INTERN STYRNING OCH KONTROLL CHRISTINA STRANDMAN ULLRICH Medgrundare och ordförande i Compliance Forum
COSO s ramverk Skapades under 1990-talet Syftar till att öka effektiviteten, minska oönskade händelser, skapa bättre konkurrenskraft 2
Ordning och reda i hela verksamheten Uppnå målen med verksamheten ( rätt på en gång ) Hantera risker för att målen inte uppnås Riskbaserat förhållningssätt Åtgärder och kontroller för att hantera identifierade risker På ledningens uppdrag och med ledningens intresse och engagemang 3
Risk Oönskade händelser (samlad bedömning av sannolikhet att oönskad händelse ska inträffa och konsekvensen om detta inträffar) Risker som påverkar förmågan att uppnå fastställda mål Risker utvecklas, förändras Tidig upptäckt enklare hantering 4
Riskhantering Acceptera Reducera Dela (försäkring) Eliminera 5
Kontroller blir/blev det som vi bestämt? Manuella Automatiserade Upptäckande Preventiva Ex: dubbel bokföring, budget, kassaskåp, lagreglerade företagsformer (ansvar, delegering av ansvar, dualitet, jäv, kompetenskrav) IT-system; uppföljning Whistle blowing 6
Intern styrning och kontroll varför? En process för att säkerställa 1. En tillförlitlig finansiell rapportering 2. En god förmåga att identifiera, mäta, övervaka, kontrollera och rapportera (informera om) verksamhetsriskerna 3. En god förmåga att efterleva regler och förväntningar 7
Krav avseende organisationen (1) Robust governance arrangements En tydlig organisationsstruktur Tydliga, väldefinierade och konsistenta befattningsbeskrivningar Tydliga mandat (behörighet, befogenhet) Undvika intressekonflikter Transparens 8
Krav avseende organisationen (2) Informationssystem - adekvat och relevant information i rätt tid till alla anställda Kontrollmekanismer - sunda processer för att driva verksamheten, för bokföring och redovisning - ersättningsregler som främjar en sund och effektiv hantering av risker 9
Krav på ledningen Styrelsen och VD har fullt ansvar för hela verksamheten Styrelsen ska vara kompetent, erfaren, förstå verksamheten Styrelsen ska säkerställa att den får relevant information och att den avsätter tillräcklig tid för uppdraget 10
Styrelsens och VDs ansvar Anställda med adekvat kompetens och kunskap Kontrollmekanismer - processer och rutiner, it-system, kontrollfunktioner Rapporteringsrutiner, effektiva Risk strategi, risk tolerans, risk aptit Interna regelverket Återkommande genomgång av interna regelverket, rutiner och processer (FI) 11
Governance, Risk and Control - three lines of defense (internal governance) 1 st line Business 2 nd line Control functions 3 rd line Assurance function Full responsibility for all activities, for governance, for identifying, understanding and managing all risks and implementing control mechanisms Understanding external requirements, transforming them to internal rules Identify and assess risks Control (monitor compliance with relevant rules) Report to CEO, Mgmt, Board Review appropriateness of processes, routines in all business (governance, it, internal control, internal rules, financial reporting, control functions) Assess risks, propose actions, follow up on actions decided Report to Board, CEO, Mgmt CEO + Management + CFO Support functions (legal, HR, IT ) Compliance Coordinators 1. Risk Control (financial risks + operational risks) 2. Compliance (conduct risks, AML, regulatory) Internal Audit 12
CORPORATE GOVERNANCE INTERN STYRNING OCH KONTROLL Styrelsens ansvar ÖVRIG STYRNING OCH KONTROLL 1:a försvarslinjen 2:a försvarslinjen 3:e försvarslinjen 4:e försvarslinjen 5:e försvarslinjen 6:e - 7:e försvarslinjen Ansvarig funktion VD Chefer Anställda i affärsverksamheten Stödfunktioner (juridik, HR, IT m.fl.) Kontrollfunktionerna 1. Riskkontroll och 2. Compliance Internrevision Extern revisor Bolagsstämman Tillsynsmyndigheten Lagstiftaren Ansvarsområden Arbetsuppgifter Ansvarar för hela affärsverksamheten och hantering av alla i verksamheten inneboende risker (identifiering, förståelse, åtgärder) 1. Övervakar och följer upp finansiella risker och operativa risker 2. Övervakar och föler upp risker avseende kundskydd, uppförande på marknaden, penningtvätt samt tillståndsoch tillsynsfrågor Granskar styrning, riskhantering och kontroll Granskar åsredovisningen och räkenskaperna samt kontrollerar hur förvaltningen skötts Fastställer bolagsordningen Väljer ledamöter till styrelsen samt extern revisor Fastställer årsbokslut Beslutar om ansvarsfrihet åt styrelsen för dess förvaltning Beslutar om regler (föreskrifter) för verksamheten Utövar tillsyn Beslutar om regler (lagar m.m.) för företag och deras verksamhet samt för tillsynen
Styrning av verksamheten - interna regler fastställda av styrelsen (1) Styrelsens arbetsordning + instruktioner för kommittéer VD-instruktion Instruktion som beskriver företagets verksamhet - funktioner och affärsområden - vem som utser chefer, beslutar om ersättning till och uppsägning av chefer - hur olika beslut fattas (vilka beslut tas av chef i ledningsgrupp eller andra beslutsfora) - chefers ansvar (funktionell befattningsbeskrivning) 14
Styrning av verksamheten - interna regler fastställda av styrelsen (2) Outsourcing och NPAP Etik Intressekonflikter Förhindrande av brott (penningtvätt m.m.) Internrevision Kontrollfunktionerna (Riskkontroll och Compliance) 15
Styrning av verksamheten - interna regler fastställda av styrelsen (3) Instruktion om det interna regelverket (enhetligt, sammanhållet, lättförståeligt, stöd till anställda, definitioner) 16
Outsourcing Definitioner Vilka verksamheter får outsourcas? Målbild varför outsourca viss verksamhet? Vem följer upp? Subcontracting? Riskanalys före beslut Dokumentera 17
Nya produkter - NPAP Nya produkter/tjänster, förändringar i befintliga produkter; organisationsförändringar; nya marknader; nya kunder Målbild Riskanalys före beslut (lansering) Dokumentera 18
Kontrollfunktionerna + Internrevision Funktionernas möjligheter att bidra till en lönsam affärsverksamhet är beroende av Roll & ställning (position) i företaget Ansvarsområde Arbetsuppgifter Företagskulturen 19
Utgångspunkter Första försvarslinjen svarar för hela verksamheten med alla inneboende risker samt för att förstå riskerna och hantera (manage) dem Andra försvarslinjen självständiga, granskande kontrollfunktioner; stöd till styrelsen och VD för att de ska förstå riskerna och kunna hantera dem Tredje försvarslinjen styrelsens verktyg för att granska bl.a. intern styrning och kontroll 20
Ställning i företaget Kontrollfunktionerna och Internrevision ska vara oberoende/självständiga i förhållande till den verksamhet de granskar, kontrollerar, rapporterar om VD utser, beslutar om ersättning och ev uppsägning av chef för respektive kontrollfunktion (efter styrelsens godkännande) Styrelsen utser, beslutar om ersättning och ev uppsägning av chef för Internrevision Kontrollfunktionerna rapporterar/informerar direkt till VD och styrelsen Internrevision rapporterar/informerar direkt till styrelsen (och VD) Centraliserade funktioner i företagsgrupper/koncerner Tillgång till all erforderlig information Koordinerade rapporter till VD, ledningen, styrelsen; personlig närvaro vid möten 21
Ansvarsområden Riskkontroll - Finansiella risker - Operativa risker Compliance - Compliancerisker (kundskydd, uppförande på marknaden, AML, tillstånds/tillsynsfrågor) Internrevision - hela verksamheten 22
Kontrollfunktionernas arbetsuppgifter inom resp. ansvarsområde Risk Assessment identifiera relevanta befintliga risker + deras förväntade utveckling, värdera riskerna, informera VD och styrelsen, föreslå åtgärder (Compliance Plan) Vara experter på externa regelkrav föreslå relevanta, effektiva interna regler Utbildning, kommunicera krav, ge råd till första linjen Monitorera/granska/följa upp att reglerna efterlevs Rapportera kvartalsvis och ad hoc till VD, styrelsen och ledningen Kontakt med tillsynsmyndigheter Arbeta riskbaserat 23
Gränsdragningar Juridik stödfunktion till första linjen i alla juridiska frågor i verksamheten Säkerhet förebygga brott; personlig säkerhet Finance bokföring, redovisning, (business control) Riskkontroll finansiella risker, operativa risker Compliance kundskydd, uppförande på marknaden, AML, frågor om tillstånd/tillsyn Internrevision intern styrning och kontroll; processer, rutiner; redovisning 24
Hur bidrar kontrollfunktionerna och Internrevision bäst VD, ledningen och ytterst styrelsen ansvarar för att alla risker i verksamheten hanteras ändamålsenligt, effektivt, koordinerat De är beroende av koordinerade rapporter från Riskkontroll, Compliance och Internrevision Med sina tydliga och väl avgränsade ansvarsområden och arbetsuppgifter samt en tydlig självständig ställning måste kontrollfunktionerna samarbeta med varandra, med funktioner i första linjen samt med Internrevision i tredje linjen Utveckla ett koordinerat sätt att rapportera med gemensamma begrepp, ordval, definitioner för att underlätta förståelsen av budskapen 25
Kultur Regulatory culture Det finansiella regelverket eskalerar i detalj och mängd, inte alltid synkroniserat mellan bank, värdepapper, fond, försäkring - principal based rules främjar effektivitet Företagskultur Kontrollfunktionerna är beroende av support från styrelsen, VD och ledningen för att kunna göra ett bra arbete, stå upp för regelkrav och leverera sanningsenliga rapporter The tone of the top bestämmer ytterst hur effektiva kontrollfunktionernas bidrag till en långsiktig lönsamhet blir 26
COMPLIANCE FORUM COMPLIANCE FORUM - a non-profit association for Compliance Officers in financial and other regulated businesses on the Swedish market, established in 2009 Our objectives are to - create a meeting point for our members - promote, develop and identify the role of Compliance in Sweden - develop and broaden Compliance skills www.complianceforum.se Christina Strandman Ullrich Senior Compliance Adviser, Chairman of the Board of Compliance Forum +46 76 1106 114 csu@complianceforum.se 27