Protokoll Standards Exposure Arbetsgruppen Yrkestekniska fra gor, Mo te 2012 05 04 Inledning... 2 Sammanfattande bedömning och generella kommentarer... 2 Redovisning av ändringar och synpunkter... 3 I. Tillägg i introduktion om efterlevnad av standarder... 3 II. Standard 1110 Organisatorisk oberoende... 3 III. Standard 1311 Intern utvärdering av funktionen... 3 IV. Standard 1312 Extern utvärdering av funktionen... 4 V. Standard 1320 Rapportering om kvalitetssäkring... 4 VI. Standard 2010 Riskbaserad planering... 4 VII. Standard 2120 A1 Utvärdering av risker... 4 VIII. Standard 2130 A1 Utvärdering av kontroller... 4 IX. Standard 2200 Omfattning på uppdraget... 4 X. Standard 2201 Beaktande vid planering av uppdraget... 4 XI. Standard 2210 A3 Kriterier för utvärdering... 5 XII. Standard 2440 Sprida resultat från granskning... 5 XIII. Standard 2600 Kommunicera riskacceptans... 5 XIV. Definitioner: Styrelse [board]... 5 XV. Definitioner: Kontrollprocesser [control processes]... 5 XVI. Definitioner: Uppdragsbedömning [engagement opinion]... 5 XVII. Definitioner: Överordnad bedömning [overall opinion]... 5 XVIII. Definitioner: Residual risk... 6 XIX. Defintioner: Risk..6 XX Synpunkter på intervall av ändringar samt införandet av ändringar... 6 Strandvägen 7 A, 114 56 Stockholm Telefon: 08 586 10766 Fax: 08 660 65 89 Organisationsnr: 556112 2242 E mail: info@theiia.se www.theiia.se
Inledning Detta dokument sammanfattar kort de synpunkter vilka lämnats till globala IIA organisationen och IIASB [International Internal Audit Standards Board], mot bakgrund av de förslag på uppdateringar i internrevisionsstandarder (IPPF, hädanefter Standarder) som exponerats för remissynpunkter under perioden 2012 02 20 och 2012 05 20. De formella svenska synpunkterna från IIA beträffande föreslagna Standarder, och som synliggörs via detta dokument, har sammanfattas i ett separat brev med tillhörande bilaga. Se remissvar via www.theiia.se. Detta dokument syftar till att sammanfatta, dels de Standarder som för närvarande är under uppdatering, och dels de synpunkter och kommentarer som Arbetsgruppen för yrkestekniska frågor (hädanefter Arbetsgruppen) framfört kopplat till dessa förslag på uppdaterade Standarder. Även om återkoppling till den globala organisationen är av vikt för att kunna påverka är det lika viktigt att till svenska IIA:s medlemmar och praktiserande internrevisorer kommunicera innehåll och synpunkter rörande ändringar i Standarder. De föreslagna ändringarna i standarder och definitioner föreslås börja tillämpas 1 januari 2013. Sammanfattande bedömning och generella kommentarer De enskilda uppdateringar vilka föreslagits i Standarder är överlag av mindre betydelse, men sammantaget är de ändå väsentliga. Föreslagna uppdateringar är baserade på den input vilken IIASB har erhållit under senaste år från praktiserande internrevisorer, samt olika intressenter. Överlag är det språkliga förändringar som genomförts i syfte att harmonisera språkbruk, men det finns även ett antal förslag på ändringar vilka medför en relativt stor ändring av innehåll och därför även tillämpning av internrevision. I något fall har man även ändrat eller lagt till tolkningar kopplade till standarder för att förbättra förståelse för hur standarden bör tillämpas. Arbetsgruppen bedömer att förslagen på ändringar överlag är relevanta och att fördelarna med ändringarna (ökad tydlighet, förbättrad tillämpning etc.) överväger nackdelarna (kostnader förknippade med ändrad praktik etc.). En övergripande redovisning av ändringar samt lämnade synpunkter följer nedan. De standarder som under 2012 är föremål för ändringar är följande: I. Tillägg i introduktionen om ansvar för efterlevnad av standarder II. Ändring i standard 1110 om organisatorisk oberoende III. Ändring i standard 1311 om intern utvärdering IV. Ändring i standard 1312 om extern utvärdering V. Ändring i standard 1320 om rapportering om kvalitetssäkring VI. Ändring i standard 2010 om riskbaserad planering VII. Ändring i standard 2120 A1 om utvärdering av risker VIII. Ändring i standard 2130 A1 om utvärdering av intern kontroll IX. Ändring i standard 2220 om omfattning på uppdraget X. Ändring i standard 2201 om vad som bör beaktas vid planering av revisionen XI. Ändring i standard 2210 A3 om kriterier för utvärdering XII. Ändring i standard 2440 om att sprida resultatet från granskning XIII. Ändring i standard 2600 om att kommunicera riskacceptans XIV. Ändringar i definitioner: Page 2 of 6
a. Styrelse b. Kontrollprocesser c. Uppdragsbedömning [engagement opinion] d. Överordnad/samlad bedömning [overall opinion] e. Residual risk f. Risk I tillägg har det även begärts synpunkter på intervall av uppdatering av standarder samt tidpunkten för när föreslagna standarder bör börja tillämpas, se sista punkten i detta dokument (punkt XX). Redovisning av ändringar och synpunkter I. Tillägg i introduktion om efterlevnad av standarder Tillägget förtydligar ansvaret för individuella internrevisorer, internrevisionsaktiviteter samt internrevisionschefer beträffande efterlevnad av professionens standarder. Individuella internrevisorer har ett ansvar för efterlevnad för de generella standarder som gäller samt för standarder som internrevisorer berörs av i uppdraget. Arbetsgruppen anser överlag att tillägget är fullgott samt att det är viktigt att klargöra att chef för internrevisionsfunktionen är ansvarig för att arbetet följer uppsatta Standarder. Arbetsgruppen har även lämnat synpunkt om att det i slutändan dock är styrelsens ansvar att följa upp huruvida internrevisionsfunktionen följer aktuell och relevant normgivning. Styrelsen har i detta sammanhang även ett ansvar för att åstadkomma tillräckliga resurser för den interna revisionen, vilken kan ha bäring på förmågan att följa Standarder. II. Standard 1110 om organisatorisk oberoende Denna ändring omfattar tillägg av två exempel på internrevisionsfunktionens oberoende från affärsverksamheten. De två exemplen rör godkännande av budget samt ersättning till internrevisionschef. Arbetsgruppen anser att tilläggen är fullgoda, men har fört diskussioner beträffande huruvida dessa förhållanden bör ses som exempel på hur organisatoriskt oberoende skapas för internrevisionen, eller grundläggande förutsättningar. Organisatoriskt oberoende går att åstadkomma på flera sätt varför en principbaserad hållning är att föredra där standarden lämnar öppet för olika möjligheter och alternativ. Samtidigt är dessa förhållanden (de två ovan nämnda exemplen) av betydande karaktär varför Arbetsgruppen lämnat synpunkt om att dessa två förhållanden möjligen kan förstärkas. Arbetsgruppen har även lämnat synpunkt om att det möjligen bör tydliggöras att styrelsen, via eventuella utskott, bör vara aktiva i rekryteringsprocessen beträffande internrevisionschefer, vilket också har en viktig och positiv påverkan på det organisatoriska oberoendet. III. Standard 1311 intern utvärdering av funktionen Detta förslag på uppdaterad standard innefattar en ändring av språkbruk där man överlag bytt ut ordet granskning mot utvärdering, för mer konsekvent språkbruk i Standarder. Arbetsgruppen har inga synpunkter utan menar att detta enbart är en logisk anpassning. Användandet av ordet utvärdering är att föredra före det starkare ordet granskning när det gäller utvärdering av internrevisionsfunktionens arbete. Standarden ställer dock krav på det som kallas periodisk utvärdering, varför vi lämnat synpunkt om detta mer exakt kan förtydligas för att ge bättre vägledning om vad detta i praktiken kan innebära för olika organisationer. Page 3 of 6
IV. Standard 1312 extern utvärdering av funktionen Här förtydligas vad som exakt menas med extern utvärdering, dvs. att denna kan ske både i form av en fullständig extern utvärdering eller via en s.k. själv utvärdering, men där extern part validerar resultatet i det sistnämnda fallet. Arbetsgruppen ser positivt på den senare möjligheten vilken är en kostnadseffektiv lösning. Standarden förtydligar även att internrevisionschefen bör diskutera med styrelsen behovet av mer frekvent extern utvärdering, och även detta tillägg ser Arbetsgruppen positivt på. Precis som vid standard 1311 (se ovan) har man annars valt att skapa ett mer konsekvent språkbruk genom användandet av ordet utvärdering. V. Standard 1320 rapportering om kvalitetssäkring Enbart mindre ändringar för att skapa mer konsekvent språkbruk varför inga kommentarer lämnats. VI. Standard 2010 riskbaserad planering Utöver några få ändringar i ordval är den väsentliga ändringen att internrevisionsfunktionen måste skapa en dynamisk plan, som ändras baserat på ändringar i organisationens riskprofil. Detta är en naturlig följd av ökad hastighet i marknader och företagande, varför Arbetsgruppen ser positivt på denna ändring. Den uppdaterade standarden ställer nu krav på att internrevisionschefen, när nödvändigt, löpande måste uppdatera revisionsplanen baserat på ändringar i organisationens riskprofil. Arbetsgruppen har dock framfört synpunkter om att det ingenstans framgår att dessa ändringar i revisionsplanen sedermera bör fastställas av styrelse (eller styrelsens revisionsutskott), vilket möjligen kan förtydligas för att ge bättre vägledning. Inom Arbetsgruppen fördes även en diskussion om behovet av att möjligen behöva förtydliga mer exakt vilka ändringar som kan behöva resultera i ändringar i revisionsplanen, med särskilt avseende på bland annat organisatoriska ändringar såsom personella ändringar på verkställande nivå. VII. Standard 2120 A1 utvärdering av risker I denna standard har tillkommit en väsentlig förändring genom att nu inkludera strategiska risker som en del i den omfattning av risker som internrevisionen bör beakta vid planering och granskning. Arbetsgruppen ser positivit på denna förändring, som är en naturlig följd av ökat fokus på såväl operativa (fel till följd av svagheter i process, organisation, IT eller som en följd av extern påverkan) som strategiska risker (fel till följd av dålig kontroll över affärsbeslutsprocesser). VIII. Standard 2130 A1 utvärdering av kontroller Förslag på uppdaterad standard mot bakgrund av förslag på ändrad standard 2120 A1 enligt ovan. Kontroller kopplat till strategiska risker bör därför beaktas vid planering och granskning. Arbetsgruppen har inte lämnat någon kommentar. IX. Standard 2220 omfattning på uppdraget Inga anmärkningar då uppdaterad standard endast omfattar mindre ändringar av ordval. X. Standard 2201 beaktande vid planering av uppdraget Inga anmärkningar då uppdaterad standard endast lagt till ordet styrning för att förtydliga att internrevisionsfunktionen, vid planering av granskningsinsatser, explicit bör beakta utformning, effektivitet samt eventuell förbättringspotential rörande organisationens styrningsprocesser. Med Page 4 of 6
styrningsprocesser [governance] avses här organisationens företagsövergripande styrningsprocesser via styrelse, utskott och verkställande ledning. XI. Standard 2210 A3 kriterier för utvärdering Ändringar i denna standard omfattar ändringar i ordval vilket innebär ett mer explicit fokus på styrning och riskhantering. Ändringar är sammantaget en logisk konsekvens av tidigare ändringar varför Arbetsgruppen ej har några anmärkningar. Dock har Arbetsgruppen framför att standarden överlag är svårtolkad varför ytterligare vägledning kan behövas. Detta kan ske genom en s.k. tolkning [interpretation], där man klargör mer explicit vad som kan innefatta det som kallas lämpliga kriterier för utvärdering [adequate criteria], eller genom att i anslutning till detta utveckla en vägledning [practice advisory] XII. Standard 2440 sprida resultat från granskning Detta är en ändring i tolkning [interpretation] av standarden, där man förtydligat att enbart internrevisionschefen är ansvarig för att granska och godkänna granskningsresultat före distribution, samt besluta vem som bör erhålla granskningsresultatet. Arbetsgruppen har lämnat synpunkt om att standarden bör omarbetas, så att det istället framgår att internrevisionschefen är ansvarig för detta, men att det finns utrymme för andra personer att utföra dessa aktiviteter. Detta är även innebörden i nuvarande ordalydelse. XIII. Standard 2600 kommunicera riskacceptans Här har IIASB valt att justera och förenkla ordval i standarden samt lägga till en tolkning [interpretation] för att ge ytterligare vägledning. Den väsentliga innehållsmässiga ändringen är att man exkluderar ordalydelsen om att, vid olika bedömningar om risknivåer från affärsledning och internrevisionen, kommunikation om riskacceptans skall kommuniceras till styrelsen för lösning/åtgärd. Föreslagen standard innebär att internrevisionschefen ska kommunicera denna olika syn på riskbedömningar till styrelsen (eller styrelsens utskott), men det tydliggörs att ansvaret att lösa frågan inte faller på internrevisionschefen. Detta är upp till styrelse och styrelsens utskott. Arbetsgruppen ser positivt på denna ändring då det inte är internrevisionens uppgift att åtgärda svagheter och problem i organisationens riskhantering. XIV. Definitioner: Styrelse [board] Arbetsgruppen har inga större anmärkningar. Dock klargör denna definition att styrelse även kan avse revisionsutskott och här bör man ej exkludera andra former för utskott till styrelsen, då det ständigt tillkommer nya former för utskott med ansvar för riskhantering samt styrnings och kontrollfrågor. Således har Arbetsgruppen rekommenderat att detta förtydligas. XV. Definitioner: Kontrollprocesser [control processes] XVI. Definitioner: Uppdragsbedömning [engagement opinion] XVII. Definitioner: Överordnad/samlad bedömning [overall opinion] Page 5 of 6
XVIII. Definitioner: Residual risk XIX. Definitioner: Risk Definitionen av risk har skrivits om för att bättre reflektera de positiva sidorna av risktagande. Arbetsgruppen har lämnat synpunkter på att definitionen bör utvecklas, särskilt den föreslagna första meningen. Den nya definitionen tar utgångspunk i osäkerhet och vilken effekt osäkerhet har på det förväntade utfallet. Effekter kan vara både positiva och negativa. XX. Synpunkter på intervall av ändringar samt införandet av ändringar Arbetsgruppen anser att vartannat år är tillräckligt för att gå igenom uppdaterade standarder. Allt för frekventa ändringar i standarder leder till för stora justeringskostnader i tillämpning. Vidare har Arbetsgruppen lämnat positiv återkoppling rörande förslaget om att nya uppdaterade standarder skall börja gälla från och med 1 januari 2013. Stockholm Maj, 2012 Vid protokollet Olof Arwinge Arbetsgruppen för Yrkestekniska frågor Page 6 of 6