www.pwc.com/se Internkontroll och riskhantering - Ledning och styrelse har ansvaret! Styrelsearbete i kommunala bolag 2015
Vad innebär styrning och intern kontroll? - Exempel på när det brister
Exempel på regelverk/koder Sverige Aktiebolagslagen Årsredovisningslagen Lag (1997:239) om arbetslöshetskassor USA Asien Sarbanes-Oxley Act (SO) Japaneese SO Svensk kod för bolagsstyrning FI:s föreskrifter och råd Principer för styrning av kommunoch landstingsägda bolag Kooperativ verksamhetsstyrning (ex HSB) Kod för insamlingssektorn i Sverige (remiss) Intern kontroll och styrning i staten (Ds) Statlig ägarpolicy Europa Bolagsstyrningskoder i respektive land 4:e / 7:e bolagsdirektiv och 8:e direktivet (EU) Solvency och Basel 3
Definition av intern kontroll enligt COSO Intern kontroll är en process som påverkas av styrelsen, ledningen och annan personal, och som utformats för att ge en rimlig försäkran om att organisationens mål uppnås inom följande kategorier: Tillförlitlig extern rapportering Efterlevnad av tillämpliga lagar och förordningar Ändamålsenlig och effektiv verksamhet 4
Internkontrollplan Enligt kommunfullmäktiges beslut ska nämnder och bolagsstyrelser utarbeta en internkontrollplan i samband med att verksamhetsplanen upprättas. Samtliga bolag ska även genomföra en risk- och sårbarhetsanalys (RSA), som ska ligga till grund för det fortsatta säkerhetsarbetet. Utgångspunkten för internkontrollplanen är att: Verksamheten bedrivs i enlighet med ägarens och den egna styrelsens intentioner. Lagar och gällande regler, beslut etc. följs. Verksamheten bedrivs effektivt och ändamålsenligt. Redovisningen är rättvisande samt att uppföljningen av verksamhet och ekonomi är tillförlitlig. Säkerheten i administrativa rutiner är tillfredsställande. Koncernens tillgångar skyddas. 5
Attitydundersökning om styrelsearbetet - Vad fungerar bra och vilka är de främsta förbättringsområdena? - Reflektioner från intervjuer med styrelsemedlemmar Det går aldrig att bedöma hur mycket tid ett styrelseuppdrag kommer att ta. Det går således inte att planera in 100 procent av sin tid, någonstans måste du ha slack som ger dig beredskap. Anders Ullberg För den som inte längre är operativ - utan bara arbetar med styrelseuppdrag - är det en utmaning att hålla sig uppdaterad kring nya regelverk och ny lagstiftning, eftersom du är ganska ensam i ditt arbete. Kristina Schauman Jag tycker inte att svenska arvoden når upp till rätt nivå idag. De är för låga och det märks särskilt när vi ska rekrytera ledamöter utanför Norden. Petra Hedengran Riskerna diskuteras mer idag än för tio år sedan. Det gäller att vara så förberedd som det går, ha fungerande rutiner och planerade åtgärder på plats. Caroline Sundewall Det får inte finnas ett informationsglapp mellan styrelse och ledning i det som gäller strategi och inriktning. Peter Nilsson En av riskerna i en styrelse är att för mycket tid läggs på det som varit och för lite tid på det som driver utvecklingen framåt. Anders Ullberg 6
Vilka utmaningar är viktigast att hantera? Prioritera med hjälp av riskanalys Uppdrag, Vision, Mål En framtida händelse som kan negativt påverka verksamhetens måluppfyllelse Strategiska risker Riskkategorier: Efterlevnadsrisker Operativa risker Finansiella risker Åtgärder som möter risken bedöms som effektiva Åtgärder som möter risken existerar men med förbättringspotential Åtgärder som möter risken existerar inte eller bedöms som ineffektiva 7
Konsekvens Vilka utmaningar är viktigast att hantera? Prioritera med hjälp av riskanalys Hög 8. Arbetsplatsolyckor 5. Funktionalitetsstörningar i verksamhetskritiska system 2. Oegentligheter 1. HSE-risker 6. Förlora marknadsand elar 7. Legionellautbrott 3. Ej rätt kompetens vid givet tillfälle Medel 4. Fel i extern/intern rapportering Låg Sannolikhet Osannolikt Möjligt Sannolikt
Stödprocesser Huvudprocesser Ledningsprocesser Hantera risker som hotar verksamhetens mål i väsentliga processer - exempel Affärsplanering, budget Hyra ut fastigheter Förvärva fastigheter Förvalta fastigheter Avyttrafastigheter Bygga fastigheter Personal Inköp IT Ekonomi 9
Operational Reporting Compliance Fraud Ta fram en internkontrollplan Riskanalys Processkarta Personalprocess Internkontrollplan/Kontrollmatris -Personal Internal Controls Matrix #NAME? Process: Operational HR Index: Process owner: Date: No Sub process Task / activity Risk Likelyhood Impact Control objective Control point name Control description/name/title Control description - BU/SU Importancentation Implem- level Control owner Frequency Examples & information added BUline CFS IT Other mana ger Recruite personnel Incorrect understanding of the need for competence / resource. Not following the regulation when recruiting. Noncompliance with regulations may result in fines, penalties, lawsuits or liabilities. Employee relation issues may not be appropriately handled. Personnel file integrity and confidentiality may not be adequately protected. The Offer/ and Employment contract are not compliant with regulation including Attendo policies. Ensure correct understanding of need for competence and optimal staffing Ensure that regulations are not violated HR1. Work force planning Work force planning HR2. Approval of Posting, Review of the posting and Offer and Employment the candidate. Approval contract Offer and of Employment contract. Check that the recruitment add is compliant with regulations including Fortum policies and laws & legislation Continuous work force planning should annually be performed. HR person involved in interviews. The Offer and Employment Contract is approved by HR representative and sent back to manager. HR The recruited person does not match the defined need. Individuals may be employed who do not meet Attendo's hiring or performance criteria. Individuals may be hired who do not support Attendo's high standards of business ethics. To ensure that recruited person match defined need HR3. Candidate review process Candidate review process. More than one person Perform reference checks perform the interview. and background Testing investigations on new employees to ensure not making the wrong choice according to defined need Develop and retain personnel Incorrect information in the payroll master file could result in incorrect payments or withholdings of earned wages. The payment is correct. HR4. Approved information in payroll master file All information that has an Follow procedures i.e. effect on payments are collective agreements, approved. actual time reported, transactions, overtime, extras etc. HR 10
Sammanfattningsvis Värdeskapande 1 Prioritera arbete 2 Inkludera och förankra 3 Verksamhetsplan och 4 riskanalys Tydlig koppling mellan förmågan att hantera utmaningar och värdeskapande Använd riskkartan för att konkretisera utmaningar och prioritera fortsatt arbete Arbeta i workshopform, det skapar samsyn och genomförandekraft Använd verktyget riskanalys och internkontrollplan i samband med verksamhetsplanering 11