INTERN REVISION #1/2011

Transkript

1 INTERN REVISION #1/2011 Efter Internrevisionsdagarna 2010 är det dags för årsmöte. Sedan blir det Internrevisionsdagar igen. I september på Grand Hotel! Och med 60-årsfest!

2 SIGNERAT Fullt fokus på 2011 ÄNTLIGEN ÄR ÅR 2010 avrapporterat och alla sinnen har ställts in med fullt fokus på granskningsplanen för Ett helt år fyllt med proaktivitet och granskning av väsentliga riskområden. För att inte tala om alla spännande möten och den nya kunskap vi kommer att förvärva Apropå spännande möten ni kommer väl på årsmötet? I styrelsen har vi en bit kvar innan vi är helt klara med föregående år årsmötet och den med detta förknippade rapporteringen utgör både ett avslut och en avstamp för det nya året. Så vad hände egentligen 2010, vad har styrelsen arbetat med? Jo, något vi är mycket stolta över är att vi lyckades med att få bättre fotfäste i den akademiska världen. Under våren kommer 50 studenter att delta i en universitetsutbildning i internrevision! IIA Sweden är också synliga och respekterade i arbetet inom IIA. Vi har skapat en stabilare ekonomisk bas och en skalbar kansliverksamhet. Vår hemsida har uppgraderats tekniskt och håller på att få nya kläder. Vi har arbetat med att förbättra vår samverkan med oss närliggande organisationer till exempel FAR och Swerma. Naturligtvis finns många fler saker att nämna. Dessa kan du läsa om i den verksamhetsberättelse som kommer att skickas ut inför årsmötet. VAD KAN DÅ EN INTERNREVISOR förvänta sig av 2011? Som ordförande och företrädare för föreningen önskar jag att det skulle vara lika enkelt att beskriva målen som att säga»world peace». Det var så mycket enklare än att föra fram budskapet om att som yrkesgrupp nå målet att vara ytterst kunnig och kapabel, erkänd, efterfrågad, och uppskattad. Att inta vår självklara, eftertraktade och välförtjänta plats vid bolagsstyrningens vackert dukade honnörsbord. Visst är det trevligt att önska en sådan framtid men vad ska vi fokusera på 2011? Den stabila bas vi skapade 2010 kräver ett kontinuerligt underhåll men den ger oss också förutsättningar för ökad medlemsnytta. Vi hoppas kunna erbjuda fler tematräffar/seminarier/ nätverkssammankomster och andra medlemsaktiviteter. Den nya hemsidan som vi räknar med att kunna presentera till årsmötet är en av pusselbitarna kring en förbättrad information/kommunikation. Det lutar åt att det blir färre nummer av Internrevision, men detta kommer att uppvägas av regelbundna elektroniska nyhetsbrev och ett exemplar av Internal Auditor till alla medlemmar! FÖRENINGEN ÄR ETT SKAL och om jag får önska något riktigt, riktigt mycket så är det att tillsammans med er fylla detta skal med glädjefylld samverkan, spännande ämnen att läsa om och skriva och diskutera kring, för att förstå och lära. Ett konkret mål i detta sammanhang är att göra det enklare och mer utvecklande och glädjefyllt att delta i föreningsarbetet och våra aktiviteter. Här tar vi naturligtvis gärna emot både dina tips och idéer och ditt engagemang! Innebär detta också en modernisering och föryngring av föreningen? Jag tror inte vår ålder är det som avgör utan vår förmåga och vilja eller ork att vara nyfikna på framtiden. Tillsammans med andra engagerade internrevisorer är det enkelt att förnya och modernisera i den grå vardagen som är detaljplanerad och fylld av göranden är det däremot svårt att ta sig tid. DET JAG UPPTÄCKT är att om jag tar mig tid att engagera mig i föreningen så får jag mer tid eller kanske jag ska formulera det som så att jag får mer ut av min totala tid. Det blir mer, roligare och bättre internrevision och en glad, kompetent och trygg internrevisor. Jag rekommenderar varmt er alla att ta er tid till vår fantastiska förening gör den till en lustfylld mötesplats för kunniga, kompetenta och nyfikna internrevisorer! Som en av våra yrkeskollegor brukar säga var lite lat och smart om andra har bra idéer så varför inte lära av dem? SIGNERAT: Lotta 2 INTERNREVISION 1/2011

3 INFÖR ÅRSMÖTET DAGS FÖR ÅRSMÖTE! Vi hoppas att du som medlem i Internrevisorernas Förening kommer på årsmötet torsdagen den 31 mars 2011 kl på Strandvägen 7 A i Stockholm. På årsmötet får du en uppdatering om föreningens verksamhet och du har möjlighet att vara med och påverka beslut i olika frågor. Du får också höra två gästtalare: Fredrik Nilsson och Flemming Ruud. Fredrik Nilsson är professor i företagsekonomi vid Uppsala universitet. Han var tidigare professor i ekonomiska informationssystem vid Linköpings universitet. Hans senaste bok»ekonomistyrning för konkurrenskraft» handlar om hur ekonomistyrningens utformning och användning påverkar chefers och medarbetares agerande och därmed organisationens konkurrenskraft. Flemming Ruud är professor i Business Administration, speciellt Internal Control/Internal Audit, vid St. Gallens universitet i Schweiz. Han är också adjungerad professor i intern och extern revision vid Handelshögskolan BI i Oslo samt adjungerad professor vid universitetet i Toronto, Canada. Han är också rådgivare till akademiska institutioner, revisionsbyråer, regeringar och företag i frågor om att utveckla»corporate governance» samt finansiell och operationell revision. PROGRAMMET I SAMMANFATTNING: : Samling : Årsmöte : Kaffe, kaka och mingel : PROFESSOR FREDRIK NILSSON»Konkurrens» internrevisionens arbete från Risk, Compliance, Internal Controls, externrevision med flera. Internrevision i utbildning och forskning : PROFESSOR FLEMMING RUUD Internationella trender inom internrevision och förväntad påverkan i Sverige. IIA Standards och deras påverkan på internrevisionsarbetet. Du anmäler dig till årsmötet via senast den 24 mars Välkommen! Styrelsen INTERNREVISION 1/2011 3

4 INFÖR ÅRSMÖTET Nästan hela styrelsen på bild: Anders Erlandsson (sekreterare), Nils Lindholm och Harald Lööf i översta raden, Martin Malm. Lotta Löfstrand Hjelm (ordförande) och Yvonne Palm i den nedre. På bilden saknas Michael Bernhardtz men han finns på bild på sidan 16, så det jämnar förhoppningsvis ut sig. Foto: Lars Torndahl Rapport från Styrelsen:»Vidare har ett stort arbete lagts ned på att skapa en modernare och mer lättillgänglig och användarvänlig hemsida som kommer att lanseras inom en snar framtid.» Styrelsearbetet har flutit på bra under hösten och vintern. Styrelsens och generalsekreterarens arbete har varit inriktat på att bygga en trygg finansiell och administrativ plattform, bland annat fokuserat på att effektivisera kansliet. Målet har varit att få en effektiv, flexibel och personoberoende kansliadministration. Arbetet har gått över förväntan och vi upplever att vi redan nu har uppnått många av våra målsättningar även om ett visst arbete kvarstår. Vi kommer framöver att se över vår ekonomifunktion då vi tror att vi kan effektivisera även inom detta område. Synbara effekter redan nu är att vi i styrelsen och generalsekreteraren får bättre underlag för våra beslut samt att generalsekreteraren kan fokusera mer tydligt på framåtriktade åtgärder. Internrevisionsdagarna var ett annat fokusområde. De genomfördes med rekorddeltagande igen och fick en mycket positiv utvärdering. Vidare har ett stort arbete lagts ned på att skapa en modernare och mer lättillgänglig och användarvänlig hemsida som kommer att lanseras inom en snar framtid. Vi tror att en modernare och mer smakfull hemsida ska stimulera alla oss i föreningen att aktivt bidra och ta del av varandras idéer och tankar samtidigt som den kommer att utgöra navet i vår nyhetsrapportering till medlemmarna i realtid. Därutöver har styrelsen haft besök av några av våra kommittéer och nätverk för att öka interaktion mellan styrelsen och kommittéer och nätverk. Det är ju i våra kommittéer och nätverk som en stor del av föreningens viktiga arbete sker. Vi har redan träffat marknads-, IT- och kommunikationskommittéerna. Träffarna har varit mycket givande. Därutöver har vi haft besök av valberedningens ordförande. Övriga kommittéer och nätverk kommer att bjudas in. IT är i dag en integrerad del av ett företags eller organisations verksamhet och inte sällan är det en komplex struktur. Vi vill därför på ett tydligare sätt lyfta fram IT-relaterade frågor till alla våra medlemmar. Med handen på hjärtat, tror jag vi alla behöver mer kunskap inom IT och dess roll och risker på en strategisk nivå. Vi har därför bildat ett IT-nätverk. Roger Karlsson kommer att leda nätverket och det är vår förhoppning att allas våra IT-kunskaper kommer att lyftas till en högre nivå. Vi har även ambitionen att starta ett nätverk för revisionschefer under 2011 där aktuella ämnen kan diskuteras. Initialt kommer nätverket att ledas av Anders Erlandsson som tacksamt tar emot förslag på ämnen som kan vara intressanta för denna grupp. Planeringen inför vårt årsmöte den 31 mars är klar. Vi hoppas att så många som möjligt kommer och gör sin stämma hörd. Missa inte den intressanta seminariedelen med professorerna Fredrik Nilsson och Flemming Ruud. Anders Erlandsson Vice ordförande och sekreterare 4 INTERNREVISION 1/2011

5 STEGET FÖRE Bakgrundsundersökningar en lönsam investering Av Helena Sundén & Åsa Lenhoff»Köp inte grisen i säcken» är ett väl inarbetat uttryck i Sverige. Innebörden kan sammanfattas med: Ta reda på vad du får innan du ingår ett avtal. Många associerar säkert uttrycket till Galenskaparna & After Shaves underhållande sång, som syftade på val av partner. Uttrycket kan också appliceras på avtal inom svenska organisationer och företag. Vi ser allt fler exempel där företag ingår olika typer av avtal genom att köpa grisen i säcken. En vanligt förekommande situation är då blivande anställdas välfyllda CVn och referenser inte kontrolleras. Vi ser också att bakgrundsundersökningar av kunder, leverantörer och samarbetspartner sällan sker, eller att undersökningen består av ett snabbt telefonsamtal till den referens som står överst angiven på referenslistan. De frågor som ställs handlar ofta om att få bekräftat att referensen känner den aktuella personen eller företaget. Djupare frågor som syftar till att få information om kvaliteten i utfört arbete kanske inte alltid ställs på rätt sätt. Kopplingen till ekonomisk brottslighet Att anställa en person som ägnar sig åt ekonomisk brottslighet, eller att samarbeta med ett företag som ägnar sig åt oärliga affärsmetoder, kan innebär en stor ekonomisk skada. I de utredningar av ekonomisk brottslighet som vi dagligen arbetar med ser vi allt fler exempel på bristfälliga eller obefintliga kontroller av motparten innan avtal ingås. Många av de företag vi möter har utsatts för ekonomisk brottslighet som har kostat företaget mångmiljonbelopp. Med facit i hand, efter en genomförd utredning, ser vi att stora kostnader hade kunnat undvikas om en förhållandevis enkel bakgrundsundersökning av avtalsparten hade genomförts. Helena Sundén är jurist och ansvarig för Global Advice Networks svenska verksamhet. Åsa Lenhoff är konsult med en bakgrund som statsvetare med erfarenhet från bank och finans. Global Advice Network är specialiserade på arbete mot korruption och ekonomisk brottslighet genom utbildningar, upptäckande aktiviteter och utredningar. Global Advice Network har kontor i Stockholm, Oslo och Köpenhamn. Ekonomisk brottslighet drabbar många företag, myndigheter och organisationer, oavsett branschtillhörighet. Den amerikanska organisationen Association of Certified Fraud Examiners, ACFE, menar att företag förlorar cirka 7 procent av årlig omsättning i ekonomisk brottslighet, se Förutom den direkta ekonomiska kostnaden är renommé, negativ påverkan på organisationskulturen och minskad effektivitet andra skadliga effekter av ekonomisk brottslighet. Exempel ur verkligheten: Den försvunna leverantören Det händer att företag hamnar i situationer som kunnat undvikas om mer tid hade fokuserats på att granska avtalsparter, ett sådant exempel beskrivs här: Ett företag anlitade en leverantör som visade sig bedriva en omfattande kriminell verksamhet. Innan avtal ingicks genomförde företaget en snabb kontroll av leverantören. Kontrollen bestod i att bekräfta leverantörens existens genom att kontrollera att bolaget fanns på den adress de uppgivit. Adress och övriga kontaktuppgifter stämde och ett 2-årigt avtal tecknades. En trevlig och kunnig representant från leverantören hade besökt företaget och bedömningen hade gjorts att ingen ytterligare research behövde genomföras. Snart förstod de anställda att det var ett misstag att teckna avtal med leverantören. De första varningssignalerna var att leveranser försenades och så småningom uteblev. Leverantörens kontaktperson gick inte heller att återfinna. Företaget beslutade att se närmare på leverantören, som visade sig ha satt i system att starta bolag, fakturera kunder i förskott, tömma bolaget på pengar och sätta bolaget i konkurs. Problemet med leverantören ledde till stopp i produktionen i väntan på leverans och innebar kraftigt minskade intäkter och upprörda kunder. Situationen kunde ha undvikits om företaget hade gjort en grundligare research. Förfalskade CVn som leder till en tillfällig framgång Att uppge falska referenser i sitt CV är en metod vi ser att personer använder för att nå en åtråvärd anställ- INTERNREVISION 1/2011 5

6 STEGET FÖRE ning. Det gäller ofta falska referenser i form av erfarenhet från företag där personerna aldrig har varit anställda. Ett annat exempel är referenser till bolag som har mycket snarlika namn med multinationella bolag, men som inte existerar i verkligheten. Falska referenser kan även avse individer som köper en examina via Internet, där även en referens ingår. Referensen svarar i telefon dygnet runt och uppger den information som köparen önskar. Den här typen av referenser kan lätt upptäckas genom att göra en snabb internetsökning för att till exempel se om den aktuella skolan med det exakta namnet existerar. Hur kan företag undvika oärliga anställda eller oprofessionella samarbetspartners? Att lägga resurser på en djupare bakgrundsundersökning innan ett samarbete påbörjas är en lönsam investering både avseende potentiella anställda och leverantörer och innan avtal ingås mellan företag. Inför ett första möte bör så mycket tillgänglig information som möjligt ha tagits fram. Sverige är ett öppet land och mycket information finns att tillgå i offentliga register. Några exempel där offentlig information kan inhämtas är Skatteverket, Lantmäteriet, Bolagsverket och Kronofogdemyndigheten. Att ligga steget före Genom att utveckla standardiserade strategier för bakgrundsundersökningar av individer och företag kan risken att utsättas för ekonomisk brottslighet från oärliga anställda och affärspartners minska. Det absolut viktigaste argumentet för att lägga resurser på bakgrundsundersökningar är att det finns stora pengar att tjäna på att förebygga ekonomisk brottslighet. Ytterligare en fördel med denna resurssatsning är att företagen samtidigt kan uppnå konkurrensfördelar inom Corporate Social Responsibility (CSR) eftersom resurssatsningen utmärker organisationen som fokuserad på etisk och ansvarsfull verksamhet. Detta kan attrahera både potentiella investerare, kunder och anställda. Förslag på standardiserad strategi för bakgrundsundersökningar Det förslag som är angivet avseende standardiserad strategi för bakgrundsundersökningar är tänkt som ett praktiskt verktyg vid ingående av avtal avseende anställda. Samma mall kan tillämpas vid bakgrundsundersökningar av samarbetspartners/företag men det kan i det fallet bli aktuellt att se på flera personer och andra företag. Att ligga steget före innebär att organisationer tillämpar en övergripande standardiserad strategi för bakgrundsundersökningar, men att en förutsättningslös position till det enskilda fallet samtidigt intas. Detta då varje enskilt fall är unikt och bör analyseras individuellt och med diversifierade tillvägagångssätt. Vilka delar av en bakgrundsundersökning som ska vara standardiserade beror på den individuella organisationens förutsättningar. Som generell hänvisning bör standardisering omfatta exempelvis rutiner för när i processen bakgrundsundersökningen genomförs, vilka källor/register information skall hämtas från, samt vilken avdelning inom organisationen som ansvarar för genomförande av bakgrundsundersökningen. Företrädesvis bör alltid samma avdelning inom organisationen genomföra undersökningarna eller i alla fall vara behjälpliga när andra avdelningar genomför kontroller utefter den standard som är satt. Detta bör vara kommunicerat till hela organisationen. En resurssatsning på bakgrundsundersökningar leder till att risken för att köpa»grisen i säcken» minskar. Våga ta klivet ut ur skuggan, var steget före genom att agera preventivt och inta en ledande position i arbetet för att förebygga och upptäcka ekonomisk brottslighet. FÖRSLAG PÅ STANDARDISERAD STRATEGI FÖR BAKGRUNDSUNDERSÖKNING Grundläggande research (Internet och offentliga register) Sammanställ ett frågeformulär baserat på inhämtad och lämnad information Använd frågeformuläret vid intervju med aktuell person Eventuell kompletterande research baserad på information som framkommit vid genomförd intervju Analysera svar och jämför med framtagen och lämnad information Genomför research av referenser Frågeformulär till referenser baserat på framtagen och lämnad information Samtal med referenser Eventuell kompletterande research av framtagen information Utvärdering av all framtagen information för att fastställa om överlämnad information är i överrensstämmelse med den information du funnit. 6 INTERNREVISION 1/2011

7 RISK MANAGEMENT Artikeln publicerades första gången i ECIIA:s nyhetsbrev European, november 2010, Issue 19 SPINNING A NEW WEB A new IIA study calls for internal audit to be the spider that ties together disparate strands of governance into an effective web. Arthur Piper reports INTERNAL AUDITORS have largely escaped blame in the post mortem of causes to the recent financial and economic crisis. Since 2008, dazed investors and regulators have been trying to make sense of what went wrong and, so far, the conclusion is that better and more strategic risk management could have helped. But three new reports question the value of throwing good money after bad. They ask whether it is worth doing the same sort of risk management exercises that companies carried out prior to 2008, or whether something else is needed. And, if something is needed, what could that something be? Many companies feel let down by their risk systems. Under half of respondents to Grant Thornton s survey published in conjunction with the Economist Intelligence Unit as A new risk equation? said that their reviews of strategic risk had been effective prior to Only one in three claimed that their risk management systems had helped them keep a lid on the impact of the recession. The survey suggests that many companies may have been playing lip-service to good risk management practices, but failing to put what they preached into effect. For example, the firm has found that only 37 % of the 450 companies that participated in their research said that risk management processes had»created a common awareness of risk from top to bottom». The problem is that most businesses still focus on compliance-based risk testing. That approach provides a comforting mood music that everything is ship-shape and watertight. Michael Power, professor of accounting at the London School of Economics, says:»quite a lot of risk management practice is essentially compliance-based, following rules that are often dictated by regulation. This has let us down because it creates an illusion of things being under control.» Bureaucracy Power reckons that this attitude to risk management helps sever it from strategy and the way that the board makes decisions and kicks it into the corporate bin marked bureaucracy. It is seen as a waste of time, particularly since many of the complicated ways businesses try to analyse the potential effect of risk were useless in practice. Even so, companies are ploughing money into what the consultant Ernst & Young calls GRC: governance, risk management and compliance. In its paper The multi-billion dollar black hole, it quotes research that claims financial institutions could spend up to $100bn on controlling risk in 2010, and that, taken as a whole, US companies will plough almost $30bn into such initiatives. The solution is, of course, better risk management. For Ernst & Young that means reinventing the way that governance, risk management and compliance knit together to provide over-arching assurance. Companies that insist on tinkering with a broken risk management system are likely to be throwing good money after bad:»good investment risks slipping away because companies do not take a holistic view of enterprise and cannot deliver the value expected of them. Therein lies the multi-billion dollar black hole», says the firm. Ernst & Young says that one of the key hurdles companies face to getting it right are existing reporting lines and responsibilities in the area, which can be fragmented and working at odds. A first step is to see where existing GRC cash is being spent and to identify where efforts are badly co-ordinated, too complex or non-existing. Sorting this out means spending money where the business priorities lie.»spend INTERNREVISION 1/2011 7

8 from low-value risk management activities, which may be routine and deliver comfort but are not business critical, needs to be redirected into other higher-risk priorities», it says. INTERNAL AUDIT AND RISK MANAGEMENT The approach of the internal audit function in arriving at an assessment regarding governance in an organisation can be further professionalised. Distributing GRC responsibilities over several functions results in better control of the organisation. Risk management is still in the process of being developed and the internal audit function does not yet have a clear approach to its evaluation. The internal audit function is still focusing too much on risk management processes and too little on the outcomes of these processes. The activities arising from legislation and regulation, also called regulatory compliance, are increasing perceptibly and reinforce a rules-oriented culture to the detriment of a principle-based culture. Source: IIA Netherlands Web A joint study by IIA Netherlands and Royal NIRVA, poetically entitled The internal auditor as spider in the GRC web, argues that internal auditors are ideally placed to provide such a co-ordinating role.»internal audit must assume its responsibility with regard to mapping out and performing, but most of all managing, various GRC activities within the organisation», it says. That is because internal audit is both part of the governance structure of organisations and is responsible, at the same time, for testing governance practices and processes.»the internal audit function thus becomes the spider in the GRC web,» says the study.»it oversees, checks advises, must at times bare its teeth and is one of the few parts of the organisation that has access to all pats of the organisation.» The report has its own criticisms of overly-prescriptive approaches to risk management (See Internal audit and risk management). In fact, it notes that while so much importance has been heaped on the shoulders of the discipline,»it is still far from being fully». While some areas of business have well-thought out risk management procedures backed up with legislation and regulation, some are scantily understood, leaving organisations to forge their own way forward. Internal auditors should take the initiative in light of this patchwork of approaches and co-ordinate their efforts both within the profession itself and in the businesses in which they operate.»we recommend that internal auditors contribute within their organisation to a broad awareness of the inadequacy and limitations of the current range of instruments for risk management and to stimulate development of this range of instruments,» says the IIA study. Internal auditors should not be mis-led into thinking that only those areas with stringent rules have good GRC outcomes. The reverse may be true. In the Netherlands at least, and elsewhere in Europe, government has been eager to prove to the public that businesses are complying with increasingly complex layers of rules and regulations. Certain sectors, such as the financial services industry, food, health and chemicals, are subject to a welter of regulations. That leads to a heavy compliance-based approach to risk management. Rules»A greater number of rules brings about growing pressure within organisations to comply with these rules, to monitor them, to define the effects on culture and conduct and, of course, to explore how the regulatory compliance activities can in turn be audited,» says the study.»from the working environment, however, it is very clear that additional legislation and regulation is not perceived as a strengthening of GRC and organisational management. This is due to the fact that detailed rules result in false security, trigger problems in application and suppress broad independent responsibility,» it adds. All three surveys, then, suggest that poor risk management is based on checking that rules and regulations are followed and nothing more. And, if the findings of the Grant Thornton survey are to be believed, this is what most companies still do. Internal auditors are going to have their work cut out in overturning this approach not least because they are often the very people who are responsible for ensuring businesses are compliant with the rules. Being the spider in the corporate web should make this difficult task possible, but the proof of internal audit s effectiveness will only be tested if it catches the next fly to fall into the web. 8 INTERNREVISION 1/2011

9 BLENDED ENGAGEMENTS Combining assurance and consulting services in a single audit can yield significant efficiencies for practitioners. Michael J. Head, CIA, CPA, CMA, CISA Managing Director of Corporate Audit, TD Ameritrade Kurt F. Reding, PHD, CIA, CPA, CMA Assistant Professor and Grant Thornton Faculty Fellow School of Accountancy, Wichita State University Cris Riddle, CIA, Audit Analyst II, TD Ameritrade IN TODAY S ECONOMIC ENVIRONMENT, everyone, including internal auditors, is under pressure to do more with less. But in most cases only so much belt tightening can be done before vital organs are damaged. When costs cannot be cut any further, successful audit departments find innovative ways to stretch their resources. Blending assurance and consulting services into a single engagement is evolving as a way for internal auditors to realize efficiencies that may not exist when these services are performed separately. In fact, some internal audit functions may be conducting»blended engagements» without even realizing it. Although formal, authoritative guidance does not yet exist for performing such engagements, internal auditors can follow a principles-based model that offers professional guidance for those wishing to implement this approach without violating existing standards of practice. This article was reprinted with permission from the October 2010 issue of Internal Auditor, published by The Institute of Internal Auditors, Inc., ASSURANCE AND CONSULTING SERVICES A first step toward formulating guidance for conducting blended engagements is to solidify internal auditors understanding of assurance and consulting services, which by definition comprise the two types of services audit practitioners perform. The authors define these services as follows: Assurance services. An objective examination of evidence for the purpose of providing an independent assessment of governance, risk management, and control processes. Consulting services. Objective advisory, facilitative, and training activities the nature and scope of which are agreed to with the customer intended to improve governance, risk management, and control processes. Internal auditors should keep in mind that this definition of consulting deviates somewhat from the definition provided in The IIA s International Standards for the Professional Practice of Internal Auditing (Standards). See»Comparison to IIA Standards» at right for an analysis of the differences. As described in the Standards, assurance and consulting engagements differ in three important respects: The primary aim of the engagement. Who determines the nature and scope of the engagement. The parties that are involved in the engagement. The primary purpose of an assurance engagement is to provide an independent assessment based on examination of evidence. The internal audit function determines the nature and scope of the engagement, which generally involves three parties: the party directly responsible for the process, function, system, or area being assessed (the process owner); the party providing the assessment (the internal audit function); and the party or parties who rely on the audit function s assessment (the user(s)). Examples of assurance engagements include assessing the design adequacy and operating effectiveness of business process controls and evaluating the operational effectiveness and efficiency of a business process as reflected in performance metrics. The primary purpose of a consulting engagement is to provide independent advice, facilitation, or training services, commonly at the specific request of the engagement custo- INTERNREVISION 1/2011 9

10 BLENDED ENGAGEMENTS mer. The customer and internal audit function agree on the nature and scope of the engagement, which generally involves two parties: the party receiving the services (the customer) and the party providing the services (the internal audit function). Examples of consulting include providing advice to process owners on how they can streamline activities to gain efficiencies, facilitating senior management s and process owners assessments of business risks, and educating management and the audit committee on newly released authoritative guidance. Despite the differences between assurance and consulting services, each may include elements of the other. For example, Standard 2410: Criteria for Communicating indicates that assurance engagement communications must include»applicable recommendations,» which are, in substance, a type of advice. Likewise, Standard 2440.C2: Disseminating Results requires chief audit executives to communicate to senior management and the board significant governance, risk management, and control issues identified during audit consulting engagements. Accordingly, per the Standards, assurance and consulting service deliverables are not mutually exclusive. A MIX OF SERVICES Despite the differences between assurance and consulting services, the two can be blended together in a single engagement without jeopardizing audit effectiveness or objectivity. A PRINCIPLES BASED FRAMEWORK Definition Blended engagement: An engagement that includes both an assurance component and a consulting component. Defining Characteristics 1. The objectives of both components are formalized at the beginning of the engagement. The consulting objectives are more likely to evolve during the engagement than the assurance objectives. 2. The scope of the assurance component is determined by the internal audit function; the scope of the consulting components is agreed on with the costumer. 3. The two components focus on the same business process (or function, system etc.). 4. Assurance results are communicated to the process owner and applicable users. Consulting results are communicated only to the customer and parties approved by the customer unless the internal auditor identifies significant issues that must be communicated to senior management and the board. Guiding principles 1. POINTS OF VIEW: Each stakeholder in the blended engagement process may have a different prespective on how the services provided by the internal audit function will add value and improve he organization's operations. The "points of view" of the auditor, process owner, customer, and users must be synthesized. 2. STANDARDS: Both the assurance component and the consulting component must be performes in accordance tieh The IIA's Attribute and Performance Standards. In addition, each component must be performed in accordance with the applicable IIA Implementation Standards. 3. SCOPE: The process owner and the customer must clearly understand the scope of the engagement and the specific assurance and consulting services to be provided. 4. COMMUNICATION: The process owner, customer, users and internal auditor must all agree on how and in what form the result of the engagement will be communicated. The internal auditor must ensure that assurance and consulting results are clearly delineated. The assurance results must be communicated in accordance with the protocol established by the interna laudit function, senior management, and the board. The internal auditor must ensure that the process owner and customer know when assurance results will be relied on by users, The internal auditor must ensure that the customer authorizes consulting results to ht shared with other parties. 5. INDEPENDENCE AND OBJECTIVITY: The internal audit function must ensure that neither independence nor objectivity is compromised on subsequent assurance and consulting engagements in areas of the organization that have been subjected to blended engagements. 6. PROFICIENCY: The audit team performing a blended engagement must collectively possess the knowledge, skills, and other competencies needed to successfully complete both the assurance component and the consulting component of the engagement. 7. DUE PROFESSIONAL CARE: Internal auditors must exercise due professional care when performing a blended engagement. They must, for example, give due consideration to eht relative complexity and extent of work needed to achieve both the assurance and consulting objectives of the engagements and the nature and timing of assurance and consulting communications. 10 INTERNREVISION 1/2011

11 Absent formal professional guidance, auditors could consider using a guidance framework developed by the authors (see»a Principles-based Framework,» below) as a means of navigating the challenges associated with combining these services. Several elements of the framework merit particular attention from practitioners embarking on this effort. Defining Characteristics One key element of the principles-based framework is the»defining characteristics» of blended engagements. While on the surface the difference between assurance and consulting seems obvious, integrating the two types of services can quickly blur the lines and leave even the most seasoned internal auditor second guessing whether an engagement actually constitutes assurance, consulting, or both. The four defining characteristics of blended engagements presented in the framework clearly outline their unique features, freeing internal auditors to focus on providing value adding services. Guiding Principles Blended engagements have the most potential to add value when they are conducted in accordance with guiding principles as opposed to rigid rules. Guiding principles provide a flexible structure within which internal auditors can exercise professional judgment when making decisions about how best to accomplish engagement objectives. Although the framework s principles conform to the Standards as they pertain to assurance and consulting services, they do not dictate specific behaviors. Instead, they allow internal auditors to customize their approach as situations warrant. Examples of blended engagements, including representative assurance and consulting components, are presented in»illustrative Blended Engagements,» below. Practical Considerations The primary reason for conducting blended engagements is to gain efficiencies in the overall audit process without sacrificing effectiveness. However, conducting effective and efficient blended engagements does not involve simply overlaying consulting activities and assurance activities. Factors that auditors must consider include: Consulting services that may be folded into a blended engagement often arise during the year. Sufficient time must be reserved in the annual audit plan to accommodate unforeseen consulting opportunities. Whereas assurance service activities are relatively standardized, consulting activities are not. Efficient integration of the two often requires real-time, case-by-case planning. Like assurance activities, facilitation and training activities are conducive to up-front planning. By contrast, advisory services often evolve as new information comes to the internal auditors attention over the course of the engagement. Therefore, integrating facilitation and training activities with assurance activities tends to be more straightforward than integrating advisory and assurance activities. Although the phases of an advisory consulting engagement parallel those of an assurance engagement (plan, perform, communicate, and follow up), the nature of the specific activities within each of these phases may differ significantly. Advisory consulting activities need to be integrated efficiently within each phase of the engagement. These characteristics of assurance and consulting services warrant careful consideration by internal audit functions conducting blended engagements. Due professional care must be taken to ensure that the varying needs of parties who rely on the engagement outcomes are met and that any incompatibilities in these needs, which may exist at the beginning of the engagement or arise during the course of it, are reconciled appropriately. Due professional care also must be taken to ensure that appropriate resource levels are maintained throughout each engagement and that both the assurance and consulting component can be completed timely and cost-effectively without disrupting other scheduled engagements. A WINNING COMBINATION The blending of assurance and consulting services into a single internal audit engagement shows promise of becoming a winning combination. As internal audit functions strive to simultaneously economize, add value, and comply with the- Standards, the principles-based framework provides a realistic, actionable basis for gaining efficiency by merging the profession s two fundamental services. Paul J. Sobel, vice president, internal audit, for Mirant Corp. in Atlanta contributed to this article. COMPARISON TO IIA STANDARDS While the authors definition of assurance services coincides with the definition provided in the IIA Standards Glossary section, their definition of consulting services differs somewhat. The Glossary defines consulting services as:»ad- INTERNREVISION 1/

12 BLENDED ENGAGEMENTS visory and related client service activities, the nature and scope of which are agreed with the client, are intended to add value and improve an organization s governance, risk management, and control processes without the internal auditor assuming management responsibility. Examples include counsel, advice, facilitation, and training.» To add specificity the authors changed»related client service activities» to»facilitative and training activities,» rather than referring to them separately as examples. Moreover, the term counsel was removed to avoid redundancy with the word advice, and the word objective was added to emphasize that, like assurance services, consulting services must be conducted objectively. Lastly, the authors replaced client with customer because there are areas in the Standards and Practice Advisories where client generically refers to both assurance and consulting services the authors prefer the use of a term that can be specifically associated with consulting services. ILLUSTRATIVE BLENDED ENGAGEMENTS EXAMPLE ENGAGEMENTS Due diligence Internal auditing provides assurance and consulting services in support of management's evaluation of an acquisition candidate System Development Internal auditing provides assurance and consulting services during and after a significant system conversion project. Process Reengineering Internal auditing provides assurance and consulting services during and after a process reengineering project. Risk Management Internal auditing provides assurance and consulting services in support of the organization's risk management program. EXAMPLE ASSURANCE COMPONENTS Assess the adequacy of key controls in certain areas. Assess the adequacy of documentation supporting management's control evaluations (e.g., Sarbanes-Oxley Section 404). Assess the rigor of the risk management program Determine whether other functions involved in the due diligence process have fulfilled their assigned responsibilities adequately and can support their conclusions Determine whether the organization's prescribed system development process is followed throughout the project. Assess whether user acceptence testing was sufficient and whether the testing results support management's decision tp move forward with the project. Evaluate whether the new system, as implemented, achieves system objectives and meets users requirements. Assess whether the process reengineering team adhered to management's proscribed reengineering policies and procedures. Determine whether controls in the reengineered process are designed adequately. Assess the adequacy of the existing risk management program against best practices. Evaluate the completeness of the enterprise risk universe and reasonable of the risk ratings. Assess whether the information provided by management to the board is accurate, relevant, and comprehensive. EXAMPLE CONSULTING COMPONENTS Design an evaluation checklist that can be used vby other functions involved in evaluation the acquisition candidate. Facilitate management discussions regarding potential acquisition candidate evolution criteria. Facilitate the process of defining user requirements. Advise on system development best practices. Train users on their system development roles and responsibilities. Advise on how to conduct an effective and efficient process reengineering project. Train key individuals involved in the project on steps to perform, analyses techniques, and documentation requirements. Advise on specific procedures that will enhance the design of the process. Facilitate the annual risk assessment process. Advise on difference strategies that may be used to manage key risks. Train risk owners on their risk management responsibilities. Advise management on the steps necessary to initiate an enterprise risk management program. 12 INTERNREVISION 1/2011

13 ESV SVARAR PÅ FRÅGOR FRÅN INTERNREVISIONEN PÅ SIDA, Vilken organisatorisk chefsnivå bör/ska internrevisionschefen vara placerad på? Som avdelningscheferna (högsta chefsnivån på Sida) eller som enhetschef (lägsta chefsnivån på Sida)? Hur ser det ut hos er? ESV:S SVAR: Enligt Internrevisionsförordningen med föreskrifter mm ska internrevisionen vara organisatorisk oberoende. Internrevisionens uppdragsgivare är styrelsen och internrevisionen ska rapportera direkt till styrelsen. Internrevisionen ska placeras administrativt under myndighetens chef. Med myndighetens chef avses här även ställföreträdande/vice myndighetschef. Om styrelse saknas så är det myndighetschefen som är internrevisionens uppdragsgivare. Vidare ska det också finnas ett dokumenterat beslut på vem som är anställd som chef för internrevisionen. När det gäller frågan om vilken organisatorisk chefsnivå bör/ska internrevisionschefen vara placerad på så är det enligt Myndighetsförordningen den enskilda myndighetsledningen som bestämmer detta i en arbetsordning. Det viktiga är att internrevisionen administrativt är placerad under myndighetens chef eller ställföreträdande/vice myndighetschef. Om internrevisionschefens placerade chefsnivå innebär att det finns en mellannivå mellan internrevisionen och myndighetschefen eller ställföreträdande/vice myndighetschef innebär det att kravet enligt internrevisionsförordningen inte är uppfyllt. Ska/bör/kan internrevisionschefen delta i ledningsgruppens och/eller styrelsens möten? ESV:S SVAR: Det är styrelsen som bestämmer om och hur länge som internrevisionen kan vara med på styrelsemötena. När det gäller ledningsgruppsmötena är det myndighetschefen som bestämmer detta. ESV anser att det är lämpligt att internrevisionen är med på styrelsemöten där frågor om internrevisionens riktlinjer, revisionsplan, revisionsrapporter samt frågor om intern styrning och kontroll behandlas. När det gäller ledningsgruppsmötena anser ESV att det är lämpligt att internrevisionen är med då frågor som berör internrevisionens revisionsrapporter och frågor om intern styrning och kontroll behandlas. Internrevisionen bör också delta i styrelsemöten och ledningsgruppsmöten om det av något speciellt skäl efterfrågas. När det gäller frågan om medverkan i styrelsemöten och ledningsgruppsmöten är det några saker som internrevisionen bör tänka på: Om internrevisionen medverkar kontinuerligt i mötena finns det en risk för att diskussionerna hämmas. Det finns också en risk för att internrevisionen både inom styrelsen och ledningsgruppen och utåt sett uppfattas som en del av styrelsen och ledningsgruppen och därför inte är oberoende. En annan risk är att internrevisionen uppfattas ha»hållit med» fattade beslut även om internrevisionen är adjungerad. Internrevisionen bör dock alltid ha tillgång till styrelsemötenas och ledningsgruppsmötenas dagordning samt minnesanteckningar. INTERNREVISION 1/

14 INTERNREVISIONSDAGARNA 2010 Konstnären Mikael Renberg på scen under Internrevisionsdagarna. Han vill nå långt till ett eget hus på månen. På nästa sida möter du fler gäster och deltagare. 14 INTERNREVISION 1/2011

15 INTERNREVISION 1/

16 INTERNREVISIONS- DAGARNA 2010 Ur programmet: Margareta Lindahl, Transcendent Group, talade om hållbar ekonomisk utveckling, Mikael Bernhardtz, Deloitte, talade om förändrad syn på strategisk riskhantering, Ebba Lindsö berättade personligt om människa, organisation och värderingar och meteorologen Madeleine Westin (som här får en gåva av Hans Löfgren) talade om forskningens var på frågan: Vart är vi på väg? Internrevisions redaktör Urban Eklund stod i Internrevisorernas monter till sammans med Anna Gabrielsson, Kooperativa förbundet. Och så var det mingel, förstås. Foto: Lars Torndahl 16 INTERNREVISION 1/2011

17 INTERNREVISIONS- DAGARNA årsjubileum för internrevisorerna i Skandinavien Välkomna till årets Internrevisionsdagar som är tidigarelagda till den 1 2 SEPTEM- BER 2011 då vi firar vårt jubileum. Platsen blir Grand Hotell i Stockholm Från källaren till styrelserummet har varit internrevisorns långa resa. Från pricknisse med prickpinne till en för styrelsen kvalificerad och ovärderlig medarbetare med både öga och öra ute i organisationen. För att klara detta krävs Kurage Kreativitet Kvalitet vilket är årets tema. KURAGE: hur får internrevisorn mod att framlägga sina synpunkter när styrelsen inte vill lyssna eller när det är styrelsen som synpunkten ska läggas på? När bör den osynlige hjälten bli synlig? KREATIVITET: hur löser internrevisorn uppkomna situationer? Vilka vägar kan internrevisorn tillåta sig? KVALITET i allt som internrevisorn gör. Det inkluderar både kunskap och kompetens för att kunna utföra arbetsuppgifterna på ett professionellt sätt. Under två dagar får du stifta bekantskap med de tre begreppen från att våga till att göra och det med stor professionalism. Vi kommer att från erfarna internrevisorer och andra viktiga intressenter få idéer och tips om hur vi kan och bör göra i olika situationer. Grand Hotel i centrala Stockholm kommer att stå som värd för oss med start torsdag den 1 september och en galamiddag på kvällen. En avslutande middag på Soliden på fredagskvällen blir en värdig avslutning på vårt 60-årsfirande. RESERVERA DAGARNA och anmäl dig nu så du inte missar ett värdefullt och lärande program men också ett härligt tillfälle att umgås med kollegor. Kostnaden för konferensen är kronor, icke-medlem kronor. Om du anmäler dig senast den 31 maj lämnar vi cirka 10 procent rabatt, kronor, icke-medlem kronor. Om du anmäler dig senast 31 mars lämnar vi ytterligare 10 procent rabatt, kronor, icke-medlem kronor. Alla priser är angivna exklusive moms. Du anmäler dig SENAST 12 AUGUSTI via länk på internrevisorerna.se Varmt välkomna! INTERNREVISION 1/

18 INTERNATIONELLT CSO-möte i Orlando: Vi vill vara en global profession DEN NOVEMBER HÖLLS IIA Mid-Year Chief Staff Officer Meeting i Orlando, Florida där IIA har sitt huvudkontor. 24 CSO från hela världen träffade IIA:s President och CEO Richard Chambers samt deltagare från IIA:s HQ staff. Mid-Year är årets viktigaste möte, eftersom det är avstampen för nästa års verksamhet, och denna gång särskilt viktigt då vi planerade inför IIA:s sjuttionde verksamhetsår. Richard presentade fokusområden för Man tar bland annat fram en ny global strategi på certifieringsområdet. Det är inte önskvärt att det uppstår lokala certifieringar och diplomeringar i ett stort antal länder. Vi vill vara en global profession. Share-Point används som bas för den nya globala hemsidan, vi ser till att registrera vårt varumärke på många viktiga marknader, vi formulerar och implementerar en uttömmande marketing strategy och planerar genomförandet av IIA:s 70-årsjubiléum. Min kollega Yong från Malaysia presenterade planeringen för International Conference i Kuala Lumpur»Standing Tall» den juli. Externrevisorerna i Indien ger dålig nattsömn Richard berättade att han är mycket bekymrad över situationen i Indien. IIA:s identitet marginaliseras av externrevisionsorganisationen som argumenterar för 100 procent outsourcing, och har tagit fram egna standards för internrevision. Situationen i Indien är inte nödvändigtvis isolerad dit. Om den Klas Schöldström rapporterar från Orlando. Foto: Lars Torndah skulle utvecklas på ett för oss olyckligt sätt så finns risk att det sprids till andra länder. I Sverige har vi emellertid gott ett samarbete med Far, till exempel kursen Intern Styrning och Kontroll, där Hans Löfgren och Torbjörn Wikland är lärare. Kursen administreras av Far Akademi och vi är glada att nå utanför vår inre krets av internrevisorer till externrevisorer och controllers. Vi har även en samarbetsgrupp under Anders Hults ordförandeskap, med uppgift att mer långsiktigt marknadsföra och öka medvetenheten om värdet av god intern styrning och kontroll hos viktiga beslutsfattare. IIA:s ekonomi förbättras Net contribution var 2008 en förlust på 10.8 miljoner USD, 2009 en vinst på 1,5 miljoner och 2010 forecast var 1,4 miljoner. Den totala kostnaden för IIA Global HQ är 100 kronor per medlem i världen. Bland det viktigaste som hänt under 2010 så nämnde Richard i första hand att man tagit global kontroll över certifieringen, att IPPF oversight council som introducerats är mycket väsentligt för att vi skall kunna betraktas som en profession (vi vill ju sitta som en av fyra vid ägarstyrningsbordet tillsammans med styrelse, företagsledning och externrevisorer och det kräver att vi fullt ut betraktas som en global profession), ändrade standards och professionell vägledning och samarbetet med IIA India för att formulera en lämplig strategi. Mycket svårt att bryta ut North America ur Global IIA arbetar på att bryta ut och isolera den nordamerikanska verksamheten från den globala. Det är ett oerhört komplicerat projekt enligt Richard som inte tror att det kommer att vara slutfört förrän Bland annat är lagstiftningen i New York mycket komplex för organisationer som vår. Ernst & Young-enkät visar att internrevisionen inte lever upp till snabba förändringar i koncernledningars förväntningar Det finns en risk att förväntningarna från våra intressenter förändras i en snabbare takt än vi hinner anpassa oss till. Framför allt förväntar man sig en bättre förståelse för affären och att vi 18 INTERNREVISION 1/2011

19 bidrar med värde, inte bara när det gäller finansiella risker. Enligt undersökningen har många internrevisorer en finansiell bakgrund och vet för litet om»operating and business risk». Konkurrens från riskhanterare Riskhanterare har börjat presentera sig som något mycket likt internrevisorer och säger att man kan leverera assurance till styrelsen. I Nederländerna har man en utveckling mot en kombination, man kan nästan säga sammanslagning, av risk management och internal audit. I Sverige har vi en mycket god relation till riskhanterarnas organisation Swerma och upplever inte någon konkurrenssituation. Risk att internrevision förlorar resurser Från UK & Ireland rapporterades om Walker review som talar om behov av att förstärka riskhanteringsfunktionen och behovet av en riskkommitté, som påminner om internrevision och revisionskommitté. Man konstaterar att internrevision har förlorat resurser i samband med recessionen, och även att de flyttats till riskhanteringsfunktionen. Vi har inte sett några liknande tendenser i Sverige. IIA är en stor global organisation IIA har 591 anställda vid 105 institut i 165 länder, med cirka medlemmar i hela världen. Utvecklingspotential för vår egen governance En fråga som diskuterades en hel del under Mid-Year var om IIA inte borde vara»an institute of institutes instead of an institute of global members». Har vi inte blivit alldeles för stora för vår nuvarande struktur? Samtidigt invände en representant från UK att vår egen governance kanske kunde tonas ner litet grann och att vi kunde lägga förhållandevis mer tid på det utåtriktade arbetet med advocacy, för förankring av värdet med internrevision. Vill vi verkligen uppfattas som en global organisation? IIA:s strategi säger bland annat att vi skall uppfattas som en global profession och organisation, men alla institut drar inte i samma riktning. För oss skandinaver är det nog alldeles uppenbart mycket värdefullt att tillhöra en global organisation, men hur är det? Har alla samma passion? Njae Exempelvis klarar sig nog UK & Ireland mycket bra för sig själva som en del av the Commonwealth of Nations. En paraplyorganisation även för andra professioner? Richard förde fram tanken att IIA kanske borde ta in riskhanterare och internal control professionals bland våra medlemmar då en»blurring of the lines between these professions» håller på att uppstå det är inte längre överallt solklart vad som är vad. Samtidigt såg Richard en risk med paraplyorganisationer: försöker vara allt för alla, så riskerar man att inte bli någonting för någon. Vi är inte ensamma om att överväga att bli en paraplyorganisation. Externrevisorernas organisationer har tänkt samma tanke. UK:s representant framförde att vi måste ha kompetens och auktoritet så att vi uppfattas»äga begreppet risk». Mentorskap och lärlingsprogram Claudelle, CSO i Sydafrika presenterade ett program för mentorskap och lärlingsprogram som är unikt för Sydafrika och lät intressant. En pensionerad mycket erfaren före detta internrevisionschef med gott anseende är mentor för mentorerna och leder programmet. Många internrevisorer har erfarenhet från externrevisionen från Big Four och har där fått»on the job training» för att lära sig verktygslådan som revisor. De som inte har den bakgrunden kan i Sydafrika få något liknande genom ett lärlingsprogram i institutets regi. Risk att vi blir irrelevanta om vi blir alltför introverta Det finns bara en handfull stora amerikanska organisationer som har certifierade internrevisionschefer. Richard framförde att det finns en risk om vi blir alltför introverta och trycker för hårt på certifiering, det kan sluta med att vi blir irrelevanta för»the general business community». LinkedIn, Twitter, Facebook Sociala medias roll diskuterades och UK & Ireland använder till exempel Twitter för ny information och inte så få institut har länkar till Facebook och LinkedIn. Vi överväger en koppling mellan vår nya hemsida, som lanseras under våren, till LinkedIn. Arbeta i en positiv anda med förtroende för varandra! Richard avslutade med att betona vikten av att vi inom IIA arbetar i en positiv anda av förtroende för varandra. Vi må vara revisorer i vår dagliga gärning men inom IIA kan vi inte revidera varandra.»that is just extremely inefficient and detrimental to moral!» Väldigt mycket mer än så naturligtvis ovanstående är avsett att ge en känsla för vad som diskuteras vid globala möten. Klas Schöldström, GS/VD INTERNREVISION 1/

20 UTBILDNING KURSER 2011 Mer information hittar du på GRUNDKURS I INTERNREVISION 5 17 mars och 8 10 november Internrevisionen har fått en allt viktigare roll och betydelse, bland annat genom lagstiftning, ägarstyrningskoder och börsregler inom såväl privat som offentlig sektor. Denna tredagarskurs i praktisk internrevision tar deltagare med olika bakgrund genom grunderna för internrevision samt de vanligaste metoderna och granskningsteknikerna. Kursen ger deltagarna en vägledning vad gäller planering och genomförande av granskningsarbetet och av hur»riktlinjer för internrevision» ska tillämpas. Lärare, vår: Hans Löfgren, lärare 2 ännu ej klar Lärare, höst: Mikael Boo, lärare 2 ännu ej klar INTERN STYRNING OCH KONTROLL mars och september Kursen, ett samarbete mellan Far Akademi och Internrevisorerna IIA, ger dig en stabil grund för att följa de alltmer växande kraven på intern styrning och kontroll som gäller för alla moderna företag. Du får även en praktisk insikt i att som internrevisor, externrevisor, controller eller rådgivare förstå den nytta som du kan tillföra i ditt företag. Kursen baseras på, och ger dig grunderna i COSO:s ramverk, den mest spridda standarden för intern styrning och kontroll. Lärare, vår: Hans Löfgren och Torbjörn Wikland Gunilla Werner Carlsson, lärare och CIA-ansvarig i en och samma person. Foto: Lars Torndahl Lärare, höst: Hans Löfgren och Torbjörn Wikland RIKTLINJER FÖR INTERN- REVISION INTERNATIONAL PROFESSIONAL PRACTICES FRAMEWORK (IPPF) 5 maj För att framstå som en specifik och trovärdig profession måste internrevisionen ha en identitet som är tydlig för intressenterna. Identiteten skapas bland annat genom att det finns ett tvingande regelverk som internrevisionen har att följa vid utförandet av sina uppdrag. Denna kurs innebär att vi under en dag intensivt går igenom regelverket, definition och etiska regler och diskuterar hur vi i vårt arbete på bästa sätt förhåller oss till dessa. Lärare: Hans Löfgren och Bernt Gyllenswärd KVALITETSSÄKRING oktober Hur ska en styrelse kunna vara säker på att deras internrevision uppfyller rimliga yrkesmässiga krav och kvalitetskrav? Internrevisionen ska kvalitetssäkras på motsvarande sätt som internrevisionen kvalitetssäkrar andra. Under två dagar går vi igenom regler, metoder och hjälpmedel för kvalitetssäkring. Lärare: Hans Löfgren och Bernt Gyllenswärd VERKSAMHETSINRIKTAD REVISION september Internrevisionens systematiska och strukturerade utvärdering av verksamhetens styrning och kontroll ger ett värdefullt bidrag till organisationerna. Kursen, som är praktiskt inriktad, kommer att ge dig kunskap och metoder för att utvärdera styrning och kontroll i verksamheten Lärare: Anna Blondell och Gunilla Werner Carlsson ÖVERSIKTSKURS I IT-REVISION april IT intar en alltmer integrerad och dominerande roll i verksamheters arbetsoch affärsprocesser. Det innebär ökade krav på revisionens och andra funktioners kunskaper om IT och 20 INTERNREVISION 1/2011