens rolle Av Frank Alvern, generalsekretær i NIRF På egen risiko og regning denne gangen Det er ikke noe lite løft for en forening av vår størrelse å fornorske COSOs nye rammeverk. Til forskjell fra COSOs banebrytende første rammeverk det om intern kontroll (IK) gjør vi dette for egen regning og risiko denne gangen. Sånn sett har vi for alvor tatt steget over i forlagsbransjen med egen ISBN-nummerserie og det hele. Alt vi fornorsker fremover vil vi således registrere på den måten. To viktige sponsorer på den norske utgivelsen Vi vet at mange av foreningens medlemmer er godt i gang med å studere rammeverket allerede. Den oppmerksomme leseren har sikkert lagt merke til forordet fra konsernsjefen i Nordea, Lars G Nordstöm. Tråden tilbake til COSO IK er åpenbar, noe som også foreningen la vekt på i sin henvendelse til bankkonsernet, jfr brevet fra NIRF. Med Nordeas sponsing av oversettelsen ble det betydelige økonomiske bidraget som foreningen fikk fra PricewaterhouseCoopers (PwC) en meget hyggelig bonus som reduserte vår initielle økonomisk risiko. Jeg vil derfor benytte anledningen her til igjen å takke begge selskapene for støtten! Helhetlig risikostyring Ikke før lanserte NIRF den norske oversettelsen av COSOs nye rammeverk, så kom sannelig ennå mer som vi skjønner bare må leses grundig: Internrevisjonens rolle i helhetlig risikostyring. Du kan lese oversetterens artikkel et annet sted i denne utgaven, men her vil jeg benytte anledningen til å formidle noen betraktninger rundt denne milepælen for foreningen og kanskje også komme med litt fra bak kulissene i denne prosessen. IIAs første Position Statement ble til NIRFs første Anbefaling 29. september 2004 ble en faglig merkedag på to måter. Selvsagt fordi COSO omsider, etter en meget omfattende (og langdryg!) global høringsprosess, formelt lanserte sitt ERM-rammeverk. Men samtidig lanserte vår moderforening et dokument som var spesielt. Vi hadde ikke sett et Position Statement fra IIA før det hadde vi derimot sett hos våre driftige venner på andre av Nordsjøen. Og der ligger jo koblingen: IIA UK and Ireland sendte sommeren før ut et høringsutkast på ERM og internrevisjonens rolle. Så varte og rakk det før britene kom ut med den endelige utgaven. Forklaringen var selvsagt at den ble justert litt på, adoptert av IIA og pakket som noe vi aldri hadde sett før: et felles Position Statement med doble logoer. 14 INTERNREVISOREN 2 05
Helhetlig risikostyring Hva er nå et Position Statement for noe da? Profesjonen har jo laget et møysommelig byggverk som heter Professional Practices Framework (PPF). Der finner vi alle våre faglige retningslinjer i tre nivåer. Nivå 1 er den obligatoriske delen av rammeverket, definisjonen, standardene og de etiske reglene. Nivå 2 er de såkalte Practice Advisories, som tolker de obligatoriske standardene. Endelig har vi alle de andre goodisene i Practice Aids, Nivå 3. Ingen steder finner vi Position Statements, men det er ingen tvil om at IIA mener alvor med dette dokumentet. Jeg har ved flere anledninger utfordret seniorer ved hovedkvarteret på hvor i PPF-strukturen dette dokumentet hører hjemme. Svaret er vel nærmest at det ikke passer og så er man da også i gang med å se på hele PPF-strukturen på nytt. For det kommer flere slike PSer i nær fremtid, og IIAs president Dave Richards har da også offentlig sagt at han ser det som meget naturlig at foreningen faktisk takes a stand on big issues. Nåvel, NIRF har tatt opp hansken og kalt dette en anbefaling. Så vidt meg bekjent er det første gang. Fra venstre: Solbjørg Lie, Kari Øvsthus (oversetter), Richard Nylén, Ellen Cecilie Braathen og Ketil Wikdal (innfelt) har kvalitetssikret arbeidet med oversettelsen av COSO ERM. Britenes fabelaktige vifte NIRF la ut et bilde sammen med nyheten om at nå var den norske oversettelsen av IIAs Position Statement klar for nedlasting. Jeg må innrømme at jeg synes denne viften er bortimot genial! Genial fordi den er så velsignet enkel, men samtidig får med seg hele spekteret av roller internrevisjonen bør/kan/ikke bør påta seg i virksomhetens helhetlige risikostyring. Så har selvfølgelig noen av de aller mest oppmerksomme leserne der ute oppdaget at vi ikke er helt lik originalen i vår oversettelse! Originalen har nemlig ikke fargene på viften. Fargene brukte imidlertid britene i sin tid, og Internrevisjonens roller i ERM. Kilde: IIA. trafikklys virker i kommunikasjon! Noen av dere husker kanskje at vi hadde en britisk gjest på Internrevisjonskonferansen i Trondheim? Så vidt jeg husker er Terry Cunnington viftens far. Takk igjen til Jan G. Thoresen i Oslo kommunerevisjon som tok den tekniske utfordringen på strak arm. Dere vil se hvor elegant han har fått til denne når dere kommer på kurs i NIRF-regi neste år! Inntil dess kos dere med et stort fargebilde så lenge. NIRFs kvalitetssikringsteam Firerbanden var det noe som het en gang. Fire var det også som har brukt masse tid og energi på å sikre at den norske oversettelsen av COSOs nye rammeverk. Disse er behørig takket av styrets leder i forordet til den norske utgaven, og oversetteren selv Kari Øvsthus, gjør det samme i sin artikkel. Selv tok jeg med kameraet til det siste møtet hvor Kari var over i Oslo for de siste diskusjonene. Dessverre manglet Ketil Wikdal på dette møtet, men med teknikkens muligheter har vi flettet han inn i bildet. Jeg er helt sikker på at etter hvert som dere leser dere gjennom de to bøkene så vil dere være enige i at vi har fått et flott sluttresultat. Vel blåst! Kursing på ERM trengs og kommer! I disse dager legges siste hånden på verket når det gjelder oversikten over foreningens tilbud for 2006. Det sier seg selv at NIRF, som har fått de norske rettighetene til å kjøre kommersiell opplæring av COSO, kommer på banen med tilbud rundt helhetlig risikostyring og vår rolle i den. Som vedlegg til denne utgaven av Internrevisoren ligger for øvrig et ark som markedsfører Internrevisjonskonferansen 2006 i Bergen. Tittelen ser dere selv og så har vi altså fått bekreftet at COSOs Chairman, Larry Rittenberg, kommer. Han vil etter planen åpne konferansen på søndagen hvor han forteller om selve rammeverket. I tillegg er planen at han tar et foredrag under selve konferansen også, hvor han fokuserer på vår rolle. Velkommen! INTERNREVISOREN 2 05 15
Barndomsbyen er Bergen, og på knausen ligger Norges Handelshøyskole (NHH), med utsikt til innseilingen og byens svar på Golden Gate: Askøybroen. Bak ligger Sandviksfjellet, et av de syv fjell som omkranser byen. Helhetlig risikostyring Enterprise Risk Management på norsk tanker omkring en oversettelsesprosess COSO har kommet med et nytt rammeverk for risikostyring. Kunne du tenke deg å oversette det til norsk? Slik lød spørsmålet fra Solbjørg Lie, visepresident i NIRF, til en gammel internrevisor som hadde forlatt sin post for å sitte på en knaus i sin barndoms by og forske på økonomisk-administrativ terminologi. Av Kari Øvsthus NHH huser fem institutter, hvorav det mest kjente for leserne av Internrevisoren antas å være Institutt for regnskap, revisjon og rettsvitenskap. Dette instituttet har ansvar for HRS, masterstudiet i regnskap og revisjon. På foreleserlisten kan man finne personer fra landets internrevisjonsavdelinger eller andre leverandører av internrevisjonstjenester. Undertegnede er imidlertid tilknyttet Institutt for fagspråk og interkulturell kommunikasjon (FSK). FSK leverer moduler til valgfag i fem fremmedspråk og tilbyr en egen masterprofil innenfor fagspråklig kommunikasjon. Her er også et sterkt forskningsmiljø. Ved instituttet drives blant annet Helhetlig risikostyring et integrert rammeverk Sammendrag Rammeverk September 2004/ Oktober 2005 The Committee of Sponsoring Organizations of the Treadway Commission Oversetterne Kari Øvsthus og Marita Kristiansen. prosjektet Kunnskapsbase for norsk økonomisk-administrativt fagdomene (KB-N), finansiert av Norges forskningsråd (NFR) gjennom et eget forskningsprogram for Kunnskapsutvikling for språkteknologi (KUNSTI). Gjennom KB-N-prosjektet ønsker FSK å ta ansvar for utvikling og innsamling av terminologi innen økonomisk-administrative fagområder, som kan gjøres tilgjengelig for eksterne brukere på Internett. Jeg er ansatt som doktorgradsstipendiat og skal lage en termsamling for fagområdet regnskap og revisjon. Denne skal utgjøre en delmengde av innholdet i kunnskapsbasen. Viktige fagtekster bør finnes på norsk Selv om det kan være travelt å være doktorgradsstipendiat, ville jeg gjerne si ja til å oversette det nye COSO-rammeverket. Jeg trivdes godt i internrevisjonsyrket og synes det er verdifullt å ha kontakt med mitt gamle fagmiljø. Jeg har også stor tro på at kontakt mellom ulike fagmiljøer og institusjoner kan være svært fruktbart. Sist, men ikke minst, er jeg glad for å kunne bidra til at viktige fagtekster finnes på norsk. Oversettelse av sentrale rammeverk og andre viktige dokumenter kan bidra til å skape eller opprettholde et sterkt norsk fagspråk innenfor fagområdet og motvirke en distanse til fagstoffet som kan oppstå ved at det bare finnes på et annet språk. NIRF hadde en klar oppfatning om at rammeverket også burde finnes på norsk. Høyt profilerte forretningsskandaler og krav om forbedret H lhetlig risikostyring et integrert rammeverk Sammendrag Rammeverk 16 INTERNREVISOREN 2 05
Helhetlig risikostyring virksomhetsstyring og risikostyring gjør at et rammeverk for helhetlig risikostyring, som beskriver nøkkelprinsipper og -begreper, og presenterer et felles språk og en klar veiledning, vil bli hilst velkommen. En kan naturligvis spørre seg om det er nødvendig å oversette en slik tekst til norsk, siden alle nå kan engelsk. Det ble nylig avholdt en konferanse på NHH i samarbeid med Språkrådet med tittelen: Kan terminologi på norsk bidra til økonomisk lønnsomhet? På konferansen var både språkmiljøer, næringsliv, utdanningsinstitusjoner og offentlige organer representert. Et generelt inntrykk var at mange etterlyste norsk terminologi innen sine fagområder, og at man mente at tospråklighet var løsningen på Norges behov for kontakt med omverdenen, snarere enn at andre språk (les: Engelsk) skal blandes inn i norsk. Et eksempel på en stor og viktig tekst som nå oversettes til norsk, er de nye internasjonale regnskapsstandardene (IFRS) som norske, børsnoterte selskaper skal benytte fra og med inneværende år. Slik sett blir denne teksten en del av norsk regelverk, noe som er et sterkt argument for at den bør finnes på norsk. Innenfor språkpolitikk er det økt fokus på fagspråk ved at det nå planlegges et eget fagråd for fagspråk og terminologi når det nye Språkrådet trer i kraft over nyttår. Samarbeid og kombinasjon av kunnskaper God kontakt mellom oppdragsgiver og oversetter, og en kombinasjon av språklig kompetanse og kunnskaper innenfor det aktuelle fagområdet, er et godt utgangspunkt og ofte en forutsetning for en vellykket oversettelse. I arbeidet med oversettelsen kom det godt med å ha erfaring fra internrevisjon og risikostyring, i tillegg til språklig kompetanse. I likhet med internrevisoren, må oversetteren ikke bare kunne noe om sitt eget fag, men han eller hun må også forstå det andre driver med for å kunne gjøre jobben sin. Det at man trenger kompetanse på mange fagområder er noe som gjør både internrevisjon og oversettelse ekstra spennende. NIRF fortjener ros for måten de tilrettela oversetterarbeidet på. Når oversettelsesprosjektet omsider ble godkjent fra høyeste hold i USA, etablerte NIRF en kvalitetssikringskomité som skulle være diskusjonspartner for oversetteren, samt fungere som en instans som skulle sikre at den norske teksten både var faglig korrekt og at den ble slik som oppdragsgiver ønsket. Denne komiteen, som bestod av Solbjørg Lie, Ellen Cecilie Braathen, Richard Nylén og Ketil Wikdahl, har nedlagt et betydelig arbeid i form av gjennomlesning, nyttige tilbakemeldinger og deltakelse i diskusjoner. Det har vært en fornøyelse å være oversetter med en så god og aktiv deltakelse fra representantene for oppdragsgiver. Da Frank Alvern ble ansatt som generalsekretær i foreningen like før arbeidet gikk inn i sluttfasen, kastet han seg inn i sluttspurten med stor entusiasme. Når en tekst skal oversettes kan en velge ulike strategier. Én strategi er å legge mest vekt på den opprinnelige teksten og kulturen den kommer fra, en annen å omarbeide slik at teksten skal passe best mulig med forholdene der den nye teksten skal brukes. I samråd med NIRF har oversetteren av COSO valgt en gyllen middelvei. Når en tekst skal oversettes kan en se for seg tre hovedstrategier. En kan velge å legge seg så tett opp til kildeteksten som mulig, slik at ikke bare faglig innhold blir gjengitt så tett opptil originalen som mulig, men også kulturelle markører og henvisninger til lokale forhold. Den motsatte ytterlighet vil være å tilpasse teksten helt til forholdene der målspråket brukes, i dette tilfellet Norge. Når det gjelder COSO-rammeverket, ville dette for eksempel innebære at mange av eksemplene måtte skrives om, fordi forholdene som beskrives er hentet fra en annen kultur. Oppdragsgiver og oversetter ble enige om et tredje alternativ, en gyllen middelvei, som innebærer at noen endringer er gjort for å tilpasse teksten til norske forhold. For eksempel er valutabetegnelsen USD i mange tilfeller endret til NOK og referanse til baseball er endret til fotball. De originale eksemplene i bøkene er imidlertid beholdt og oversatt til norsk. Oversettelse tar tid. Oppdragsgiver virket ivrig etter å få utgitt det norske rammeverket, så for å få opp tempoet fikk jeg en kollega med på laget, Marita Kristiansen, som har doktorgrad i terminologi og er ansatt som førsteamanuensis på FSK. Vi oversatte bind 2 av rammeverket i fellesskap, og hun hjalp også til med bearbeiding av teksten i sluttfasen. Termvalg setter standard Oversettelsesarbeidet medførte noen utfordringer når det gjaldt fagspråket, og da spesielt terminologien i tekstene. På grunn av NIRFs autoritet i fagmiljøet og rolle innenfor utdanning kan en forvente at deres termvalg vil være standardsettende. Fagspråk kan defineres som den språkformen som er i bruk innenfor et fagområde, spesielt når fageksperter kommuniserer med hverandre om forhold som tilhører fagområdet. Fagspråket omfatter fagtermer, det vil si terminologi, ordleggingsmønster og tekst- og sjangernormer (fritt etter definisjon i Norsk i hundre (2005), Språkrådets forslag til strategi for norsk språk). INTERNREVISOREN 2 05 17
Helhetlig risikostyring Termer som ble diskutert var for eksempel norsk oversettelse av enterprise risk management, corporate governance og oversight (i forbindelse med styrets ansvar). Påse eller påse? Hva heter styrets oversight på norsk? Vanlige oversettelser er tilsyn og oppsyn. NIRF hevdet dette ikke dekket det ansvaret et styre i Norge har og mente den rette termen var påse-ansvar. Denne utløste en del grøss og gru hos oversetterne, ikke minst på grunn av de assosiasjonene den kan gi på enkelte norske dialekter (har styremedlemmene rent mel i påsen, eller skal de kanskje ha både i påse og sekk?). Termen er heller ikke helt lett å uttale, så kanskje vi burde ta i bruk aksenter som indikerer trykk? Noen ivrige forsøk fra oversetterne på å finne en annen term (når det nå er bestemt at monitoring skal hete oppfølging, så blir jo for eksempel overvåking ledig ) ble høflig, men bestemt avvist av generalsekretæren. Termen var og ble påse! Andre termvalg som utløste litt murring i oversetternes rekker var å beholde benchmark og benchmarking på norsk, men vi bøyde oss selvsagt for oppdragsgivers ønske. I andre tilfeller viste oppdragsgiver mer dristighet ved å akseptere termer som varmekart og rovprising, som er velklingende, men kanskje ikke så vanlige i bruk. Selve enterprise risk management fikk norsk språkdrakt med helhetlig risikostyring. Likevel er akronymet ERM flittig brukt i fagmiljøet. Her vil oversetterne gjerne få komme med en utfordring: Hva med å finne et norsk akronym? Samarbeid med andre fagmiljøer Det var en fordel å ha tilgang til de ulike fagmiljøene ved NHH under oversettelsen. Det nye rammeverket for helhetlig risikostyring inneholder ikke bare fagspråk innenfor dette fagområdet, men også fra statistikk, IKT og finans, for å nevne noen. I enkelte tilfeller har vi vært i kontakt med noen av disse fagmiljøene for å undersøke hvilke termer som er i bruk. Det var for eksempel slik vi kom fram til at noen av de statistiske termene ikke burde oversettes, på grunn av risiko for misforståelser fordi det ikke finnes etablerte termer på norsk. Dette illustrerer hvordan man kan få et såkalt domenetap innenfor et språk, det vil si at fagspråket innenfor et bestemt fagområde forsvinner (eller aldri etableres), fordi utenlandsk terminologi får dominere. Arbeidet med oversettelsen innebar ikke bare språklige og revisjonsfaglige utfordringer. Som leserne av det nye rammeverket snart vil se, inneholder bind 2 av rammeverket mange flotte illustrasjoner. Disse lot seg ikke redigere i de elektroniske filene vi mottok fra NIRFs moderorganisasjon. Dette medførte at vi til tider følte oss mer som grafiske designere enn som oversettere, og vi måtte med skam bekjenne at figurene nok ikke ble så fine som i originalverket. Heldigvis fant Frank til slutt en løsning på dette. Da han intensiverte kontakten med trykkeriet mot slutten av prosessen, kom han i kontakt med en person som hadde programvare og kompetanse til å sørge for at figurene i den norske utgaven ble like bra og med norsk tekst! Denne personen, en hyggelig dame ved navn Britt, var også sterkt inne i bildet da teksten skulle settes og gjøres klar for trykking. Hun sendte oss filer for korrekturlesning, og rettet tålmodig opp endringer gang på gang, selv om hun sikkert var grundig lei av at en del komma ble fjernet for siden å bli satt inn igjen. I går ble en pakke levert på mitt kontor. Den inneholdt noen eksemplarer av det ferdigtrykte rammeverket på norsk. Jeg har ikke våget å åpne dem ennå, av frykt for å finne noe jeg vil endre, men de ser fine og blanke ut. Jeg ønsker NIRF til lykke med utgivelsen og håper at rammeverket vil være til nytte for dem som anskaffer det. Jeg ville ikke bli overrasket om helhetlig risikostyring blir et hett tema på NIRFs internrevisjonskonferanse når Bergen skal få lov til å være vertsby for konferansen i 2006. Jeg vil avslutte med å ønske internrevisorer og andre hjertelig velkommen til Bergen til våren, og husk: Ta med paraply! kari.ovsthus@nhh.no Lenker: NHH, http://www.nhh.no FSK, http://www.nhh.no/fsk/ KB-N, http://mora.rente.nhh.no/projects/kbn/ Språkrådet, http://www.sprakrad.no/ Norsk i hundre (2005), Språkrådets forslag til strategi for norsk språk, http://www.sprakrad.no/upload/9832/norsk_i_hundre.pdf 18 INTERNREVISOREN 2 05
Ernst & Young Internrevisjonstjenester Vi er Norges største leverandør av internrevisjonstjenester og den med lengst erfaring. I vårt profesjonelle miljø har vi spisskompetanse på: Operasjonell og finansiell risikohåndtering Informasjonsteknologi Regnskap og økonomistyring Forretnings- og tjenesteprosesser i ulike bransjer Miljø, HMS og forretningsmessig samfunnsansvar Misligheter Spesiell bransjeerfaring fra: Finans og forsikring Offentlig sektor Energi og industri Samarbeidspartner Vi er samarbeidspartner når virksomhetens egen internrevisjon har varierende behov for ressurser eller ønsker spesialkompetanse på utvalgte områder. Vi bistår også med anerkjente revisjonsmetoder og verktøy. Enkeltstående revisjonsgjennomganger Vi bistår med evaluering og forslag til forbedringstiltak på områder som virksomheten ikke er komfortabel med eller på områder hvor virksomheten ønsker en uavhengig og objektiv evaluering av etablerte kontrolltiltak. Oppstart av internrevisjonsavdeling Vi bistår med utarbeidelse av revisjonsinstruks, opplæring i risikovurdering, strukturerte metoder for å velge ut de mest relevante revisjonsprosjektene, gjennomføring av revisjoner ved hjelp av ulike revisjonsmetoder samt utarbeide mal for en oversiktelig og lett tilgjengelig revisjonsrapport. Videreutvikling av internrevisjonsavdeling Som det ledende miljø for levering av internrevisjonstjenester både nasjonalt og internasjonalt, har vi svært gode forutsetninger for å bistå med videreutvikling av virksomhetens internrevisjonsavdeling. Kvalitetsvurdering For å sikre at internrevisjonen fungerer etter sin hensikt og løpende videreutvikles, bistår vi med kvalitetsvurdering av virksomhetens internrevisjon. Etter standarder for internrevisjon, skal en slik ekstern kvalitetsvurdering gjennomføres minst hvert femte år. Utkontraktering Vi forestår internrevisjonsfunksjonen i sin helhet for virksomheter som ikke ser det som hensiktsmessig å etablere en egen intern internrevisjonfunksjon. Ønsker du mer informasjon ta kontakt med Terje Klepp, telefon 24 00 24 00. Metodikk, verktøy og databaser For å sikre at vi jobber strukturert, effektivt og evaluerer ut fra ledende praksis, benytter vi risikobasert metodikk, ulike verktøy og kunnskapsdatabaser. www.ey.no!@# INTERNREVISOREN 2 05 19
Foreningens nye tidsalder Foreningens nye tidsalder noen refleksjoner fra generalsekretæren Av Frank Alvern, CIA, CISA, CCSA Etter tre måneder i generalsekretærstolen har jeg fått et godt grunnlag for å vurdere hvor foreningen står ved inngangen til det nye året. Uten at det er laget en formell SWOT-analyse som sådan, så tør jeg påstå at foreningen har riktig gode forutsetninger for å lykkes med sin ambisiøse strategi. I denne artikkelen vil jeg dele noen refleksjoner rundt hvordan foreningen skal lykkes med dette. Fra kjøp av alle tjenestene til to heltidsansatte NIRFs styre har over lang tid arbeidet med alternative løsninger etter at Den norske Revisorforening (DnR) valgte å si opp den administrative samarbeidsavtalen med NIRF og ISACA. Frem til 2004 var også Norsk Finansrevisorforening (NFRF) med som egen forening, men denne gikk som kjent inn i NIRF i fjor. Etter en lang ørkenvandring kom så nyheten i mai 2005 om at Svein Stabekk var tilsatt på heltid som foreningssekretær, og at NIRF hadde flyttet sammen med Norges Kommunerevisorforbund (NKRF) i lokalene deres i Munkedamsveien 3B i Vika sentralt i Oslo. Det ble videre opplyst at NIRF hadde inngått en intensjonsavtale med kommunerevisorene om et langsiktig samarbeid om administrative funksjoner. Rett over sommerferien kom nå nyheten om at undertegnede var tilsatt som generalsekretær med oppstart 1. september. Fra å være en forening som utelukkende drev aktivitetene ved hjelp av dugnadsinnsats og innkjøpte tjenester, markerte 2005 året hvor foreningen ansatte to personer på heltid for å realisere styrets strategi om å gripe anledningen for å si det på den måten. Foreningens nye tidsalder har begynt! Fire delvis overlappende satsingsområder fra styrets side Figur 1 viser de fire hovedsatsingsområdende som foreningens styre fastla i forkant av ansettelsene. Disse fire er delvis overlappende i den forstand at innsats og suksess på ett område vil virke positivt på de andre satsingsområdene. Figur 1: Foreningens fire strategiske satsingsområder. Innenfor hver av disse fire områdene har styret så utarbeidet spesifikke og prioriterte aktiviteter som er innarbeidet i min stillingsinstruks. Uten å gå i detalj om hva som ligger innenfor hver enkelt av disse, vil jeg nedenfor komme inn på mange av de fleste viktige momentene. Svært positiv medlemsutvikling Gjennom innfusjoneringen av finansrevisorforeningen (NFRF) i fjor fikk vi en netto tilførsel av i overkant av 100 nye medlemmer til NIRF. Sammen med en egenkapital som skulle brukes til spesifikke formål (COSO ERM og Basel II var blant disse), gav denne fusjonen på mange måter det ekstra økonomiske handlingsrommet som styret trengte. Den siste medlemsanalysen viser at ganske nøyaktig en tredjedel av medlemmene arbeider innenfor bank/ forsikring. Men to av tre medlemmer arbeider ikke i finansbransjen, og det er også her vi ser at veksten i antall medlemmer kommer. Ved utløpet av 2005 ligger vi an til å være om lag 625 medlemmer, og kan vise til en jevn og fin medlemsøkning det siste halve året. 20 INTERNREVISOREN 2 05