Vägledning för internrevisorer beträffande tillämpningen av Svensk kod för bolagsstyrning
Internrevisionen är tillsammans med styrelsen, ledningen och externrevisionen de viktiga hörnstenarna för bolagsstyrning. Internrevisionen hjälper organisationen att nå sina mål genom att systematiskt och strukturerat värdera och öka effektiviteten i riskhantering, styrning och kontroll samt i ledningsprocesser. För att stödja och hjälpa andra internrevisorer har Internrevisorernas Förening tagit fram denna Vägledning för internrevisorer beträffande tillämpningen av Svensk kod för bolagsstyrning. Ledord i arbetet har varit för internrevisorer om internrevisorer av internrevisorer. Vägledningen har godkänts av Internrevisorernas styrelse den 21 september 2006. Arbetsgruppen har utgjorts av Klas Schöldström, Hans Löfgren, Charlotta Löfstrand Hjelm, Ann-Charlotte Klingberg och Carina Petersén-Malmström.
Innehåll 1 Inledning................................................................................................ 4 2 Bolagsstyrning och Internrevision......................................................... 5 3 Internrevisorernas rekommendationer internrevisionens roll............. 6 3.1 Vad avses med särskild granskningsfunktion som en del av ledningens linjeansvar respektive internrevision som en oberoende utvärderare................................................................. 6 3.2 Internrevisorns roll gentemot styrelse och ledning vad gäller dokumentation, testning och utvärdering, samt granskning av den interna kontrollen.................................................................. 7 4 Avslutning.............................................................................................. 8 Bilaga 1...................................................................................................... 9 Bilaga 2...................................................................................................... 9 Bilaga 3.................................................................................................... 10 Bilaga 4.....................................................................................................12 3
1 Inledning Det övergripande syftet för Svensk kod för bolagsstyrning (koden) är att bidra till förbättrad styrning av svenska bolag. Även om koden främst riktar sig till aktiemarknadsbolagen kommer en utvecklad bolagsstyrning i dessa bolag att tjäna som exempel och förebild även för andra kategorier av företag (t.ex. statliga bolag). Exempel på parallella pågående initiativ är utkast till God sed för styrning av kommuner och landstingsägda företag mars 2005 samt utkast till Kod för styrning av lantbrukskooperativa företag och föreningsföretag augusti 2005. Detta är i sin tur, enligt Kodgruppens mening, ägnat att stärka näringslivets effektivitet och konkurrenskraft och att främja förtroendet på den svenska kapitalmarknaden och i det svenska samhället i stort för näringslivets sätt att fungera. Inom ramen för ledningens linjeansvar för den interna kontrollen ligger naturligt dels att utfärda t.ex. policys, instruktioner och attestplaner dels att följa upp hur dessa efterlevs. Detta innebär att krav ställs på att det interna kontrollsystemet är dokumenterat och tillika att ledningen dokumenterat hur man testat den interna kontrollen samt resultatet av dessa tester. Erfarenheter från företag berörda av Sarbanes-Oxley Act, och diskussioner i företag berörda av koden, pekar på risk att ledningens ansvar delegeras till internrevisionen, med resultat att vissa arbetsuppgifter i ursprunglig revisionsplan nedprioriteras och ej utförs. Förutsättningarna för internrevisionens arbete är i och med kodens introduktion förändrade. Det är därför viktigt att vi tar ett steg tillbaka och gör klart för oss vem som är vår egentlige kund, samt i en dialog med styrelse och ledning försöker utröna vad kundens förväntningar nu är på oss. Om vi inte gör det så föreligger risk att vi kommer att bistå den som ropar först och högst och att vi genom att försöka bistå alla som har behov på området förlorar vår egen identitet och inte upplevs tillföra ett tydligt mervärde. Internrevisorerna anser Internrevisionsaktiviteten (egen eller via cosourcing/outsourcing) är att föredra framför att enbart arbeta med att inom befintligt linjeansvar stärka den finansiella interna kontrollen. En objektiv utvärderare och värdebärare, som kan förmedla kunskap och skapa förståelse för helhet och förbättringsåtgärder skapar ett mervärde som styrelse/ledning bör ta till vara. Internrevisorn kan fungera som en katalysator och fyrbåk på vägen mot målen i det ständiga förändrings- och förbättringsarbete som pågår i alla företag. För att kunna härbärgera en sådan funktion måste det till oförvägna ledare. Ledare som ser framåt och som besitter öppenhet, styrka, prestigelöshet och flexibilitet i ledarskapet. En sådan ledning och internrevision kan tillsammans sporra varandra till att skapa en positiv mervärdesspiral och göra god intern kontroll till en integrerad, tydlig och självklar del i företagets alla processer och hos alla medarbetare. 4
2 Bolagsstyrning och Internrevision Enligt the Institute of Internal Auditors (IIA) och t.ex. New York Stock Exchange så utgörs bolagsstyrningens fyra ben, av styrelsen, ledningen, internrevisorerna och externrevisorerna. När de arbetar väl tillsammans med ett sunt oberoende blir internkontrollen stark, rapporteringen rättvisande, etiken vidmakthålls, övervakningen blir effektiv, risker reduceras och investeringar skyddas. God bolagsstyrning är helt enkelt god affärsverksamhet. Internrevisionens roll är i första hand att hjälpa styrelse/ revisionsutskott med deras övervakande uppgifter avseende den interna kontrollen. Exempel på detta är dialog med externrevisorerna, utvärdering av ledningens arbete med riskhantering och compliance, utvärdering av organisationens internkontrollsystem, utbildning av revisionsutskott, ledning eller deltagande i särskilda undersökningar åt revisionsutskott samt att granska bolagsstyrningsprocessen. Internrevisionen har idag en roll som kvalitetssäkrare av organisationens styrning och kontroll i ett vidare perspektiv, inte enbart inriktat på den finansiella delen av den interna kontrollen. Därmed har internrevisionen närmat sig ledningsprocessen, samtidigt som den fortfarande bidrar till att förbättra de operativa processerna på olika nivåer i organisationen. Styrelsens ansvar för intern kontroll framgår klart i lagstiftning och olika regelverk. Vi anser dock att det behövs ett förtydligande i koden och i existerande vägledningar av internrevisionens och den särskilda granskningsfunktionens roller (se nedan under Vad avses med särskild granskningsfunktion som en del av ledningens linjeansvar respektive internrevision som en oberoende utvärderare. Internrevisionens arbetsuppgifter prioriteras enligt internationellt erkänd god internrevisionssed utifrån en riskbaserad planering i överensstämmelse med företagets mål. Det är således styrelse/ledning som beslutar om inriktningen av internrevisionens arbete. Detta sker dels genom att ledningen företar en riskanalys, d.v.s. en värdering av vilka risker som kan äventyra att verksamheten inte kan uppnå sina mål, dels genom att internrevisionen analyserar huruvida det finns en samstämmighet i synen på dessa risker. I företag som inte har internrevision, och i företag som har internrevision som prioriterat andra arbetsuppgifter än granskning av intern kontroll avseende finansiell rapportering högre, kan en särskild granskningsfunktion behövas för denna granskning, som nu koden ställer krav på. Den bakomliggande orsaken för vår önskan om ett förtydligande på denna punkt är att vi har sett en utveckling i främst Nordamerika inom de bolag som skall följa Sarbanes- Oxley Act vilket innebär att internrevisionen uteslutande fått en roll som granskare av den interna kontrollen vad avser den finansiella rapporteringen. Internrevisionen fyller då rollen som ledningens resurs för att följa upp den interna kontrollens uppbyggnad och effektivitet, vilket bör anses ligga inom ledningens linjeansvar. Internrevisorerna har därför i sitt remissvar avseende kodens utformning önskat att uttrycket särskild granskningsfunktion (internrevision) bör ändras till internrevision eller särskild granskningsfunktion. Ovanstående tankar är åskådliggjorda i en sammanfattande bild, som är tänkt att användas i de sammanhang då internrevisionens roll diskuteras. Se bilaga 1. 5
3 Internrevisorernas rekommendationer internrevisionens roll 3.1 Vad avses med särskild granskningsfunktion som en del av ledningens linjeansvar respektive internrevision som en oberoende utvärderare Internrevisionen bör klargöra gentemot såväl styrelse som ledning vad som avses med särskild granskningsfunktion som en del av ledningens linjeansvar respektive internrevision som en oberoende utvärderare. I enlighet med Svensk kod för bolagsstyrning skall styrelsen utvärdera behovet av särskild granskning av system och processer för den interna kontrollen vad avser den finansiella rapporteringen. Detta skall enligt koden ske genom att styrelsen utvärderar behovet av en särskild granskningsfunktion vilket koden jämställer med internrevision. Internrevisorerna finner att det är viktigt i detta sammanhang att klargöra skillnaden mellan den övervakning och uppföljning ledningen skall företa av den interna kontrollen vad avser den finansiella rapporteringen samt den oberoende utvärdering av den interna kontrollens uppbyggnad och effektivitet som internrevisionen utför på styrelsens uppdrag. Internrevisionen är tillsammans med styrelsen, ledningen och externrevisionen de viktiga hörnstenarna för corporate governance. (Se bilaga 1) Granskning av intern kontroll avseende finansiell rapportering kan för internrevisionen vara en arbetsuppgift bland många andra. Det finns dock organisationer där styrelse och ledning valt att granskning av intern kontroll vad avser den finansiella rapporteringen ej skall utföras av internrevisionen utan att detta är en fråga för externrevisorerna. Internrevisionens granskning av intern kontroll baseras på en bred definition av intern kontroll i vilken många andra komponenter än redovisning och finansiell rapportering ingår. Redovisning och finansiell rapportering är viktiga områden men andra aspekter av intern kontroll kan vara högre prioriterade i internrevisionens rapportering. Exempel på sådana aspekter är skydd av tillgångar, operationell effektivitet, efterlevnad av lagar, förordningar och interna regelverk. Styrelsens ansvar för intern kontroll framgår klart i vägledningen till koden. Vi anser dock att det här behövs ett förtydligande av internrevisionens och den särskilda granskningsfunktionens roller. Det är i första hand internrevisionens uppgift att bistå styrelse och ledning i arbetet med den interna kontrollen. Enligt IIA:s definition av internrevision: Internrevisionen är en oberoende, objektiv säkrings- och rådgivningsaktivitet med uppgift att tillföra värde och förbättra verksamheten i olika organisationer. Internrevisionen hjälper organisationen att nå sina mål genom att systematiskt och strukturerat värdera och öka effektiviteten i riskhantering, styrning och kontroll samt ledningsprocesser. Internrevisionens syfte, roll, ansvar, befogenheter, beslutsvägar och kvalitetssäkring skall dokumenteras i en instruktion, så kallad charter. I de företag som har inrättat en särskild granskningsfunktion är denna en del av ledningens linjeansvar. Detta innebär att ansvaret för att tillse att den interna kontrollen vad avser den finansiella rapporteringen fungerar genom t. ex. att testa denna och hålla kontrolldokumentation ajour inte skall åvila internrevisionen utan skall ses som en styrelse- och ledningsuppgift. En sådan uppföljning kan ske dels genom ledningens löpande övervakningsansvar men även genom av ledningen företagen särskild granskning. Det är här viktigt att observera styrelsens och ledningens ansvar även om en sådan särskild granskning kan utföras av internrevisionen som en konsultativ aktivitet. 6
Vår erfarenhet från svenska organisationer är att man ej har avsatt resurser för övervakning och uppföljning av den interna kontrollens uppbyggnad och effektivitet vilket medfört att styrelse och ledningar definierat detta ansvar som en uppgift för internrevisionen. Den nuvarande skrivningen i Svensk kod för bolagsstyrning förstärker, enligt vår mening, dessvärre denna uppfattning. För att kunna göra en bedömning av den interna kontrollens nivå kan en gemensam modell användas. Ett exempel på en sådan finner du i bilaga 2. En växande trend bland organisationer är skapandet av en funktion som leder, utvecklar och samordnar internkontrollarbetet. I den angloamerikanska världen kallas en sådan funktion Chief Internal Control Officer (CICO). Ansvaret för detta arbete kan i vissa fall ingå som en del i ett annat ansvarsområde, exempelvis Regelefterlevnadsansvarig (Chief Compliance Officer) eller någon annan liknande funktion. 3.2 Internrevisorns roll gentemot styrelse och ledning vad gäller dokumentation, testning och utvärdering, samt granskning av den interna kontrollen Internrevisionen bör klargöra sin roll gentemot ledningen vad gäller dokumentation, testning och utvärdering, samt granskning av den interna kontrollen. Dokumentation Styrelse och ledning har ansvar för den interna kontrollen och därmed ansvar för att upprätta dokumentation av denna. Detta kan inbegripa styrande dokument såsom policys, beslutsordningar, attestinstruktioner men även processbeskrivningar där viktiga kontroller som kan påverka den finansiella rapporteringen finns dokumenterade. Erfarenhetsmässigt kan konstateras att i många företag finns varken dokumentation av den interna kontrollen eller resurser för att utföra detta arbete. Styrelse och ledning brukar i dessa fall vända sig till internrevisionen för att få hjälp eftersom internrevisionen har erfarenhet av att dokumentera processer utifrån ett internkontrollperspektiv. De arbetsuppgifter som internrevisionen kan utföra bör betraktas som konsultativa uppgifter. Vad kan då internrevisionen bistå styrelse och ledning med utan att äventyra oberoende och objektivitet? Internrevisionen kan hjälpa styrelse och ledning med att ta fram eller utveckla metoder och verktyg för dokumentation. Internrevisionen kan hjälpa styrelse och ledning med att dokumentera den interna kontrollen inkluderande kartläggning av nyckelkontroller som påverkar den finansiella rapporteringen. Internrevisionen kan, vid brister i utformningen av den interna kontrollen som ledningen eller internrevisionen har identifierat, bistå med rådgivning avseende uppbyggnaden. Internrevisionen kan dock inte besluta om införandet av nya kontroller eller implementeringen av tex en behörighetsstruktur för ett IT-system. 7
Test och utvärdering av den interna kontrollen Test och utvärdering av den interna kontrollens utformning och effektivitet är ledningens ansvar som en del av dess övervakningsansvar. I enlighet med Svensk kod för bolagsstyrning skall styrelsen se till att bolaget har god intern kontroll och fortlöpande hålla sig informerad om och utvärdera hur bolagets system för intern kontroll fungerar. Resultatet och utvärderingen av denna test skall ledningen kommunicera till styrelsen och detta kan utgöra underlag för internkontrollrapporten som ett särskilt avsnitt av bolagsstyrningsrapporten. Vad kan då internrevisionen bistå styrelse och ledning med utan att äventyra oberoende och objektivitet? Internrevisionen kan på konsultbasis utföra test av den interna kontrollen. Bedömningen som kan utgöra underlaget för skrivningen i internkontrollrapporten ansvarar ledningen för. Denna bedömning bör internrevisionen utvärdera. Om ovan nämnda konsultinsatser inverkar på internrevisionsplanen skall revisionschefen begära att styrelse/revisionsutskott tillför mer resurser eller godkänner en ändring av planen. Det bör påpekas att det är viktigt att i internrevisionens instruktion skall finnas inskrivet hur denna typ av beslut skall hanteras. Det bör understrykas att återkommande test av intern kontroll inte är en uppgift som ligger inom ramen för internrevisionens normala säkringsroll. Finns särskild granskningsfunktion, t.ex. CICO eller motsvarande, bör denna funktion utföra test av den interna kontrollen. Internrevisionens granskning av den interna kontrollen Internrevisionen skall på styrelsens/revisionsutskottets uppdrag utvärdera den interna kontrollens ändamålsenlighet och effektivitet, vilket innebär att internrevisionen bedömer ledningens arbete. Vad gör då bolaget om det finns en internrevision, vars verksamhet är riskbaserad, som utifrån sitt arbete gör egna bedömningar av den interna kontrollen, men då inte med nödvändighet med avseende på den finansiella rapporteringen? Kan då styrelsen, med hänvisning till internrevisionens arbete göra några uttalanden om tillståndet kring den interna kontrollen avseende den finansiella rapporteringen? Svaret bör vara nej med hänvisning till att det är styrelsen som har det yttersta ansvaret för den interna kontrollens ändamålsenlighet och effektivitet och i förekommande fall kan avge en bedömning i rapporten om den interna kontrollen vilket innebär att underlaget måste komma från den test och bedömning som ledningen utför. 4 Avslutning Definitionen av internrevisionen som ett av bolagsstyrningens fyra ben (styrelsen, ledningen, internrevisionen och externrevisionen) är första steget på en intensiv och kontinuerlig marknadsföring av internrevisionen i en roll, i bättre överensstämmelse med ledande internationell god sed, som ännu inte är förankrad hos samtliga viktiga beslutsfattare i Sverige. Denna roll kommer att kräva att Du fortbildar dig för att klara av de nya förväntningarna och det mer omfattande ansvaret. 8
Bilaga 1 Vem gör vad? Bolagsstyrningens fyra ben Vad Steg för bedömning av kontroll Vem ER Styrelse IRsäkring Operativ ledning * Identifiera, värdera och besluta om hantering av risk. Kartlägga, dokumentera, testa (granska utformning och effektivitet), ta fram förbättringsförslag avseende finansiell IK. Bedöma och rapportera avseende finansiell IK. Ledningen kan ta hjälp av s.k. Chief Internal Control Officers (CICO), Chief Compliance Officers (CCO). Värdera finansiell IK. Styrelsen kan ta stöd av IR-Säkrings genomförda granskningskvaliteter. Underhålla finansiell IK. Ledningen kan ta hjälp av s.k. Chief Internal Control Officers (CICO), Chief Compliance Officers (CCO). (om del av plan) Granska styrelsens rapport. Vem gör vad? Organisationen * Organisationen (se nästa bild) Operativ ledning Vad Steg för bedömning av intern kontroll Vem Särskild granskningsfunktion Risk Officer IRkonsultativ Linjefunktion Identifiera, värdera och besluta om hantering av risk. Kartlägga, dokumentera, testa (granska utformning och effektivitet), ta fram förbättringsförslag avseende finansiell IK. Bedöma och rapportera avseende finansiell IK. Underhålla finansiell IK. Bilaga 2 En gemensam modell för den interna kontrollens nivå Nivå på styrning och intern kontroll (mognadsgrader) OPÅLITLIG INFORMELL STANDARDISERAD ÖVERVAKAD OPTIMERAD Oförutsägbar miljö där kontroller inte existerar eller inte fungerar. Kontroller existerar och brukar fungera, men är inte tillräckligt dokumenterade. Stort personberoende. Kontroller existerar och är tillräckligt dokumenterade. Avvikelser i kontroller upptäcks inte eller upptäcks sent. Standardiserade kontroller som regelbundet testas i fråga om sin utformning och tillämpning. Information till ledningen. Integrerad intern kontroll som övervakas i realtid av ledningen. Förbättringar införs fortlöpande. 9
Bilaga 3 Definitioner och begrepp Bolagsstyrning Corporate governance, eller bolagsstyrning med en svensk term, handlar om att styra bolag på ett sådant sätt att de uppfyller ägarnas krav på avkastning på det investerade kapitalet och därigenom bidrar till samhällsekonomins effektivitet och tillväxt. Under de senaste decennierna har en snabb utveckling skett inom bolagsstyrningsområdet. Detta har lett till uppkomsten av mer eller mindre frivilliga regelsamlingar, s.k. koder, för bolagsstyrning i ett stort antal länder. COSO COSO är ett ramverk för intern kontroll som bland annat innefattar en gemensam allmän definition och som identifierar kontrollkomponenterna. Detta ramverk har fått en stor global spridning och är omnämnt i förarbetet till Sarbanes-Oxley Act samt omnämns som det etablerade ramverket för intern kontroll i Svensk kod för bolagsstyrning. COSO är en förkortning för den kommitté som utvecklade detta ramverk, The Committee of Sponsoring Organizations of the Treadway Commission s Internal Control Integrated Framework. Chief Internal Control Officer (CICO) Verksamhetsansvariga eller processägare äger ansvaret för intern kontroll, CICO samordnar och sätter standards för att säkerställa att de åtgärder som processägare vidtar är tillräckliga för att bidra till ledningens uttalande om den interna kontrollen i anslutning till årsbokslutet. Som en del i detta ansvar övervakar CICO också förbättringsåtgärderna. I många bolag rapporterar CICO direkt till CFO eller ekonomidirektören med ett streckat rapporteringsansvar till VD, styrelse och revisionskommittén. CICO:s arbete utvärderas av internrevisionen. Control Self Assessment/ Egenutvärdering En metod för verksamheten att själva utvärdera om den interna kontrollen inom det egna ansvarsområdet är adekvat. (Frågelistor är vanliga). Intern kontroll Intern kontroll är en process som påverkas av bolagets styrelse, ledning och annan personal, och som utformats för att ge en rimlig försäkran om att bolagets mål uppnås inom följande områden; Ändamålsenlig och effektiv verksamhet Tillförlitlig rapportering Efterlevnad av externa och interna regelverk Charter/ Instruktion Instruktionen för internrevisionsverksamheten är ett formellt skriftligt dokument som beskriver verksamhetens syfte, befogenhet och skyldigheter. Instruktionen ska fastställa internrevisionens ställning inom organisationen, auktorisera åtkomst till register, personal och fysiska tillgångar som är relevanta för genomförandet av åtagandet och slutligen definiera omfattningen av internrevisionens verksamhet. Chief Compliance Officer (CCO) /Regelefterlevnadsansvarig Den person som högsta ledningen utsett till att utgöra ett stöd för att verksamheten drivs enligt gällande regler. Personen kan också om det är lämpligt följa upp regelefterlevnaden. Normalt när vi använder uttrycket " Intern kontroll" menar vi Styrning och kontroll. Styrning och kontroll Samtliga åtgärder som vidtas av ledningen, styrelsen och andra parter i syfte att förbättra riskhanteringen samt öka möjligheterna att uppnå fastställda mål. Ledningen planerar, organiserar och leder genomförandet av erforderliga åtgärder för att åstadkomma rimlig säkerhet att mål ska nås. Internrevisionsverksamhet En avdelning, division, konsultgrupp eller andra utövare som tillhandahåller oberoende, objektiva säkrings- och rådgivningstjänster, med uppgift att tillföra värde och förbättra en organisations verksamhet. Genom att systematiskt och 10
strukturerat värdera och öka effektiviteten i riskhantering, styrning och kontroll samt i ledningsprocesser hjälper internrevisionsverksamheten organisationen att nå sina mål. Kodgruppen Kodgruppen tillsattes i oktober 2003 av Förtroendekommissionen tillsammans med FAR, Näringslivets Börskommitté, Stockholmsbörsen, Stockholms Handelskammare, Svenska Bankföreningen, Svenska Fondhandlareföreningen, Svenskt Näringsliv, Sveriges Aktiesparares Riksförbund och Sveriges Försäkringsförbund. I oktober 2004 återsamlades gruppen med ovan angiven sammansättning genom att justitieministern tillkallade en offentlig utredning för att utforma Svensk kod för bolagsstyrning. Exempel på detta kan vara konsultation, yttranden, facilitering, processutformning och utbildning. Sarbanes-Oxley Act Sarbanes-Oxley Act är den lag som regeringen i USA införde efter Enron-skandalen och som syftar till att bidra till en förbättrad styrning av företagen, en tydligare utkrävande av ansvar samt ökad öppenhet för den finansiella rapporteringen. Säkringstjänster En objektiv utvärdering av uppgifter i syfte att tillhandahålla en oberoende bedömning av organisationens riskhanterings-, kontroll- eller ledningsprocesser. Detta kan vara uppdrag som rör finanser, verksamhet, efterlevnad och due diligence. Oberoende granskningsfunktion Begreppet oberoende granskningsfunktion används av Finansinspektionen i sina allmänna råd om styrning och kontroll av finansiella företag (FFFS 2005:1) som en synonym till internrevision. Finansinspektionen föreskriver bland annat att: Styrelsen bör se till att det finns en funktion som granskar och utvärderar den interna kontrollen. I de företag som har en funktion för internrevision bör det vara denna som utför uppgifterna. Funktionen bör ha tillräckliga resurser för sina uppgifter. Funktionen bör vara direkt underställd styrelsen. Organisatoriskt bör den vara helt separerad från verksamheten som ska granskas. Funktionens oberoende innebär alltså att den inte bör delta i den operativa verksamheten." Operativ ledning Den operativa ledningen för en verksamhet, ett företag, en myndighet eller en organisation utgörs av de chefer som fattar besluten som rör den löpande verksamheten. Exempel på befattningar som ingår i den operativa ledningen är verkställande direktör, generaldirektör, ekonomidirektör, administrativ direktör, personaldirektör, etc. Rådgivning Rådgivning och därtill knuten service vars innehåll och omfattning överenskommits med ledningen och som är avsedd att tillföra värde och förbättringar i en organisation. Dessa tjänster är de som ligger till grund för vårt (internrevisionens) uttalande om den interna kontrollen. Särskild granskningsfunktion Särskild granskning är en åtgärd som beslutas av styrelse eller ledning och som syftar till att utvärdera effektiviteten och ändamålsenligheten i såväl utformning som tillämpning av processerna för intern styrning och kontroll. Detta är en del av det löpande ledningsansvaret eller chefsansvaret. Styrelse eller ledning kan också inrätta en särskild funktion för att löpande utföra detta arbete. En växande trend bland organisationer är skapandet av en funktion som leder, utvecklar och samordnar internkontroll arbetet. I den angloamerikanska världen kallas en sådan funktion Chief Internal Control Officer (CICO). Vägledning till koden I koden anges bland annat att styrelsen skall avge en rapport om hur den interna kontrollen, avseende den finansiella rapporteringen, är organiserad. Rapporten skall ingå som ett särskilt avsnitt i bolagsstyrningsrapporten. Det skall framgå om detta avsnitt är granskat av de externa revisorerna. Vägledningen till koden syftar till att underlätta styrelsens arbete med ovanstående rapport. Den utkom 2005-10-17 och togs fram av arbetsgrupper från Svenskt Näringsliv respektive FAR, föreningen för revisionsbyråbranschen. 11
Bilaga 4 Svar på vanliga frågor om koden Intern kontroll Vad är (god) intern kontroll? SVAR: Intern kontroll är en process som påverkas av styrelsen, bolagsledningen och annan personal och som utformats för att ge en rimlig försäkran om att bolagets mål uppnås inom följande kategorier: Ändamålsenlig och effektiv verksamhet; Tillförlitlig finansiell rapportering; Efterlevnad av tillämpliga lagar och förordningar. Grundläggande principer för intern kontroll är: Intern kontroll är en process. Det är ett medel på vägen mot ett mål, inte ett mål i sig. Intern kontroll utförs av människor. Det är inte bara manualer och formulär, utan människor på alla nivåer i en organisation. Intern kontroll kan endast förväntas åstadkomma rimlig säkerhet, inte absolut säkerhet, till en styrelse och ledning avseende måluppfyllelsen. Intern kontroll syftar till måluppfyllelse. Har vi intern kontroll? SVAR: Basen för intern kontroll är kontrollmiljön, som innefattar den kultur som styrelse och bolagsledning kommunicerar och verkar utifrån. En god kontrollmiljö skapar disciplin och struktur för övriga komponenter i processen. Dessa komponenter innefattar: En riskbedömning av vad som kan gå fel; Kontrollaktiviteter, både övergripande och mer detaljerade, som syftar till att förebygga, upptäcka och korrigera fel och avvikelser; System för informationsspridning och återrapportering av efterlevnad av organisationens policies och kontrollaktiviteter samt Uppföljning från styrelsen och bolagsledningen och vidare i organisationen för att säkerställa kvalitet i processen. Vi vet ju att vi har en bra intern kontroll. Inga problem historiskt. Så varför.? SVAR: Intern kontroll är en färskvara. Du måste kontinuerligt och aktivt arbeta med att förändra och förbättra den interna kontrollen så att den fortsätter att vara på en tillfredsställande nivå. Verksamheten förändras och därmed också den interna kontrollstrukturen, vilket medför ett behov av ständiga förbättringar inom området. Hur kan vi få maximal kostnadseffektivitet när det gäller intern kontroll? SVAR: Om en systematiskt uppbyggd intern kontrollstruktur saknas, så finns det alltid initialkostnader vid uppbyggnaden av en sådan. På sikt kommer dock en rätt uppbyggd kontrollstruktur att reducera antalet inträffade fel och brister samt minska effekterna av de fel och brister som trots allt inträffar. För att utforma en kostnadseffektiv intern kontrollstruktur måste väsentlighet och risk i verksamheten beaktas. Kodens krav Vad är det minsta man måste göra? SVAR: I enlighet med Svensk kod för bolagsstyrning skall styrelsen se till att bolaget har god intern kontroll och fortlöpande hålla sig informerad om och utvärdera hur bolagets system för intern kontroll fungerar. Detta innebär att för att kunna bedöma den interna kontrollen måste ledningen beskriva hur den interna kontrollen är organiserad, samt testa, utvärdera och bedöma densamma. Måste man följa de här reglerna? SVAR: Koden är avsedd att utgöra ett led i självregleringen inom det svenska näringslivet. Den bygger på principen följ eller förklara, som även tillämpas i flertalet utländska koder. Principen innebär att ett företag som tillämpar koden kan avvika från enskilda regler men då skall avge förklaringar där skälen till varje avvikelse redovisas. 12
Vad händer om man inte följer reglerna? SVAR: Bolag som avviker från kodens regler, utan att ange rimliga motiv för detta, riskerar att drabbas av försämrat förtroende på marknaden, vilket i sin tur kan inverka menligt på bolagets värde. För andra kategorier av företag ligger det främst i ägarnas händer att bedöma motiven för redovisade avvikelser. Internrevisionens roll Har internrevisionen något att göra med Svensk kod för bolagsstyrning? SVAR: Internrevisionen kan via konsultativ rådgivning vara verksamheten behjälplig att kartlägga och dokumentera. Internrevisionens metoder/modeller och strukturerade arbetssätt passar utmärkt även i detta arbete. I ett uppbyggnadsskede är det naturligt att internrevisionen bidrar med sin erfarenhet och kompetens. Internrevisionens säkringsaktiviteter ligger till grund för vårt uttalande om den interna kontrollen. Sysslar inte ni med bedrägerier? Är det inte det ni borde ägna er åt? SVAR: Internrevisionens främsta uppgift är inte att före-bygga, upptäcka och utreda bedrägerier. I stället arbetar internrevisionen för att utifrån väsentlighet och risk förbättra en organisations verksamhet ur ett helhetsperspektiv. De som bäst känner till verksamheten och ansvarar för denna är också de som är bäst lämpade att förebygga, upptäcka och utreda bedrägerier ibland med stöd av specialister på bedrägeriområdet. Internrevisionens ansvar är att hjälpa verksamheten att förstå om brister i den interna kontrollen kan medföra risk för att väsentliga bedrägerier uppstår och ej upptäcks i tid och att i så fall bistå med goda råd för utvecklingen av den interna kontrollen. Varför ser inte internrevisionen till att den interna kontrollen fungerar? SVAR: Den interna kontrollen är en process som påverkas av bolagets styrelse, ledning och annan personal, och som utformats för att ge en rimlig försäkran om att bolagets mål uppnås. Ledningen är de som planerar, organiserar och leder genomförandet av erforderliga åtgärder för att åstadkomma rimlig säkerhet att mål nås. Internrevision tillhandahåller oberoende, objektiva säkrings- och rådgivningstjänster, med uppgift att tillföra värde och förbättra en organisations verksamhet. Genom att systematiskt och strukturerat värdera och öka effektiviteten i riskhantering, styrning och kontroll samt ledningsprocesser hjälper internrevisionsverksamheten organisationen att nå sina mål. Vi har ju massor av kontrollfunktioner vad tillför då internrevisionen? SVAR: Internrevisionen är en oberoende, objektiv säkrings- och rådgivnings aktivitet som står för helhetssyn och systematisk tillämpning av styrning och kontroll. Internrevisionen utvärderar om den interna kontrollen är ändamålsenlig, effektiv och tillförlitlig samt att regelverk finns och efterlevs. Med andra ord om en tillfredsställande nivå föreligger. Kan inte ni hjälpa styrelsen, företagsledningen, verksamheten, externrevisionen med? SVAR: Internrevisionen bedriver sin verksamhet i enlighet med den charter/instruktion som fastställts för verksamheten. Här definieras bland annat inriktningen av Internrevisionens verksamhet. I den årliga planen definieras sedan omfattning och inriktning, utifrån väsentlighet och risk, av prioriterade säkringsinsatser samt andelen rådgivning. Internrevisionen ska systematiskt och strukturerat arbeta med att hjälpa organisationen att nå sina mål. Naturligtvis bidrar Internrevisionen gärna med råd och stöd utifrån vad som framgår i charter och definierats i den årliga planen. 13
Varför har inte ni hittat det här felet? SVAR: Internrevisionens främsta uppgift är inte att upptäcka alla avsiktliga och oavsiktliga fel. I stället arbetarinternrevisionen utifrån väsentlighet och risk med att förbättra en organisations verksamhet ur ett helhetsperspektiv. De som bäst känner till verksamheten och ansvarar för denna är också de som är bäst lämpade att förebygga, upptäcka och utreda fel. Internrevisionens ansvar är att hjälpa verksamheten att förstå om brister i den interna kontrollen kan medföra risk för att fel uppstår och ej upptäcks i tid, och att i så bistå med goda råd för utvecklingen av den interna kontrollen. Ledningens roll i förhållande till internrevisionen När det skall genomföras varför kan ni inte göra det själva då? Så får ni det som ni själva vill ha det. SVAR: Internrevisionen utgör inte någon operativ del av verksamheten utan har en kvalitetssäkrande roll gentemot styrelse och ledning. Internrevisionen kan föreslå möjliga lösningar för att öka effektiviteten i verksamheten men skall inte genomföra dessa. Verksamheten är den som måste besluta, genomföra och följa upp det ständiga förbättringsarbetet. Var skall vi hitta resurser till det? Det är ju ni som har resurserna. SVAR: Internrevisionens resurser för konsultativ verksamhet varierar beroende på vad som lagts fast i den årliga planen. Naturligtvis ska växande väsentliga riskområden granskas även om de inte ursprungligen ingår i planen. Omfördelningar eller utökning av den rådgivande delen av internrevisionstjänsten fastställs av styrelsen. Frågor och svar i bilaga 4, tillsammans med andra tillkommande aktuella frågor, kan du återfinna på Internrevisorernas hemsida. Om du själv har några intressanta/väsentliga frågor, med eller utan svar, så skicka dem till kansliet: info@internrevisorerna.se för publicering på vår hemsida. 14
Har du synpunkter eller frågor i anslutning till denna vägledning ber vi dig att via vår hemsida www.internrevisorerna.se diskutera och föra fram olika frågeställningar.
Produktion: Ellens Byrålåda, Västerås 2006 Strandvägen 7 A 114 56 Stockholm Tel: 08-586 107 66 Fax: 08-660 65 89 E-post: info@internrevisorerna.se www.internrevisorerna.se 16