Nummer Vilka risker tar internrevisorn?

Transkript

1 Internrevision Nummer Vilka risker tar internrevisorn?

2 intern revision Tidskrift om internrevision. Utgiven av Internrevisorerna Nummer 2, april 2006 Material för publicering skickas direkt till tidningens adress eller till Yvonne Alnebjer, adress se nedan Redaktionskommittén består av följande personer: Peter Strandh, redaktör Ernst & Young AB, Box 7850, Stockholm tel , fax E-post: Yvonne Alnebjer, redaktionssekr/layout KPMG, Box 49, Västerås, , fax E-post: Inga Astorsdotter, Uppsala universitet, Box 256, Uppsala Tel: , mobil: E-post: Johanna Conradsson, ICA AB, Solna tel , fax , mobil E-post: Åsa Wallberg, Internal Audit Activity, R 552, Nordea, Stockholm tel: , mobil: E-post: asa.wallberg@nordea.com Nästa nummer: Manusstopp den 5 juni Prenumeration: 300 kronor per år för icke medlem. Annonser: Baksida kronor Annons helsida kronor, halvsida kronor. Flergångsannons 10 procent rabatt. Alla priser exkl moms. Ansvarig utgivare: Guidon Berggren ISSN: Tryck: Westerås Media Produktion, Västerås Bilder: Redaktionen och medlemmar Klas Schöldström, (Generalsekreterare) Internrevisorerna, Kontoret Strandvägen 7 A, Strandvägen 7 A, Stockholm tel , E-post: klas.scholdstrom@internrevisorerna.se Hans Löfgren, (Internationell rådgivare) PWC, Stockholm, tel E-post: hans.lofgren@se.pwc.com Elisabeth Styf, (Internationell rådgivare och styrelseledamot i ECIIA) Skandia, Sveavägen 44, Stockholm Tel , fax , mobil Elisabeth.Styf@skandia.se Sten Bjelke, (Internationell rådgivare och ordförande i Etiknämnden) Källvägen 17, Enskede tel , fax , mobil E-post: sbjelke@bredband.net Kontaktpersoner Styrelse och kommittéer Guidon Berggren ordförande, KPMG, Box 49, Västerås tel , fax E-post: guidon.berggren@kpmg.se Ann-Charlotte Klingberg, vice ordförande, Securitas CHS Holding AB, Box 902, Solna tel , fax , mobil E-post: anncharlotte.klingberg@securitas.se Charlotta Löfstrand Hjelm, sekreterare, AFA, Klara Södra Kyrkogata 18, Stockholm, tel , fax E-post: charlotta.hjelm@afa.se Carina Petersén - Malmström, (Marknadskommittén), Skandia Liv, Stockholm, tel , fax E-post: carina.petersen@skandia.se Ingmari Öhman, ledamot Svenska Röda Korset, Box , Stockholm, tel , mobil E-post: ingmari.ohman@redcross.se Ulla-Kari Fällman, (Utbildningskommittén) Sveriges Lantbruksuniversitet, Box 7082, Uppsala tel , fax , mobil Lars Agerberg, ledamot Skandia Insurance Company Ltd, Sveavägen 44, Stockholm tel , fax , mobil Richard Minogue, ledamot Hibis Scandinavia, Apelbergsgatan 36, Stockholm Tel , fax , mobil Bernt Gyllenswärd, ledamot SEB, ST M1, Stockholm Tel , fax , mobil E-post: bernt.gyllensward@seb.se Harald Lööf, ledamot ICA AB, Svetsarvägen 16, Solna Tel , fax E-post: harald.loof@ica.se Bo Myrup, (Nomineringskommittén) Karolinska Institutet, Solna, tel E-post: bo.myrup@admin.ki.se Lars Gyllenswärd, (IT-kommittén) KPMG - IRM, Box 16106, Stockholm tel , fax E-post: lars.gyllensward@kpmg.se Yvonne Alnebjer, (Redaktionskommittén), KPMG, Box 49, Västerås, tel , fax E-post: yvonne.alnebjer@kpmg.se 2 InternreVision 2006/02

3 Innehåll nr Redaktören 6 Ledaren 7 Från årsmötet 8 CIA-spalten 9 Intervju med Peter Strandh 10 COSO för riskhantering 14 Ökade krav på intern kontroll i den finansiella rapporteringen - Innebär ökat fokus på IT Svår hackerattack stora återställningsproblem 20 IT-kommittén 21 Internrevisorernas Etiknämnd Yrkesstrategiska gruppen 22 Internrevisionsdagarna Nätverksträffar - Riskbaserad revisionsplan - Vad händer efter revisionsrapporten? 24 Outsourcing av ITproduktion 26 Utveckling A och O för Nordeas revisorer 27 Besök från Moçambique 28 Nya medlemmar intervjuas 30 ESV 30 Granskning klar vid Universitetet i Oslo 32 Kurs i Kvalitetssäkring Reportage från COSOkurs 34 Från kansliet Internal Auditor Intresserade medlemmar Internrevisorernas kansli: Internrevisorerna Kontoret Strandvägen 7 A STOCKHOLM Telefon till kansliet, Klas Schöldström, tel , fax e-post: klas.scholdstrom@internrevisorerna.se Är du intresserad av att lära känna några av dina kollegor runt om i Sverige och för övrigt även i andra länder? Är du intresserad av att utveckla dig själv i ämnet intern revision och samtidigt verka för Internrevisorerna? Föreningens e-postadress: info@internrevisorerna.se Hemsidans adress är: InternreVision

4 Redaktören Peter Strandh första gången som redaktör Peter Strandh Första gången som redaktör När vi träffar andra människor för första gången ansikte mot ansikte har vi mindre än en minut på oss att göra ett första intryck. Undrar hur många rader jag som ny redaktör har på mig för att göra ett första intryck? Kan väl egentligen kvitta när jag nu helt frivilligt sitter ännu en sen vardagskväll framför datorn och plitar på dessa rader. Jag tycker det skall bli intressant och roligt att som ny redaktör för Internrevision kunna vara med och utveckla, inte bara tidningen, utan kanske även synen på yrket som internrevisor. Det är många saker som trycker på när dessa första rader skall fram. De är inte alls heltäckande men om jag nu ändå är redaktör så kan jag väl passa på och sticka ut hakan inom några områden. Nyttiga lärdomar av SOX 404 Inte sällan känns det i debatten som att de i näringslivet med mest negativa synpunkter på SOX 404 är de som de facto inte har några praktiska erfarenheter av arbetet. Det finns en hel del att lära av SOX 404, såsom vikten av en god generell IT-kontrollmiljö. En av de artiklar som ni kan läsa i detta nummer belyser just denna frågeställning. Det finns en del annat att lära av SOX 404, som att företag nu inser hur viktigt det är med starka bolagsövergripande kontroller, det vill säga tydliga regler för vad som är acceptabelt och vilka regler som gäller i en organisation. Vi har också genom SOX 404 sett några revivals i form av att COSO-ramverket, som skrevs i början av 90-talet och hittills levt en tynande tillvaro, nu åter är i ropet som det i stort sett enda globalt accepterade ramverket för god intern kontroll. Ett annat område är Control-Self-Assessement/självutvärdering (CSA) som jag föreläste om på internrevisorernas höstkonferens Fler företag ser nu seriöst över hur CSA kan implementeras som ett komplement till internrevisionens granskningar. Vad vill ni läsa om? Redaktionskommittén behöver idéer och uppslag till artiklar samt även hjälp med att skriva artiklar i olika ämnen. Frågan är vilka områden vi skall täcka. Vill ni ha flera hemma-hos-reportage eller skall vi höja ambitionen och även ta med artiklar om revisionsteknik? Externrevisorernas tidning Balans utan redovisningsfrågor skulle bli rätt platt eller? Hur får vi fler läsare till vår tidning? Om det nu är det vi vill? Hur får vi ledande befattningshavare och styrelser att läsa vår tidning? Varför inte fler artiklar med innehåll om hur internrevisorer skapar värden för de organisationer och företag de arbetar inom? Detta kräver dock engagemang från er läsare, att vara villiga att dela med er av era konkreta erfarenheter hur ni dagligen skapar mervärden till era organisationer. 4 InternreVision 2006/02

5 Redaktören Internrevision i medvind Som internrevisor läser jag i år med speciellt intresse de noterade och statligt ägda företagens årsredovisningar för 2005 och deras hemsidor. Där letar jag fram internkontrollrapporten för att se vilka företag som har internrevisor. Men vad som framförallt är av intresse är vilka förklaringar de företag har som inte har internrevision och varför de inte anser sig behöva internrevision. Jag kan dessutom tänka mig att många företag kommer att skriva att de för närvarande håller på och utvärdera behovet av sådan funktion. Blir spännande att se om antalet företag med internrevisionsfunktion ökar. Internrevision är hett. Det är många företag/organisationer som nu inrättar en ny funktion för internrevision. Några exempel är Securitas, Stena, Finansinspektionen, BGC, Assa Abloy och fler överväger detsamma. Den svenska bolagsstyrningskoden kan komma att visa sig vara mycket nyttig för yrkesgruppen internrevisorer. Oaktat vad många tycker är CIA (Certified Internal Auditor) fortfarande den enda globalt accepterade kvalitetsmärkningen och certifieringen av internrevisorer. Se på CISA som idag i stort sett ses som ett grundkrav för att kunna verka som IT-revisor. Men det finns mycket kvar att göra Hur kommer det sig att många verkar tycka att vara managementkonsult är bland det sexigaste man kan göra till skillnad från att bara vara internrevisor? Vad är det en managementkonsult kan göra som inte en internrevisor kan göra bättre? Internrevisorerna borde ha utmärkta förutsättningar att genomföra väl så intressanta och relevanta projekt/granskningar då de dels arbetar långsiktigt i en organisation över flera år och dels att de har direkt tillgång till den verkställande ledningen. En av utmaningarna för internrevisorer är förmågan att utöka sin arsenal av riskområden att utvärdera hanteringen av och inte köra Same procedure as every year. Det vill säga ett antal ständigt återkommande uppföljningsgranskningar av områden som man i och för sig behärskar bra men som med åren blivit söndergranskade. Vi måste hela tiden våga oss ut på ny mark och förändras i takt med våra organisationer. Ett annat positivt tecken som jag ser i min dagliga yrkesutövning är att antalet uppsatser på våra universitet inom områden som internrevision, internkontroll och risk management ökar. Kan detta på sikt medföra att vi får fler yngre och välutbildade till internrevisorer? När våra uppdragsgivare i form av styrelse, VD och GD m.fl. (in)ser att en kompetent internrevisionsfunktion är av strategisk vikt och ger konkurrensfördelar, innebär detta då att vi har nått målet? Sist men inte minst. Darwin lär ha sagt något i stil med It is not the strongest of the species that survive, nor the most intelligent. Rather, it is those most responsive to change. Eder ödmjuke Peter Strandh Tack! På Internrevisionsdagarna skrev Kerstin Dahlblom, KPMG, detta rim. På ett granskande argusöga Ställs kunskapskrav så höga En dos inspiration Ger hjärnan din motion Du behöver vara visionär Lite hjälp det får du här Kerstin vill ge alla sina kollegor, internrevisorer, tidningen InternreVision som hon tycker ger inspiration. Som tack för de vänliga raderna om tidningen ger vi henne en chokladask till påsk. InternreVision

6 Ledaren Trädgårdsskötsel med många plantor påverkat de nuvarande beslutsfattarna, 40-talisternas syn på trädgårdsodling. Det gäller för oss att visa upp vad vi kan om vi ska kunna skörda frukterna framöver. Guidon Berggren Årsmötet var det första för mig som ny ordförande. Det kändes lite omtumlande eftersom vi inte ännu har allt på plats. Det frö vi omhuldade förra året var ekonomin eftersom den var eftersatt och innebar att vi inte fick den blomning som vår förening har gjort sig förtjänt av. Vi lyckades med den målsättningen och fröet slog ut i full blom med ett kanonresultat som följd. Vi lyckades med utbildningen och fick igång ett bra utbildningsprogram. I år ska det bli ännu bättre och utbildningskommittén har satt en hög målsättning med ett större utbud av kurser. Vi måste också få igång erfarenhetsgruppen och nätverken så att utbudet till alla våra medlemmar att förkovra sig i yrket tillgodoses. Ann-Charlotte Klingberg kommer att samordna och odla den verksamheten, så här känner jag en stor tillförsikt. Internrevisionsdagarna blev också mycket lyckade förra året och vi lärde oss en hel del inför framtiden. Bernt Gyllenswärd är den ledande trädgårdsmästaren för det team som redan är i full gång med planteringen. Det gäller för teamet att välja sorter som passar alla så att utbudet blir så stort och intressant som möjligt. Jag är helt övertygad om att vi kan se fram emot intressanta och innehållsrika Internrevisionsdagar den november. Kansliet hade stor resursbrist förra året och kunde inte ge den service som erfordrades för att skapa en bra trädgård. I år ska vi försöka rätta till detta och ger kansliet all den näring och resurser som behövs för en förbättrad medlemsservice. Det är ingen lätt uppgift men med en generalsekreterares goda insikt och vilja så kommer kansliet att bli framtidens växthus. Det var glest mellan plantorna på årsmötet trots att vi hade en av Sveriges främsta revisorer som inledningstalare. Det tyder på ett visst ointresse för trädgårdsskötseln inom föreningen, så den nya styrelsen har som sin främsta uppgift inför detta år att plantera in fler intressanta sorter för att få trädgården att blomstra. Caj Nackstad påpekade i sitt inledningstal att det är nu som vi har en osedvanligt bra jordmån för att bruka jorden. Det har varit rena öknen tidigare vilket Jag fick en inbjudan att hålla ett anförande på Risk Forum, en konferens som anordnades av SWERMA (Swedish Risk Management Association). Det var min första externa uppgift som ordförande och det kändes riktigt bra att komma igång med marknadsföringen och att synas ute på marknaden. Jag pratade under rubriken Internrevisionens roll i ERMprocessen och responsen från deltagarna blev mycket positiv. Kunskapen om internrevision visade sig vara bristfällig trots att Risk Management ligger så nära vår profession. Vi enades om att försöka hitta former för att utveckla ett samarbete mellan våra organisationer vilket skulle stimulera både dem och oss. Det här ska bli kul och jag tycker vi har mycket att ge. Men det gäller att vi alla ställer upp och ger allt för att få professionen känd och respekterad på marknaden. Alla insatser, stora som små, och varje möte med beslutsfattare är ett säljtillfälle av ett enormt stort värde för professionen. Hoppas alla tänker på det vid varje tillfälle. Vår tid är nu! 6 InternreVision 2006/02

7 Caj Nackstad från KPMG inledningstalade Caj Nackstad inledningstalade vid årsmötet Ambitionen bör naturligtvis vara att återskapa värdet i begreppet internrevision, men det är en betydligt jobbigare resa. Konjunkturen är nu lysande för internrevision efter Corporate Governance skandalerna. Som externrevisor anser Caj att det är lönsamt med internrevision i alla större företag. Internrevisionen behöver inte vara stor, men den skall vara vass! Caj pekade också på möjligheten att använda personer i organisationen utanför internrevisionsfunktionen som deltagare i teamen, eller outsourcing av hela eller delar av internrevision. Inledningstalare vid årsmötet var Caj Nackstad från KPMG som är en av Sveriges topprevisorer med nio uppdrag bland börsbolagen. Caj inledde med att han var tacksam för att bli inbjuden att tala vid vårt årsmöte och att han hade för avsikt att vara ärlig och uppriktig, inte nödvändigtvis stryka medhårs. Hans huvudbudskap var att internrevisorer har ett rejält problem med sitt varumärke. Många av dagens viktiga beslutsfattare fick sin bild av vad internrevision är på och 80-talen, och då var internrevision väldigt löst definierat, spretigt och man sysslade med många olika saker som att vara en del av in- ternkontrollen, till exempel granska reseräkningar. Man arbetade inte alltid enligt en revisionsplan, utan mer ad hoc och rekryteringen var tyvärr ibland av karaktären att personer som blivit över på andra håll placerades hos internrevisionen. När man i dag diskuterar att inrätta internrevision vid bolag blir därför tyvärr reaktionen ibland nej, nej, nej det där skall vi inte ha tillbaka. Caj menade att det därför många gånger i dag skulle vara lättare att kalla internrevisionen för något annat som inte är belastat med negativa associationer för vissa viktiga beslutsfattare, till exempel Management Assurance. Caj tycker att internrevisionens Professional Practices Frame-work är en grundlig och bra checklista, men tycker att den har litet väl många ord och är litet för amerikansk. Han tycker också att den blir litet vidsträckt då den måste täcka så många olika typer av internrevision. CIA ser han som ett utmärkt verktyg att bygga en professionell ackreditering på i kombination med medlemskap i vår globala förening. Caj ser det som en kvalitetsstämpel och uppmanade oss gör mer av det! Klas Schöldström InternreVision

8 Från årsmötet Vi var 28 medlemmar som tisdagen den 28 mars samlades i SEBs lokaler vid Sergels Torgs för att, efter ett inledande anförande av Caj Nackstad, genomföra föreningens årsmöte. Till årsmötets ordförande valdes Andes Hult och till dess sekreterare undertecknad, Charlotta Löfstrand Hjelm. Årsredovisningar för både föreningen och föreningens bolag ISAB redovisades samt fastställdes och styrelsen beviljades ansvarsfrihet för det gångna året. Val av styrelsen för 2006 genomfördes på föreningsmöte i samband med Internrevisionsdagarna 2005 och något fyllnadsval var ej aktuellt. Till Etiknämnd valdes Sten Bjelke (Ordförande) och som ledamöter Maria Nikula samt Gunilla Werner Carlsson. En ny instruktion för denna nämnd antogs också. Övriga val genomfördes i enlighet med valberedningens förslag. I övrigt behandlades och godkändes budget för 2006 inklusive styrelsens förslag till avgifter till förening och bolag. Utskickade förslag till stadgeändringar godkändes och i enlighet med ändrade stadgar valdes Ann-Charlotte Klingberg till vice ordförande. Några motioner var ej inlämnade. Protokollen kommer du kunna ta del av om du besöker föreningens hemsida. Charlotta Löfstrand Hjelm Styrelsens sekreterare CIA-spalten Hej alla blivande och nuvarande CIA, CCSA och CFSA! Harriet Sundaeus förlåt att jag glömde bort att ta med dig i förra spalten i uppräkningen över dem som klarat alla fyra delarna vid ett och samma tillfälle. Jag förstår att du var besviken då men jag vill gärna, om än lite försenad, även framhålla din goda prestation, tillsammans med de två som uppmärksammades i förra spalten! Våren är nästan här känner ni det och ett säkert vårtecken är att anmälningarna till CIA-proven i maj haglar in!! En intressant iakttagelse de tre sista dagarna i mars är posttrafiken het men är det verkligen så att alla bestämmer sig just dessa dagar? I alla fall vill jag påstå att till denna tentamensomgång är det all time high, både vad avser antal deltagare och antal avlagda prov. Vi har idag, när anmälningstiden gått ut, 64 personer som tillsammans avser att skriva 119 delprov. Imponerande! Och det roliga är att det inte längre är del I som har flest deltagare utan del II, vilket jag tolkar som att vi har ett större antal som nu verkligen har bestämt sig för att genomföra alla delproven. Så jag och föreningen ser fram emot att få dela ut fler diplom och nålar till nya CIAs framöver. Summerar vi antalet efter de två provomgångarna fick vi 16 nya CIA och en ny CCSA i Sverige efter proven avlagda Här kommer en pekpinne/påminnelse i repris! För de CIA som efter 2005 ska rapportera in sina CPE-poäng vill jag än en gång påminna att den rapporten ska skickas till mig och inte direkt till USA, trots vad som står på IIAs hemsida. Det har varit en hel del fram och tillbaka om när man ska rapportera och även den här spalten har tyvärr bidragit till förvirringen. IIA har dock verksamt bidragit till att minska förvirringen genom att konstatera att det är slutsiffran i medlemsnumret som avgör när rapportering ska ske. Nu gäller det alltså för dem som 2006 ska rapportera sina CPE-poäng för 2005 och 2004 ja just det, ni som har jämn slutsiffra i medlemsnumret - att plocka upp blanketten på hemsidan och skicka den till mig. Det finns tyvärr ingen chans att bli först i år den första rapporten kom till mig redan den 3 januari! Jag har fått en färsk fil över CIA och CCSA i Sverige från IIA. Där kunde jag se att det är en del som fortfarande står som aktiva CIA trots att de numera jobbar med annat eller har gått i pension. Får jag be alla er som inte riktigt minns om ni meddelat förändrad yrkesstatus till CIA-samordnaren tidigare att göra en anmälan till mig. Detta påverkar också kravet på inrapportering av CPE-timmar, så korrekta uppgifter i våra register sparar en del arbete för mig som ska fråga och för er som ska svara! Tusen tack på förhand för den hjälpen! Jag ser fram emot en hel drös av meddelande om CPE-poäng och uppdatering av yrkesaktivitet! Vänliga vårhälsningar Gunilla gunilla.wernercarlsson@kpmg.se 8 InternreVision 2006/02

9 Intervju med Peter Strandh Vem är den nye redaktören? En strålande vårdag då snön börjar smälta från hustaken beger jag mig till Ernst & Youngs kontor i Stockholm för ett möte med den nye redaktören, Peter Strandh. En ny utgåva av Internrevision ska fram och det är viktigt att vårt samarbete kommer att fungera. Peter möter mig med ett glatt leende och starkt handslag och jag känner mig väl till mods när jag börjar min intervju. Vem är du Peter och hur ser ditt liv ut idag? Jag är uppvuxen i Västerort och bor i en villa i Solhem i gamla Spånga. Bor tillsammans med sambon Margareta och dottern Eleonora som är 17 år och går på Kungsholmens Gymnasium. Jag är Partner hos Ernst & Young sedan 1997, auktoriserad revisor sedan 1989 och även CIA sedan november Hur ser din bakgrund ut innan du kom till Ernst & Young? Min yrkeskarriär som externrevisor påbörjades redan 1980 på Oskar Silléns Revisionsbyrå som nu är en del av Ernst & Young. Jag har även hunnit med att arbeta som externrevisor och delägare hos Arthur Andersen och Peters & Co samt prövat på jobbet som administrativ chef på Globetrotter Tour Production. Hur kom det sig att du började som revisor? Anledningen till yrkesvalet som revisor beror nog framförallt på att jag hade en lärare på universitetet, Jörgen Schumacher, som var en stor förespråkare för yrket som externrevisor. Hur länge har du arbetet med internrevision och hur arbetar du idag? Jag har arbetat med internrevisionstjänster i olika former alltsedan Inom Ernst & Young ansvarar jag för Risk Advisory Services som har drygt 100 anställda medarbete i Stockholm och Göteborg. Området innefattar kompetens inom bl a internrevision, IT-revision/säkerhet, riskhantering, operational improvements, bedrägeriutredningar, processförbättringar och intern kontroll. Hinner du med några fritidsintressen? Ja, intresset framför allt är att köra motorcykel och jag kör sedan tre år tillbaka en BMW K1200 GT, hackar mig fram på golfbanan och så gillar jag segling. Jag ser gärna på japanska mangafilmer. Dessutom är jag född AIKare. I övrigt gillar jag musik med Elvis Costello, Nick Lowe, David Byrne och nu även Laleh som har en grym låt som heter Bostadsansökan. Lyssna och njut... Hur ser du på din roll som redaktör för tidningen Internrevision? Det blir en spännande uppgift och utmaning inte minst tidsmässigt med tanke på mitt övriga så digra schema med det faktum att jag redan nu jobbar ca timmar per vecka. Då jag har svårt att säga nej, framförallt till nya kunder, så kom det även att gälla när Guidon Berggren för några månader sedan undrade om inte jag hade lust att ta över rollen som redaktör för tidningen Internrevision. Självklart, blev den snabba responsen då jag direkt såg det som en ny och intressant utmaning framförallt med tanke på den positiva framtid som internrevisionen har framför sig. Som ny redaktör för tidningen Internrevision ser jag mycket fram emot att få vara med och utveckla densamma för våra medlemmar men även se om vi inte kan skapa ett intresse för tidningen hos beslutsfattare som påverkar yrket som internrevisor Jag återvänder hem till arbetet med Utgåva 2 och önskar Peter lycka till. Yvonne Alnebjer Redaktionssekreterare InternreVision

10 COSO COSO för riskhantering Text: Torbjörn Wikland, Regeringskansliet I den förra artikeln - om COSO för intern styrning och kontroll - konstaterades bl.a. Att den första COSO-rapporten Internal Control Integrated Framework gäller fortfarande oavsett att den nya rapporten Enterprise Risk Management Integrated Framework har kommit ut. Sambanden mellan de två ska jag belysa i denna artikel Att de nya kraven på finansiell rapportering och, bakom den, uttalandet om den interna kontrollen hos börsbolagen inte får förvilla oss. COSO: s ramverk för intern styrning och kontroll är bredare än så. Den syftar minst lika mycket till bättre förutsättningar för en effektiv verksamhet och förmåga att följa lagar och riktlinjer. Att många vill vidga fokus från den finansiella rapporteringen till all intern rapportering. Stöd för detta kan sägas komma i just COSO: s ramverk för riskhantering. Även detta ska jag beröra. Först definitionen av riskhantering i COSO: s nya ramverk Så här definieras riskhantering (Enterprise Risk Management ERM): Ett företags riskhantering är en process, formad av företagets styrelse, ledning och annan personal, utförd inom ramen för strategisk planering och över hela företaget, skapad för att identifiera händelser som kan påverka företaget, och hantera risker inom ramen för dess accepterade risknivå och ge rimlig försäkran om att företagets mål kan uppnås (min översättning). Notera två skillnader jämfört med definitionen för den interna styrningen och kontrollen: a) hänvisningen till företagets styrelse och ledning och omnämnandet av strategisk planering flyttar fokus högre upp i företaget, b) begreppet intern styrning och kontroll är inte omnämnt. Riskarbetet knyts till företagets mål som är uppdelade i fyra kategorier: Strategiska det vill säga sådana som avser mål på hög nivå, nära knutna till och stödjande företagets syfte Operationella som avser effektiv och produktiv användning av företagets resurser Rapportinriktade som avser tillförlitligheten i ett företags rapportering Lag- och regelinriktade som avser företagets följsamhet mot gällande lagar och regler Tre av de fyra målkategorierna känner vi igen från ramverket för intern styrning och kontroll. Den nya kategorin är de strategiska målen. En mindre men viktig skillnad är också att all rapportering ska beröras i riskhanteringen inte bara finansiell rapportering. Fem komponenter har blivit åtta Ett företags riskhantering utgår ifrån det sätt som ledningen sköter ett företag och är integrerad i ledningsprocessen. Riskhanteringen, säger COSO, består därför av åtta sammankopplade delar: 1. Den interna miljön, 2. målformulering, 3. händelseidentifiering, 10 InternreVision 2006/02

11 COSO 4. riskvärdering, 5. riskåtgärder, 6. kontrollaktiviteter, 7. information och kommunikation och 8. uppföljning och utvärdering. De fem komponenterna för god intern styrning och kontroll har i riskhanteringen blivit åtta komponenter. Vid närmare granskning framgår både likheter och skillnader mellan de två perspektiven: Den interna miljön i riskhanteringen motsvarar i stort Samtliga det EU:s som medlemsstater kallas kontrollmiljön fanns representerade för den interna vid konferensen styrningen och kontrollen och har fokus på de mjuka värdena i företaget. Det nya är främst betoningen att ledningen ger riktlinjer som gäller risk och etablerar en nivå för riskacceptans. Målformulering Det är en ny komponent jämfört med komponenterna för den interna styrningen och kontrollen. I det ramverket noterades endast att formulerade mål är en förutsättning för riskbedömning och kontroll. I ramverket för riskhantering kopplas formulerandet av bra mål till riskanalysen så att företagets mål är konsistenta med dess nivå för riskacceptans. Riskbedömning har blivit tre komponenter i ramverket för riskhantering händelseidentifiering, riskvärdering och riskåtgärder. Det markerar behovet av en mer strukturerad riskanalys men innehåller också en helt ny aspekt: Det inbegriper att urskilja händelser som representerar risk och sådana som representerar möjligheter, och sådana som är bådadera. Möjligheter kanaliseras tillbaka till ledningens strategi eller processen för målformulering. Risker är således inte bara negativa utan även positiva ( downside risks och upside risks är vanliga uttryck på engelska). Vad står då det nya ramverket för? 1. Själva rapporten (COSO Enterprise Risk Management Integrated Framework) kom 2004 och liknar till det yttre den tidigare om intern styrning och kontroll från Den är således ingen handbok utan en beskrivning av och ett ramverk för vad som utmärker god riskhantering. Som antytts ovan inkluderar den definitioner av viktiga begrepp. Dessutom har den en utförlig bilaga med många exempel på metoder i riskhanteringsarbetet. 2. Den nya rapporten är ett fristående komplement till den tidigare COSO-rapporten. COSO-rapporten om riskhantering är således ingen uppdaterad version av den tidigare rapporten om intern styrning och kontroll. I den nya rapporten fördjupas behandlingen av riskfrågorna samtidigt som den knyts tydligare till företagsledningen och dess ledningsperspektiv. Fokus ligger på företagsledningens mer dynamiska perspektiv kopplat till dess behov av underlag för mer strategiska överväganden där företaget återkommande möter nya hot och möjligheter för att växa och överleva. Det betyder att COSO kan se riskfrågor kopplade till intern styrning och kontroll som delvis InternreVision

12 COSO skilda från företagets övergripande riskhantering. I det första perspektivet (intern styrning och kontroll) är utgångspunkten främst att förbättra företagets/organisationens förmåga att fungera säkert och effektivt utifrån givna mål och förutsättningar. Praktiskt blir det ofta en fråga för en eller flera controllers i den operativa verksamheten. I det andra perspektivet (riskhantering) vidgas riskfrågorna till att inkludera även företagets/organisationens förmåga att växa och överleva i ett större perspektiv. Då är det närmast en fråga för en Risk Manager funktion även om ett företag kan välja att knyta samman dessa två funktioner i en. 3. Det finns även inslag av uppdatering av den tidigare COSO-rapporten Som redan antytts innehåller den andra COSOrapporten några förändrade synsätt, begrepp och ansatser jämfört med den första COSO-rapporten och finns sammanfattade i en bilaga till rapporten. Det kan även tolkas som en mindre uppdatering av den första rapporten och svarar väl mot invändningar och kompletteringar som framförts i bland annat de engelska, kanadensiska och australiska rapporter som nämnts i den tidigare artikeln: Det gäller målet att trygga all rapportering i företaget, inte bara den finansiella rapporteringen. Denna utvidgning kan, som bland annat. internrevisorer påpekat, direkt överföras till målen för god intern styrning och kontroll. I auktoritativa uttalanden från arbetet med den nya bolagskoden i Sverige har redogörelsen på denna punkt för den första COSO-standarden varit oklar. I den andra rapporten påpekas också behovet av att ställa samman riskbilder från olika delar av verksamheten och göra helhetsbedömningar av riskerna i hela företaget. Därmed kan de avdelningseller områdesspecifika riskvärderingarna och åtgärderna komma att förändras. Denna fråga berörs bara flyktigt i den första COSOrapporten. Riskbegreppet utvidgas och preciseras på flera sätt i den nya rapporten och kan också överföras till den interna styrningen och kontrollen. De positiva riskerna (som är nära kopplade till själva företagandet) finns med. Samtidigt preciseras behovet av att företagsledningen ger uttryck för den risknivå som kan accepteras i företaget. Här bör dock tilläggas att de positiva riskerna är en aspekt som kan vara svår att överföra till svensk statsförvaltning eftersom dess mål är satta av regering och riksdag. Enkelt uttryckt blir frågan om de positiva riskerna snarast en fråga för den politiska ledningen och inte för myndigheterna. Här finns således en skillnad mellan företag och myndigheter. Vad händer framöver med COSO: s nya ramverk? a. Även om Enterprise Risk Management funnits som begrepp under flera år kan man räkna med att COSO: s nya ramverk efter hand kommer få stor betydelse framöver. Hur utvecklingen mer i detalj kommer att bli är dock svårt att säga. Enkätundersökningar visar att det fortfarande är en minoritet företag som har ett fullt utvecklat ERMperspektiv implementerat. Hur man i ett företag, en myndighet eller annan organisation förverkligar COSO: s ramverk för riskhantering måste dels avgöras utifrån de specifika förutsättningar som gäller företaget, dels utifrån en värdering av de olika handböcker, checklistor och synsätt som bedöms lämpliga för ett införande. b. Till bilden hör också att genomslaget för COSO: s ramverk för intern styrning och kontroll med all sannolikhet inte är slut. COSO är nu på väg med en ny rapport om intern styrning och kontroll i mindre noterade företag (remissutgåva 2005 och beräknad slutrapport 2006). Rapporten utgår främst från de krav som Sarbanes-Oxley Act ställer på den finansiella rapporteringen från mindre noterade företag. De frågor som behandlas i rapporten är dock i flera fall lätta att generalisera till alla företag. Vägledningen kommer således med förslag till förenklingar och särskilda råd när det gäller utformningen av intern styrning och kontroll som även är tillämpliga på större företag och andra organisationer. Det gäller särskilt den lista på 26 grundläggande principer (eller målfrågor) som bör gälla för en effektiv intern styrning och kontroll. Det sägs i remissutgåvan uttryckligen att dessa principer kan gälla både små och stora företag. De kan således också uppfattas som ett förtydligande av den första COSO-rapportens ram- 12 InternreVision 2006/02