INTERN REVISION #2/08 ÅRSMÖTET 2008 CIA COSO GTAG

INTERN REVISION #2/08 ÅRSMÖTET 2008 KRISHANTERING UTBILDNING CIA COSO GTAG KOMPETENS

INNEHÅLL NR 2 2008 03 Redaktören om en tidning som förnyas 04 Ordföranden om en allt bättre förening 05 Årsmötet 2008: Med krishantering, ny styrelse och nya uppdrag 08 Internrevisionsdagarna 2008: Anmäl dig nu! 10 CIA-spalten 11 Riskvarning för COSO-förenklingar 12 På kurs med COSO 14 Utbildning: Nya lärare på grundkursen Hur ska en bra lärare vara? Kursinformation 19 GTAG ny metod att hjälpa internrevisorn med IT-granskning? 22 Lästips ur Internal Auditor 23 Sida ifrågasätter IIA:s standards 24 Kompetensutvecklingsverksamheten vilka är vi och vad gör vi? 26 Nya medlemmar och en dag på universitetet INTERNREVISION 2008 Tidningen Internrevision utkommer från och med 2008 med fyra nummer per år i stället för sex. Manusstopp Utgivningsdag NR 3/2008 15 augusti 12 september NR 4/2008 11 oktober 7 november Artiklar skickas till: peter.strandh@se.ey.com eller leif.z@comhem.se ANNONSERA I INTERNREVISION Baksida: 7 500 kronor. Helsida: 4 000 kronor Halvsida: 3 000 kronor. 1/4-sida: 2 000 kronor Annonserar du flera gånger så bjuder vi på 10 procent rabatt. Alla priser exkl moms. Önskar du annonsera i InternreVision eller på föreningens hemsida, kontakta Görel Hamilton på Internrevisorernas kansli, tel 08-586 107 66. INTERN REVISION Tidskrift om internrevision utgiven av Internrevisorerna. Redaktionskommittén består av: Peter Strandh, redaktör Ernst & Young AB, Box 7850, 103 99 Stockholm. Tel 08-520 590 00 fax 08-520 516 45, e-post: peter.strandh@se.ey.com Inga Astorsdotter SLU, Sveriges Lantbruksuniversitet Box 7083, 750 07 Uppsala Tel 018-671 625 mobil 076-767 16 25 e-post: inga.astorsdotter@adm.slu.se Urban Eklund Ericsson, Torshamnsgatan 23 164 83 Stockholm Tel 08-568 666 26 Gunilla Liljeroth PPM, Box 1605, 111 86 Stockholm Tel 08-406 51 44 mobil 073-326 50 45, e-post: gunilla.liljeroth@ppm.nu Leif Zetterberg, redigering Tel 08-720 18 02, e-post: leif.z@comhem.se Manusstop nästa nummer: Fredag 15 augusti. Material för publicering skickas till Peter Strandh, peter.strandh@se.ey.com, eller till Leif Zetterberg, leif.z@comhem.se Prenumeration: 300 kronor per år för icke-medlem. Ansvarig utgivare: Guidon Berggren ISSN: 1401-8950 Tryck: Westerås Media Produktion, Västerås, 2008 Omslagsfoto: Yvonne Alnebjer 2 INTERNREVISION 2/2008

REDAKTÖREN OM EN TIDNING SOM FÖRNYAS SÅ HAR VI FÅTT en delvis ny styrelse i Internrevisorerna och jag är stolt att vara en av dem som fått förtroendet. Premiären som styrelseledamot skedde i och med mötet på kansliet den 9 april. Jag ser mycket fram emot att få vara med och ge mitt bidrag till utvecklingen av internrevision som profession i Sverige. Jag kommer även att fortsätta som redaktör för tidningen då jag tycker det är en både intressant som rolig uppgift. Återigen vill jag uppmuntra er att göra er röst hörd i tidningen genom att bidra med artiklar etc. samt även komma med i redaktionen. TIDNINGEN INTERNREVISION blir kvartalstidskrift efter beslut i styrelsen att vår tidning gör en övergång från sex till fyra nummer per år. Vi i redaktionen har sedan årsskiftet funderat en hel del över hur tidningen kan vidareutvecklas och förändras i takt med tiden. En av våra slutsatser var att tidningen primärt inte kan tjäna som dagsfärsk nyhetsförmedlare. Vi tror i stället att det är bättre att föreningen än mer aktivt använder hemsidan för att snabbt få ut dagsaktuell information och nyheter. Vi ser framför oss följande inriktning på tidningen: Aktualitet, kunskapsförmedling, fördjupning samt information om föreningens aktiviteter. Tidningens uppgift blir att leva upp till detta i artiklar, reportage, intervjuer, information och annonser. Färre nummer innebär inte färre sidor utan ambitionen är att utöka sidantalet per nummer så att vi på årsbasis har ungefär samma antal sidor som tidigare. Dessutom, genom att minska utgivningen till fyra nummer per år får redaktionen större möjligheter att planera sitt arbete. Ett arbete som ni alla vet sker på frivillig basis. Ambitionen är också att än tydligare koppla tidningen innehåll till föreningens strategiska agenda. ANNONSPRISERNA HALVERAS! Styrelsen har i samråd med redaktionen även beslutat att halvera tidningens annonspriser då vår bedömning är att tidningens annonspriser varit för höga. Vilket även är tydligt då det normalt endast är baksidan som har en annons från någon av de big four som turas om att annonsera. Vi tror att en tidning som har fler annonser blir mer levande och statusen på tidningen ökar. Intäktsmässigt tror vi på samma utfall genom att vi får in fler annonser när priserna sänks. ENTERPRISE RISK MANAGEMENT (ERM) har ju länge varit ett populäruttryck som få riktigt förstått innebörden av. Jag vill därför ännu en gång slå ett slag för ett ramverk som COSO tagit fram: COSO Enterprise Risk Management Integrated Framework. Det är ett pedagogiskt uppbyggt ramverk som förklarar ERM. Nu finns chansen att lära er mer om detta ramverk i kursen som Internrevisorerna arrangerar den 15 maj 2008 i Stockholm. Kursen går även igenom internrevisio- nens roll i organisationer som tillämpar Enterprise Risk Management. ETT NYTT OCH SPÄNNANDE samarbete har dragits igång tillsammans med FAR SRS. Samarbetet avser inledningsvis två gemensamma projekt. Det första projektet handlar om Samverkan intern- och externrevision och det andra handlar om intern styrning och kontroll med representanter från de båda organisationerna. Jag är övertygad om att vi kommer att få läsa mer om dessa projekt i framtida nummer av vår tidning. ÄR STÖRRE PROJEKT ett av internrevisorernas outforskade områden? Hur många granskningar har din internrevisionsenhet genomfört av större pågående projekt i din organisation? Större projekt är enligt det internationella Internal Audit Roundtable den näst viktigaste utmaningen just nu för en internrevisionsenhet att följa och granska. Stora projekt är ofta väldigt kritiska för större organisationer att de levererar inte bara på tid utan även med rätt kvalitet och kostnad. Här finns en fin möjlighet för internrevision att genom rätt kompetens skapa mervärde. SKIT I TRADITIONERNA INTE: Citat av Anna Sophie Swetchine; In this world of change, nothing which comes stays, and nothing which goes is lost. Peter Strandh CIA och Auktoriserad revisor INTERNREVISION 2/2008 3

ORDFÖRANDEN OM EN ALLT BÄTTRE FÖRENING FÅR JAG KOMMA IN på en stänkare? Det är min nyfikne granne som sticker in huvudet genom dörren. Han är egen företagare och har ett stort behov av en revisor men inser inte det själv. I stället tar han alla möjligheter till gratis rådgivning och tycker att den senaste tidens debatt om borttagande av revisorsplikten är jättebra för hans del. Han har ju en revisor som granne som han kan fråga och diskutera med. BLEV ER ÅRSSTÄMMA så strålande som du trodde, inleder han vårt samtal. Javisst, svarar jag, den blev till och med ännu bättre tack vare att vi samverkade med en IT-organisation som heter ISACA. Men du sa ju att ni hade kriser och katastrofer som ämne, blev det inte självuppfyllande? Nej, för Martin Sebesta som var talare hanterade ämnet på ett spännande och naturligt sätt vilket gav många aha-upplevelser. Du borde ha varit där och lyssnat, infogar jag glatt, för det skulle ha gett dig en hel del tankar att ta med dig ut i livet. Snack, säger han, jag har nog med mina egna kriser utan att få ytterligare hjälp på traven. Det tror jag visst det, säger jag, men här hade du fått lite tips om hur du ska hantera dem. Det hade du behövt. DET BLEV EN DELVIS ny styrelse, va? Frågar han för att byta ämne. Ja, stämman röstade fram en kanonstyrelse, berättar jag, men den kommer att få ett tufft arbetsår med många önskemål från medlemmarna att ta hand om. Sedan gäller det att få så många medlemmar som möjligt att bli aktiva och delta i föreningens alla verksamheter om vi ska lyckas. Men jag är helt övertygad om att den styrelse vi nu har kommer att klara detta. Dessutom, tillägger jag, vilka oanade möjligheter har vi inte att sätta internrevision på kartan? Okej, ni har medvind just nu, medger han lite tveksamt, men ser ni inga hot framför er? Jodå, berättar jag, stämman diskuterade både hot och möjligheter och hur vi ska hantera dessa. JAG HÖR LITE DÅ OCH DÅ på reklamen om en revisionsbyrå som kallar sig Visionsbyrån, fiffig idé, tycker jag, och han ser lite överlägset på mig. Ja, det är lite kul, tycker jag, att en av de stora revisionsbyråerna uppenbarligen tycker att vår idé sedan tio år med att kalla vår medlemstidning för InternreVision är så bra att de nu har tagit efter idén i sin egen marknadsföring. Men det bjuder vi självfallet på, säger jag stolt, och tidning har ju Visionen och framåtseendet som målsättning så vi jobbar vidare i den andan och hoppas på att få fler efterföljare. SAMARBETSPROJEKTEN du berättade om, hur går det med dem, frågar han. Bra svarar jag, du menar förstås samarbetsprojekten med FAR/SRS, förtydligar jag. Vi är just klara med bemanningen och vi kör igång så fort som möjligt. Jasså, så pass. Nu låter han istället lätt ironisk. Du förstår det här är en ny grej för oss, fortsätter jag, så vi måste prova oss fram för att se vad ett sådant här samarbete kan innebära för oss. Det är inte så enkelt som det låter. För att det ska bli rätt i framtiden måste vi få hela föreningen med på tåget. Men det är aktuella frågeställningar som det handlar om, till exempel samverkan mellan extern- och internrevision och intern styrning och kontroll. Låter intressant, säger han med ett brett leende, jag förstår precis vad du menar. Om inte jag i mitt företag får revisorerna att samverka så blir det dyrare för mig och om jag inte har god intern styrning och kontroll så kommer det att gå illa för mig i framtiden i mina kontakter med myndigheter, banker och kanske även med mina kunder. Jag tycker du har förstått exakt vad det handlar om, tillägger jag. Livet är komplicerat speciellt om man är företagare och det gäller förutom att ha sunt förnuft även att följa regelboken. DU, KAN INTE DU FORTSÄTTA att vara min revisor även efter det att revisionsplikten avskaffats, frågar han lite bedjande, jag tror jag behöver det. Jovisst, säger jag med ett leende fullt medveten om att det är just det han behöver även i fortsättningen. Signerat Guidon 4 INTERNREVISION 2/2008

ÅRSMÖTET 2008 Hantering av kriser allt viktigare för företagen Tillsammans med ISACA anordnade Internrevisorerna i början av april seminariet Katastrof och kontinuitet före sina respektive årsmöten. Martin Sebesta från 4C Strategies AB gav deltagarna en inblick i hur man kan se på hot och risker för företag i en komplex värld och varför det är viktigt att arbeta effektivt med riskanalys, krishantering och kontinuitetsplanering. Martin inledde med ett praktexempel på hur det kan gå, när ett företag har förberett sig för en kris respektive inte har gjort det. År 2000 inträffade en brand i Philips Electronics fabrik i Albuquerque, USA. Den fick rejäla konsekvenser för mobiljättarna Nokia och Ericsson, då bägge företagen var beroende av leveransen av en viss typ komponenter som Philips Electronics producerade. Men konsekvenserna blev olika, eftersom hanteringen av den kris som uppstod hos de bägge företagen hanterades på olika sätt. Nokia såg snabbt konsekvensen, de aktiverade en redan förberedd krishanteringsgrupp, som omedelbart åkte till Albuquer que och förhandlade med Phillips Elec-tronics om att ta fram ersättningsmaterial. Deras mobiltelefoner hade en inbyggd redundans, de var flexibla och Nokia kunde fortsätta sin produktion. Med Ericson var det betydligt sämre ställt. Det tog flera veckor innan man insåg krisens omfattning och när man äntligen reagerade var det för sent. All kapacitet som Philips Electronics klarade av gick till Nokia. Ericssons mobiler hade heller inte samma flexibilitet inbyggda i systemet och produktionen stannade av. Ericsson förlorade 4 miljarder kronor, medan Nokia ökade sina marknadsandelar! Dagens hot och risker Det vi främst tänker oss som hot i dag är terrorism, klimathot och pandemi. Men Martin menade att mera relevanta hot för ett företag i dag är globaliseringen med nya aktörer, en hårdare konkurrens, företagsspioneri samt en allt komplexare teknik och grövre, gränsöverskridande kriminalitet. Med exemplet stormen Gudrun visade Martin på hur allt hänger ihop. Mobiltelefonin låg nere, eftersom ingen ström fanns. Trots att reservelverk fanns blev de snabbt inaktiva, då dieseln tog slut. Det fick till följd att ingen kunde prata med någon annan och en massa gubbar jobbade utan att kunna kommunicera med varandra ute i skogen. Exemplet visar att det lätt blir cirkelgångar i en komplex värld. Martin pekade på den aktuella avregleringen av statliga företag. Staten måste uppfylla vissa kriterier och investera i redundans, medan det privata näringslivet kanske inte tar lika allvarligt på att förbereda sig för kriser, utan ekonomin får styra. En verksamhet som förr var statlig, men nu privat blir därför lätt mera sårbar. Investering i krishantering För ett företag är det viktigt att trots en kris kunna nå sin mål och behålla förtroendet hos aktiemarknaden, kunderna och sina anställda. Därför är investeringar i kontinuitetsplanering och krishantering en nödvändighet. Forskare har kunnat konstatera att aktierna har dalat hos företag i kris. Men med en bra krishantering har kursen snabbt stigit igen. Det tar tre år för företag i kris att återställa ryktet är en slutsats konsultföretaget Burson-Marsteller gjorde när de 2006 intervjuade företagsledare från 85 länder. Det viktigt att löpande rapportera till ledningen om det pågående arbetet med riskhantering och att med jämna mellanrum granska och följa upp. En väl genomförd kontinuitetsplanering utvecklar, enligt Martin, organisatio- Företaget 4C Strategies AB har utarbetat en riskhanteringsmodell. Källa: AS 4360 och 4C Strategies AB INTERNREVISION 2/2008 5

ÅRSMÖTET 2008 NY STYRELSE OCH NYA UPPDRAG Martin Sebesta. Foto: Klas Schöldström. nens förmåga att kunna driva kritisk verksamhet på en tolerabel nivå, oavsett vilken typ av störning organisationen drabbas av. Tips för bra krishantering Slutligen några tips från Martin och 4C Strategies AB: Undvik scenarioplanering Kontinuitetsplanering ska vara en integrerad del av övriga verksamhetsprocesser Utgå från det verksamhetskritiska Använd gärna standarder, men glöm inte att din organisation är unik! Använd systemstöd om det underlättar Håll planer korta, koncisa och uppdaterade! Vi var knappt 30 medlemmar som slöt upp för att delta i föreningens årsmöte i Skandias lokaler på Sveavägen 44, Stockholm. Till årsmötets ordförande valdes Torbjörn Wikland och till dess sekreterare undertecknad, Charlotta Löfstrand Hjelm. Vår generalsekreterare, Klas Schöldström, redogjorde kort för Internrevisorernas verksamhet och det ekonomiska utfallet för förening och bolag under 2007. Föreningens stämmorepresentant, Anders Thunholm avlämnade sin rapport och Etiknämndens ledamot Gunilla Werner Carlsson informerade om att etiknämnden inte haft några individuella ärenden att behandla. Revisionsberättelsen föredrogs och styrelsen beviljades ansvarsfrihet för det gångna året. Därefter genomfördes val av styrelseledamöter och enligt valberedningens förslag valdes Guidon Berggren till ordförande, Bernt Gyllenswärd till vice ordförande, och Carina Petersén Malmström, Harald Lööf, Michael Bernhardtz, Peter Strandh, Yvonne Palm samt Anders Erlandsson till ledamöter. Charlotta Löfstrand Hjelm och Ulla-Kari Fällman kvarstår som ledamöter. Även val av etiknämnd, revisor, stämmorepresentant samt valberedning genomfördes samtliga funktionärer omvaldes och instruktion till både etiknämnd och stämmorepresentant fastställdes. Vidare behandlades verksamhet och budget för 2008 och årsmötet diskuterade måluppföljning och hot mot vår verksamhet och förening. Årsmötet avslutades med att föreningens CIA-ansvariga Gunilla Werner Carlsson delade ut CIA diplom och nålar till sju nyblivna CIAs (där undertecknad var en av de stolta mottagarna) och Guidon Berggren fick den stora äran att dela ut en nål för 25-årigt medlemskap i föreningen till Larry Ribbeklint. (Om du vill ta del av protokollet från årsmötet så hittar du det på vår hemsida!) FRÅN NYA STYRELSENS FÖRSTA MÖTE N Internrevisorernas styrelse har i anslutning till årsmötet den 3 april genomfört ett konstituerande möte för att fördela Kriskommunikation allt viktigare En del i krishantering är att kunna kommunicera. I dag när media sänder dygnet runt och när varje mobilkamera är en reporter är det extra viktigt att media, aktieägare, leverantörer med flera får rätt information i rätt tid. Annars bildas rykten och förtroendet för företaget dalar. En sammanfattning av Martins föredrag är att med en bra risk-, kontinuitetsoch krisplanering kan en kris i ett företag i bästa fall stanna på incidentnivå. GÖREL HAMILTON Helen Tufvesson, Vattenfall, får sitt diplom av Gunilla Werner Carlsson. 6 INTERNREVISION 2/2008

ansvar och arbetsuppgifter inom olika områden till styrelseledamöter och andra uppdragstagare inom föreningen. Undertecknad fick fortsatt förtroende på posten som styrelsens sekreterare och vår generalsekreterare, Klas Schöldström, utsågs till verkställande direktör. Förteckningen över vilka som innehar övriga uppdrag finner du här intill. I övrigt behandlades arbetsordning för styrelsen, organisationsplan, attestordning, mötesplan, instruktion till generalsekreterare/vd samt firmateckning. Den vid årsmötet valda styrelsen har också genomfört ett styrelsemöte den 9 april. Vid detta möte behandlades och fastställdes uppdragsbrev till sex av våra nio kommittéer. Avsikten med dessa uppdragsbrev är att du som medlem tydligt ska kunna se vad de olika kommittéerna ansvarar för samt vilka som ingår i dessa. Aktuella versioner av uppdragsbreven kommer du att återfinna på vår hemsida. Vi är särskilt stolta över att under Yvonne Palms ledning kunna sjösätta en medlemskommitté. Styrelsen är medveten om att det återstår mycket arbete innan kommittén är färdigrustad men anser att detta är en viktig förutsättning för att skapa en framtida ökad medlemsnytta i föreningen! Styrelsen godkände också Torbjörn Wiklands översättning av Guidance for Smaller Public Companies och nu väntar vi på besked från COSO om godkännande av denna. I vanlig ordning behandlade styrelsen också frågor rörande marknadsplan, samarbete externa parter, status utbildningsplan, akademiprojektet, kansli, ekonomiskt utfall samt information om IIA Sweden Audit Director Roundtable, yrkesstrategiska kommittén och internationella kommittén. Styrelsen beslutade också om att göra denna tidning till en kvartalstidskrift med policyn aktualitet, kunskapsförmedling, fördjupning samt information om föreningens aktiviteter. Mötet avslutades med att ytterligare 17 ansökningar om medlemskap i vår förening beviljades. CHARLOTTA LÖFSTRAND HJELM Styrelsens sekreterare UPPDRAG INOM IRF/ISAB 2008 Generalsekr. och VD: Klas Schöldström Ansvarig för ECIIA-kontakter: Elisabeth Styf Past President: Torbjörn Wikland Kommittéordföranden Kompetensutvecklingskommittén: Ulla-Kari Fällman CIA-ansvarig: Gunilla Werner-Carlsson IT-kommittén: Lars Gyllenswärd Yrkesstrategiska kommittén: Bernt Gyllenswärd Informations- och kommunikationskommittén: Peter Strandh Medlemskommittén: Yvonne Palm Privata: Richard Minogue Finansiella: Gregor Gröblacher Försäkring: Charlotta Löfstrand Hjelm Statliga: Thomas Davidsson Tematräffar: Lars Agerberg Värt att veta om IT: Lars Gyllenswärd Marknadskommittén: Carina Petersén-Malmström IIA Swedens Audit Director Roundtable: Harald Lööf Internationella kommittén: Klas Schöldström Etiknämnden: Sten Bjelke Valberedningen: Elisabeth Styf Hedersmedlemmen Gerhard Lundgren pratar med Larry Ribbeklint som mottagit sin 25-årsnål. Höger: Charlotta Löfstrand Hjelm, föreningens sekreterare, och Torbjörn Wikland. INTERNREVISION 2/2008 7

INTERNREVISIONS- DAGARNA 1 2 DECEMBER 2008 TEMA: KOMMUNIKATION KVALITET SAMVERKAN KOMPETENS

INBJUDAN TILL ÅRETS INTERNREVISIONSDAGAR 1 2 DECEMBER 2008 Vi samlas redan söndagen den 30 november kl 18.00 för en gemensam mingelträff där även respektive är välkomna att delta. Utnyttja dagen för julklappsinköp eller SPA-anläggningen på takvåningen med den uppvärmda utomhuspoolen. Merkostnaden är endast 1.000:- och 250:- för medföljande med övernattning. Anmäl dig redan nu till årets internrevisionsdagar Planeringen inför årets internrevisionsdagar är i full gång. Vi kommer i år att vara mitt inne i Stockholm på det nya konferenshotellet Clarion Hotel Sign vid Norra Bantorget. Även i år är intresset för internrevision stort och intresset bara växer i takt med nya direktiv och förnyade koder som talar om ordning och reda och nödvändigheten av en god intern kontroll. Att kommunicera ut vårt budskap är nästa stora utmaning. Det gäller att vi som internrevisorer når ut till styrelser och ledningar och kan kommunicera med dem på deras egen hemmaplan. Vad har vi lärt oss av årets incidenter som hamnat på tidningarnas förstasidor? Vi kommer att ha talare som ger oss en inblick i kommunikationens svåra konst och i våra spår kommer vi att få ta del av många jordnära tips, idéer och erfarenheter om hur vi ska arbeta på bästa och effektivaste sätt. Vi kommer att ha tre spår med teman: Internrevisorn i styrelserummet Internrevisorn i verksamheten Internrevisorn i utveckling Den stora behållningen är naturligtvis att umgås och utbyta direkta erfarenheter med kollegor från olika branscher. Det finns ingen annan mötesplats för oss internrevisorer som går upp mot Internrevisionsdagarna. Om du gör anmälan före den 28 juni är priset för två dagars konferens med övernattning 9.500:- för medlem och 13.000:- för icke-medlem, exkl moms. Anmälan den 28 juni 25 augusti höjs priset med 1.000:-. (10.500:- för medlem och 14.000:- för icke-medlem) Anmälan den 26 augusti 26 september höjs priset med 1.500:-. (11.000:- för medlem och 14.500:- för icke-medlem) Anmälan den 27 september 27 oktober höjs priset med 2.000:-. (11.500:- för medlem och 15.000:- för icke-medlem) Din anmälan är personlig och bindande. Skicka din anmälan direkt till utbildning@internrevisorerna.se INTERNREVISION 2/2008 9

CIA-SPALTEN HEJ ALLA INTERNREVISORSVÄNNER! Nu sitter jag här före påsk och funderar på vart våren tog vägen? SMHI lovar temperaturer kring nollstrecket och tidvis snöfall och halt väglag, medan min hjärna inspirerad av tussilago på golfbanan och blåsippa i backen hemma hade ställt in sig på en tidig och varm vår. Hm. Men det blir i alla fall ljusare för varje dag och fåglarna piper. Och jag tänker på vad jag en gång hörde att den gamle rospiggen har sagt om vårens ankomst: Det krävs sju bakslag innan våren är här för att stanna! Vad gäller Computer Based Testing (CBT) hoppas jag att ni redan har tagit del av den nya information som nu finns på hemsidan. Regelverket kring hur länge man kan finnas kvar i programmet och hur länge jag kan hålla liv i gamla tentamina har ändrats och jag vill passa på här att berätta om de nya reglerna. Kansliet kommer alltså fortsättningsvis att ha hand om all administration kring proven och jag vill passa på att tacka Cathrin Uggla som bistått mig tålmodigt med detta under de gångna åren. All annan information kring CIA med flera certifieringar kommer jag att försöka svara på precis som tidigare i min roll som CIA-ansvarig och det är också jag som kommer att hantera all information som rör er utbildningsbakgrund med mera för att starta livet som kandidat. NYTT ÄR ALLTSÅ att alla som är inne i det nuvarande systemet har fått sitt kandidatliv förlängt genom att alla tidsgränser nu räknas från 2008-01-01. Det betyder i klartext att om man har tenterat i maj 2006 eller senare även om man inte klarat sig så finns man kvar i programmet åtminstone till 2010-01-01! Det nya systemet innebär också en ändring när det gäller hur länge din anmälan för en viss del gäller det nya systemet kräver nämligen att du betalar innan du kan beställa tid för tentamen. Du har på dig 180 dagar att beställa tid. Om du misslyckas med att registrera dig och tentera inom denna tid så förfaller din anmälan och du får inte tillbaka dina pengar. Ombokning pga sjukdom eller andra omständigheter kommer att accepteras till viss gräns inom 180-dagarsperioden men perioden blir inte förlängd. Jag återkommer med detaljregler i ett dokument som publiceras på hemsidan under april. Nytt är också att man kommer att få ett preliminärt resultat när man lämnar examenslokalen och det definitiva resultatet är utlovat att komma inom en fjortondagarsperiod. Det finns väl en viss risk att introduktionsproblem kan komma att förlänga den tiden något i början, men det blir iallafall snabbare än det gamla systemet. För den som får ett negativt besked gäller att man måste vänta 90 dagar innan man kan tentera samma deltenta en gång till och förstås också betala in en ny avgift. Man kan dock prova sin lycka på en annan deltenta under tiden - spärren på 90 dagar gäller per del och inte per individ! Vi har fått besked från IIA om att det kommer att finnas två testcenter i Sverige: ett i Göteborgstrakten och ett norr om Stockholm. Vi återkommer snarast möjligt med uppgift om adresser och väganvisningar, men observera att man inte ringer dit för att anmäla sig hur man gör står på hemsidan. MITT UPPROP i förra numret om att alla med dubbla nummer skulle höra av sig har tyvärr inte gett något resultat. Jag vet inte om det betyder att vi redan har hittat alla med dubbla nummer eller om ni inte har greppat att detta är jätteviktigt att klara ut. Jag upprepar min vädjan: Om det är någon som deltar i examensprogrammet och som redan nu har fått två olika ID-nummer från IIA eller Internrevisorerna ber jag er vänligen att OMGÅENDE ta kontakt med mig. Detta ger oss problem varje gång resultaten meddelas och kommer att vara en omöjlighet i det nya systemet, så tänk efter om du har fått två ID-nummer och hör av dig till mig isåfall. Tack för hjälpen! Närmare uppgifter om anmälan, priser och sätt att betala och beställa tid finns på Internrevisorernas hemsida när ni läser detta. Kolla alla uppgifter där innan ni ringer/mailar för att fråga. Och jag lovar att vi ska notera den information som saknas och komplettera så att så många som möjligt blir välinformerade direkt. Men ni som känner att ni ändå behöver mera information är alltid välkomna att kontakta mig! Vänliga hälsningar GUNILLA tel 08-792 77 05/070-365 77 05 gunilla.wernercarlsson@if.se 10 INTERNREVISION 2/2008

COSO Riskvarning för COSO-förenklingar! Sten Bjelke kommenterar Torbjörn Wiklands artikel i förra numret. IInternrevision nr 1/08 skriver Torbjörn Wikland en utmärkt och mycket läsvärd artikel om de av COSO publicerade ramverken om styrning/kontroll och riskhantering. Torbjörn tar upp flera intressanta frågeställningar av både semantisk och faktakaraktär. Att översätta det engelska ordet control till kontroll är enligt Norstedts engelsk-svenska ordbok inte fel men det leder tyvärr tankarna i fel riktning. Redan i den första översättningen av ISO 9000 översattes control med styrning. I engelskspråkliga länder betraktas kontroll som en viktig del av styrningen; utan kontroll ingen styrning, det är som att sitta vid rodret i en båt med förbundna ögon. Är det kanske dags att följa standardiseringskommissionens exempel? Det är värt att notera att de metoder och tekniker som beskrivs i ramverket COSO ERM främst kommer från traditionell Risk Management med ursprung i försäkrings- och spelbranschen. Nästan alla baseras på Pascals riskformel (Risk = utfall av möjlig händelse x sannolikheten att den ska inträffa) med dess fördelar och nackdelar. Viktiga förutsättningar för att de ska fungera är att: Alla möjliga händelser/utfall är kända. Miljön är stabil och förändras inte över tiden. Sannolikheter beräknas på ett stort antal observationer. NÄR EN ELLER FLERA av dessa förutsättningar inte är uppfyllda kan man således inte använda de här metoderna utan man måste välja en metod med annan teoretisk bas. Detta nämns i COSO ERM liksom några alternativa metoder men utan djupare analys eller förklaring vilket kan ge läsaren intrycket att detta är av underordnad betydelse. I artikeln pekar Torbjörn på att myndigheter inte fritt kan välja vad de ska syssla med och därför bör avhålla sig från att hänvisa till COSO:s ramverk för att förbättra intern styrning och kontroll eller riskhantering. Det är nog inte enbart statliga och kommunala myndigheter som bör följa Torbjörns råd. Som Torbjörn helt korrekt påpekar innehåller COSO:s båda ramverk enbart begrepp, synsätt, teorier och exempel men inga branschspecifika eller individuella lösningar. Ramverken är avsedda att användas som ett smörgåsbord där man ska kunna hitta bästa möjliga lösning för den egna organisationen! TORBJÖRN MENAR ATT myndigheter har avsevärt mindre utrymme än aktiebolag att själva formulera sina mål. Detta är inte självklart. Det är förvisso riktigt att myndighetens regleringsbrev ofta är betydligt mer detaljerade än aktiebolagets bolagsordning vilket dock inte per automatik innebär att regleringsbrevet beskriver myndighetens strategiska mål; alltså de behov som myndigheten ska tillgodose. Var ska man då söka myndighetens motsvarighet till bolagets affärsidé, det som på brittisk engelska kallas Business Concept och på amerikansk engelska Vision, Mission, and Objectives for the Future? Oavsett om regleringsbrevet innehåller affärsidé eller strategiska mål så kan både regleringsbrev och bolagsordning ändras, i båda fallen efter en vanligtvis ganska krånglig procedur. Oavsett regleringsbrevets innehåll så bör även myndigheter fortlöpande förbättra sina rutiner och aktiviteter för målformulering, riskhantering och styrning. I det arbetet är COSO:s båda ramverk lika användbara i en myndighet som i vilken annan organisation som helst. Också då regleringsbrevet beskriver myndighetens strategiska mål så kan det bara handla om mål på organisationens högsta organisatoriska nivå (Oversight level). En organisation behöver dock ha såväl strategiska som taktiska och opera- INTERNREVISION 2/2008 11

COSO tiva mål och planer i flera uppsättningar. Operationella mål på högsta organisatoriska nivå blir ofta strategiska mål på lägre nivå (Stewardship level) och operationella mål på denna nivå blir ofta strategiska mål på lägsta nivå (Performance level). En myndighet kan därför inte avstå strategisk och taktisk planering med hänvisning till regleringsbrevet utan att organisationens riskexponering påverkas negativt. TORBJÖRN PEKAR PÅ den tydliga koppling som görs i COSO ERM mellan målformulering, riskhantering (RM) och styrning. Utan tvekan är de här tre aktiviteterna mycket hårt knutna till varandra. Det är värt att notera att både riskhanterings- och styraktiviteterna enligt COSO syftar till att nå mål, inte till att formulera mål. I COSO ERM sägs tydligt att objective setting is a precondition (min kursivering) to the risk management activities, med andra ord att organisationens målsättningar är nödvändiga förhandsvillkor för RM-aktiviteterna. För närvarande finns tyvärr inte något allmänt erkänt ramverk som beskriver hur mål formuleras. Planerings- och målformuleringsrutiner är som regel både komplexa och svåröverskådliga. Det är väl känt att hot mot strategiska och taktiska mål inte kan kompenseras med bättre och effektivare operationella aktiviteter. Det är tyvärr inte ovanligt att intjänandekrav som följd av mindre lyckade investeringar med tiden blir en tung (ibland allt för tung) belastning för organisationen. Att formulera mål är således minst lika viktigt för organisationens framtid som riskhantering och styrning och borde absolut uppmärksammas bättre. RÄTT ANVÄNDA ÄR COSO:s båda ramverk till oerhört stor hjälp i arbetet att förbättra styrning och riskhantering i såväl myndigheter som i vilken annan organisation som helst. Används de fel kan resultatet tyvärr bli det omvända. Därför är det välbetänkt att följa rådet i COSO ERM: Skaffa dig en helhetssyn! Visst kan det vara besvärligt att ta sig igenom båda dessa ramverk, men det är väl värt både den tid och den ansträngning det kräver! Tack Torbjörn för en utmärkt bra och klarläggande artikel! STEN BJELKE, CIA PÅ KURS MED COSO MARGARETA FALLSVIK RAPPORTERAR Årets första COSO-kurs i Internrevisorernas regi gick av stapeln i Stockholm den 12 och 13 februari, några av de få dagar denna vinter som begåvats med sol. Adolf Fredriks kyrkas vita kupol gnistrade i solen och vi befann oss tvärs över gatan i Westmanska Palatset. 15 vetgiriga aspiranter från skilda verksamheter hade slutit upp för att lära mer om hur man utvärderar den interna styrningen och kontrollen utifrån COSO. Våra lärare var den alltid lika kunniga och entusiastiska duon Hans Löfgren och Torbjörn Wikland. Vi lotsades successivt in i COSO-modellens flerdimensionella värld. Vi gick bland annat igenom COSO:s beståndsdelar, riskbegrepp, styrning, kontroll och utvärdering samt hur man kan implementerar ramverket i den egna organisationen. För- och nackdelar med COSO, både teoretiskt och praktiskt, ventilerades. När är händelsestyrd riskhantering bra och mindre bra? Riskaptit är ett begrepp som används i många organisationer, andra finner begreppet riskaversion mer passande. COSO:s användbarhet inom olika styrfunktioner i organisationen och internrevisionens roll och ansvar kontra dessa funktioner är betydelsefullt att hålla reda på. Ett viktigt budskap var att så långt möjligt anpassa COSO till den egna organisationen i syfte att ge förutsättningar för att få största möjliga gehör för modellens grundfilosofi. Man behöver således inte vara rädd för att använda organisationens egen terminologi för de begrepp som finns i COSO. Under de två dagarna utbytte vi åsikter och erfarenheter från våra respektive verksamheter och diskuterade vitt och brett, stundtals filosofiskt, om detta komplexa ramverk. Vi sökte genvägar i modellens mångfald av aspekter utan att tappa fokus, stringens, nytta och relevans för våra egna organisationer. En del bra referenser till ytterligare nyttig läsning i hemmets lugna vrå fick vi oss också till livs. Sammanfattningsvis fick vi en grundlig, teoretisk genomgång av modellen och en del praktiska exempel. Bland annat fick vi förmånen att sätta tänderna i regeringskansliets delprocesser för elektronisk fakturahantering. Vår förståelse för ramverket ökade genom kunskap om begrepp, synsätt och riktlinjer. Som vid alla bra kurser infinner sig vid kursens slut en längtan att lära mer, en fördjupningskurs med mycket tid för case som visar den perfekta, konkreta tillämpningen av COSO-modellen. Eller också var det precis det vi skulle få kraft att åstadkomma på hemmaplan. MARGARETA FALLSVIK Linköpings universitet 12 INTERNREVISION 2/2008

Risk hanterad? Oavsett vilken bransch du verkar inom är effektiv riskhantering en avgörande faktor för framgångsrika företag. Vi har världens största nätverk av riskrådgivare, med en kompetens och erfarenhet som är svåröverträffad. Det betyder att vi kan hjälpa dig att bedöma de affärskritiska riskerna så att du kan fatta de rätta besluten för att företaget ska uppnå sin fulla potential. Vad är nästa steg för ditt företag?

UTBILDNING Nya lärare på grundkursen Två nya lärare kommer att ta sig an höstens grundkurs för internrevisorer. En från Skåne och en från Lappland. En bor på landet, en bor i stan. En med lång erfarenhet, en som är CIA. I NGA ASTORSDOTTE R Inga är född i Lappland, men bor i Uppsala, mitt bland trivsamma avgaser och betong. Hon har jobbat som internrevisor sedan 2001. Först på Uppsala universitet och sedan 1 januari i år på Sveriges lantbruksuniversitet. Inga är medlem i redaktionskommittén sedan flera år tillbaka. Hon blev CIA 2005 och vill väldigt gärna ta CISA också. Hur länge har du varit medlem i föreningen? I sju år. Vad är det som gör att du vill ställa upp för föreningen som lärare? Jag tycker naturligtvis att det är stimulerande och lärorikt att undervisa. Man lär sig samtidigt som man lär andra. Mottot för IIA är Progress through Inga Astorsdotter med snöskotern Viking. Foto: Stefan Larsson sharing och det är även något som präglar den akademiska världen. Jag tycker att utbildning är viktigt, och även forskning. (Det forskas för övrigt alldeles för lite inom revisions och framför allt internrevisionsområdet i Sverige.) Det är viktigt att vi internrevisorer delar med oss till våra kollegor av våra erfarenheter för att bygga på vår samlade kompetens, på samma sätt som forskningen i världen utvecklas genom ständigt utbyte av ny kunskap. Har du tidigare erfarenhet som lärare? Jag har varit lärare vid två tillfällen inom ramen för ett twinningprojekt i Turkiet. Det handlade om intern styrning och kontroll och om internrevision. Det var mycket givande. Har du gått föreningens utbildningar? Ja, flera stycken. Grundkursen som jag gick efter att ha jobbat i en månad var en mycket bra introduktion. Applikationskursen som jag gick häromåret var mycket givande och kul. Det är oerhört viktigt att man som internrevisor ständigt utvecklar sig och utbildar sig, gärna genom föreningens kurser. Det finns inget inom internrevisionsyrket som heter bibehållen kompetens. Antingen är det kompetensutveckling eller kompetensavveckling. Vilka förväntningar har du på kursdeltagarna när de kommer till grundkursen för internrevisorer? Jag hoppas framför allt att jag lever upp till kursdeltagarnas förväntningar. De flesta som jobbar med internrevision har en gedigen utbildning och erfarenhet. Jag vet att kursdeltagarna kommer att vara en heterogen och mycket kompetent grupp. Jag jobbar med att samla på mig en katalog med exempel från andra branscher och organisationer så att jag har mer än mina egna erfarenheter att komma med. INTERVJU: YVONNE ALNEBJER SVEN LINDÉN Sven är 60 år, gift och har två vuxna barn och bor på riktiga landet nere i södra Skåne. Han har jobbat med internrevision i över trettio år och har aldrig tröttnat på det det kommer hela tiden nya utmaningar! Hur länge har du varit medlem i föreningen? Så länge att jag inte kommer ihåg men jag tror att jag gick med någon gång under 1980-talet. Vad är det som gör att du vill ställa upp för föreningen som lärare? Jag funderade en gång i tiden på att bli lärare men halkade av någon anledning in på ekonomi vilket ledde till bank och så småningom internrevision. Men lärarrollen har hela tiden lurat bakom hörnet så att säga. Och eftersom jag har skaffat en lång yrkeserfarenhet så tycker 14 INTERNREVISION 2/2008

ANMÄL DIG TILL VÅRA KURSER! ÄN FINNS PLATSER KVAR! Sven Lindén. jag att det är på sin plats att ge något tillbaks till föreningen som bedriver en ideell verksamhet som i sin tur bygger på att folk ställer upp och engagerar sig. Har du tidigare erfarenhet som lärare? Ja, internrevisorns roll handlar mycket om att kommunicera. Att till exempel presentera en rapport över en nyligen genomförd granskning kan ibland vara en utmaning! Vi lär oss att kommunicera med hela organisationen, från styrelsen och ner till den sist anställde. Som konsult är jag van att träffa olika organisationer med olika krav och förutsättningar. Jag har agerat lärare både hos kunder och internt inom mitt eget företag. Har du gått föreningens utbildningar? Jag har endast gått kursen i applikationsgranskning och den gav mersmak. Jag har förstått att föreningens kurser över lag håller hög kvalitet så jag ska försöka gå åtminstone en kurs om året i fortsättningen. Vilka förväntningar har du på kursdeltagarna när de kommer till Grundkursen för internrevisorer? Jag hoppas att de är engagerade, har många frågor och vill diskutera olika frågeställningar. Oavsett hur liten erfarenhet man har så kan man alltid tillföra något som är av värde för andra! INTERVJU: INGA ASTORSDOTTER APPLIKATIONSGRANSKNING Kurs för internrevisorer med liten eller ingen erfarenhet av IT-granskningar TID: 7 8 maj 2008. Dag 1: kl 9 17.15. Dag 2: kl 9 16.30 PLATS: Westmanska Palatset, Holländargatan 17, Stockholm CPE-POÄNG: 16 CPE-poäng vid genomförd kurs PRIS: Medlem 13.200:-, ej medlem 15.200:-, exkl. moms. Priset inkluderar kost och logi. Avdrag görs, om hotellrum ej önskas. ANMÄLAN sker till utbildning@internrevisorerna.se KURSBESKRIVNING: Enligt IIA, Institute of Internal Auditors, finns ett behov av att öka kunskap om IT-revision bland internrevisorer som saknar eller har begränsad kunskap. Detta bedöms vara väsentligt för kvaliteten i framtida internrevisionsgranskningar. Internrevisorerna kan med denna kurs i applikationsgranskning erbjuda en möjlighet att ta ett steg på vägen till ökade kunskaper i ämnet. Kursen är en förkortad version av IIA:s kurs Auditing Automated Applications: The Basics. Under två intensiva dagar går vi igenom grunderna i granskning av applikationer och sätter in applikationsgranskning i sitt sammanhang i den interna revisionen. Kursen syftar till att ge dig kunskap om: IT-revision i allmänhet och applikationsgranskning i synnerhet, skillnaden mellan generella kontroller och specifika applikationskontroller, risker och hot i applikationer, praktiskt angreppssätt för en applikationsgranskning, planering och riskanalys, granskningens genomförande indata, bearbetning, utdata, vanliga kontroller i en applikation. I kursen arbetar vi i gruppövningar med praktikfall. MÅLGRUPP: Kursen riktar sig till alla internrevisorer med liten eller ingen erfarenhet av IT-granskningar, men som för att förbättra samverkan med IT-revisorer vill förstå vad det innebär att granska applikationssystem eller på övergripande nivå själv börja granska applikationssystem. Kursen genomförs med föreläsningar och kursmaterial på svenska. Visst kompletterande undervisningsmaterial kan vara på engelska. Material för grupparbeten är i huvudsak på svenska. Därutöver använder vi Internrevisorernas svenska handledning i granskning av applikationssystem som kompletterande kursdokumentation. LÄRARE: Märta Eklund är internrevisor på Swedbank. Märta har arbetat med internrevision sedan 1979 med inriktning på bland annat IT-revision och Compliance. Lars Gyllenswärd är IT-revisor på Försäkringskassan. Lars har lång erfarenhet som IT-revisor hos KPMG, internrevisionen i Postkoncernen och Landstingsrevisorerna inom Stockholms läns landsting. INTERNREVISION 2/2008 15

UTBILDNING Hur ska en bra lärare vara? Den 14 februari samlades Internrevisorernas lärare för diskussion om lärarrollen och pedagogik på anrika Hasselbackens restaurang och konferens. Workshopen var ett led i utvecklingen av Internrevisorernas lärare och ett sätt för dem att ta del av varandras erfarenheter. Huvudfrågan för kvällen var: Hur ska en bra lärare vara? Den besvarades med många bra tips från den samlade erfarenheten runt bordet. Efter en presentationsrunda kom diskussionen snabbt igång. Deltog gjorde några av lärarna 2008: Torbjörn Wikland, Helena Sundén, Richard Minogue, Gunilla Werner Carlsson, Märta Eklund, Bernt Gyllenswärd, Hans Löfgren och Inga Astorsdotter. Helena Sundén, ansvarig för kursen Intervjuteknik tillsammans med Richard Minogue, menar att en bra föreläsare ska kunna sitt ämne och tycka att ämnet är roligt. Helenas erfarenhet av internrevisorer som kursdeltagare är att de är på hugget från början; aktiva och frågvisa. Helena berättade att hon inte har någon särskild pedagogik men försöker skapa kontakt både med ögonen, genom diskussion och med frågor till deltagarna. Ett flertal lärare ansåg att själva mötet med eleverna är det som inspirerar mest. Eleverna ger ofta ny information och nya infallsvinklar på ämnet som gör att läraren tvingas gå djupare och på så sätt lär sig mer. Att få en inblick i Helena Sundén och Richard Minogue. Märta Eklund, Inga Astorsdotter och Bernt Gyllenswärd hade ett livligt samtal. en annan verklighet än den egna och att få folk att skratta under tiden som de lär är ytterligare två saker som anses stimulerande. Kursutvärderingar är viktiga ansåg flera lärare under kvällens erfarenhetsutbyte. De ger en bild av hur både innehåll och föreläsare uppfattas. Att teknik och lokal är bra och framför allt fungerar är en viktig framgångsfaktor liksom att tillhandahålla ett uppdaterat och snyggt kursmaterial till kursdeltagarena. Trender och nyheter inom internrevisionsområdet för vad som skulle kunna generera nya kurser inför nästa år diskuterades, exempelvis den nya IPPF och Solvency, kvalificerad kurs i IT, liksom en utveckling av grundkursen med riskhanteringsdel. Flera lärare poängterade också att vi bör titta på möjligheten att skapa kurser ihop med samarbetspartners av olika slag, till exemepel SWERMA, ESV och IREV. Summa summarum var det en mycket trevlig kväll med livliga diskussioner. Helena Landström hade förberett kvällens diskussion, Åsa Wallberg var moderator och Yvonne Alnebjer koordinerade och sammanställde en minneslista för lärare att ha som underlag för sin planering. Alla internrevisorernas lärare fick boken Hur du undervisar vuxna och gör det bra! En praktisk guide för lärare och handledare på företag av författaren Jenny Rogers, Brain Books förlag 2003, som Helena införskaffat. Vi avslutade med en otroligt god middag arrangerad av Hasselbackens restaurang, serverad i samma rum som vi satt. TEXT & FOTO: ÅSA WALLBERG INTERVJUTEKNIK FÖR INTERNREVISORER Det blev två intensiva kursdagar under ledning av Richard Minoque och Helena Sundén från Hibis Scandinavia AB. Vi blev tränade genom praktiska övningar där vi fick använda skådespelartalanger, som vi inte visste att vi hade. Det var jätteroligt och inte alls jobbigt som man annars kan uppleva den typen av övningar. Därutöver fick vi massor med tips om hur bäst planera, genomföra och dokumentera olika typer av intervjuer. Första dagen avslutades med en utsökt middag på en restaurang i centrala Stockholm. Eftersom vi alla är inbitna internrevisorer så kunde vi dock inte undvika att granska om det otroligt lena potatismoset verkligen var gjort på riktig potatis och inte på pulver. Detektiv Colombos metoder, som Richard tidigare på dagen hade undervisat oss i, togs i bruk och ett antal frågor ställdes till personalen. Vår gemensamma bedömning var att vidare undersökning skulle ha behövt kontroll hos kocken. Men där satte vi stopp och undrar än om moset var av pulver! Richard stod också för viss underhållning, vi fick gott skratt med hans svenska, avsläppa betyder avslappna. Trots Helenas idoga försök att förklara: Richard, det är sådant man gör på toaletten!. Jag kan verkligen rekommendera denna kurs till alla internrevisorer, oavsett hur länge man har arbetat med yrket. TUULA HALONEN Internrevisionschef på AB Svensk Exportkredit 16 INTERNREVISION 2/2008

ANMÄL DIG TILL VÅRA KURSER! ÄN FINNS PLATSER KVAR! ENTERPRISE RISK MANAGE- MENT (ERM) TID: 15 maj 2008 PLATS: Westmanska Palatset, Holländargatan 17 i Stockholm PRIS: Medlem 4.900, icke medlem 5.900:-, exkl. moms CPE-POÄNG: 8 CPE-poäng vid genomförd kurs ANMÄLAN sker till utbildning@internrevisorerna.se KURSBESKRIVNING: Målet med kursen är att ge kursdeltagarna en god förståelse för Enterprise Risk Management (ERM). Vi kommer att gå igenom de väsentliga delarna inom ERM och hur COSO beskriver ERM. Vi kommer även att gå igenom internrevisionens roll i organisationer som tillämpar Enterprise Risk Management. Kursen bygger på föreläsningar, diskussioner och grupparbeten. MÅLGRUPP: Kursen vänder sig till dig som är intresserad av att få en ökad förståelse för vad ERM kan tillföra en organisation. För internrevisorn tydliggörs internrevisionens roll kring ERM. Kursen är också ett utmärkt tillfälle till ytterligare förkovran för dig som ska vara med och ta risk management-arbetet vidare till en mer systematiserad struktur. LÄRARE: Peter Strandh, delägare i Ernst & Young, har en bred erfarenhet av såväl intern- som externrevision samt rådgivningstjänster relaterat till intern kontroll och styrning. Torbjörn Wikland, Chief Risk Officer i Regeringskansliet, har arbetat med extern och intern revision, statlig ekonomistyrning, affärssystem och stora IT-projekt inom Riksrevisionsverket, Ekonomistyrningsverket och Försäkringskassan. DEN INTERNA KONTROLLEN UTIFRÅN COSO TID: 16 17 september 2008 PLATS: Westmanska Palatset, Holländargatan 17, Stockholm PRIS: Medlem 13.200:-, ej medlem 15.200:-, exkl. moms. Priset inkluderar kost och logi. Avdrag görs, om hotellrum ej önskas. ANMÄLAN sker till utbildning@internrevisorerna.se CPE-POÄNG: 15 CPE-poäng vid genomförd kurs KURSBESKRIVNING: Målet med kursen är att ge kursdeltagarna en förståelse för COSO-modellen och hur man kan använda COSO-modellen praktiskt för att dokumentera och utvärdera den interna kontrollen i en organisation. COSO är det internationellt mest erkända ramverket för beskrivning av den interna kontrollens olika komponenter. Kursen bygger på föreläsningar, diskussioner och grupparbeten. MÅLGRUPP: Kursen vänder sig till dig som har grundläggande kunskap inom internrevision samt har arbetat ett par år och till dig som inom en organisation har ansvar för att bygga upp och implementera en struktur för intern kontroll. LÄRARE: Hans Löfgren är ansvarig för internrevisionstjänster på Öhrlings PricewaterhouseCoopers. Hans har arbetat med internrevision sedan 1974 och har haft ledande befattningar i privata och statliga företag. Hans har utvecklat flera av våra kurser. Torbjörn Wikland, Chief Risk Officer i Regeringskansliet, har arbetat med extern och intern revision, statlig ekonomistyrning, affärssystem och stora IT-projekt inom Riksrevisionsverket, Ekonomistyrningsverket och Försäkringskassan. INTERNREVISION 2/2008 17

ANMÄL DIG TILL VÅRA KURSER! ÄN FINNS PLATSER KVAR! QUALITY ASSESMENT TID: 14 16 oktober 2008 PLATS: Skepparholmen utanför Stockholm PRIS: För medlem 15.000:-, ej medlem 17.000. Priset exkl. moms. CPE-POÄNG: 24 CPE-poäng för genomförd kurs. ANMÄLAN sker till utbildning@internrevisorerna.se KURSBESKRIVNING: Detta är en kurs i kvalitetssäkring av internrevisionsaktiviteten. Värdet för kursdeltagarna ligger främst i att få underlag att utveckla sitt eget interna kvalitetssäkringsprogram och att få intern kompetens att hantera en kommande extern QA. Kursen är på tre dagar inklusive examination för Internal Assessor/Validator Accreditation. Körkortet är en bonus som kan vara värdefullt för eget bruk men också ger möjligheter att arbeta som extern validator på IRF:s uppdrag. Nu har du det perfekta tillfället att bland annat: sätta dig in i de nya QA-standarderna och de obligatoriska kraven på extern kvalitetssäkring. ta en titt på de senaste verktygen som används för att genomföra en effektiv kvalitetssäkring. skaffa praktiska erfarenheter av tillämpning av kvalitetssäkring genom interaktiva övningar. utveckla ert interna kvalitetssäkringsprogram och förbereda inför en framtid extern QA. Kursen bygger på föreläsningar, diskussioner, fallstudier och övningar. Kursen avslutas med examinationen för Internal Assessor/Validator Accreditation. Dessutom en systematisk genomgång av standards och Practice Advisories. MÅLGRUPP: Kursen vänder sig främst till dig som arbetar som internrevisionschef eller som har en längre tids erfarenhet av att ha arbetat med internrevision. LÄRARE: Bernt Gyllenswärd arbetar som internrevisionskonsult på Öhrlings PricewaterhouseCoopers. Bernt har tidigare varit koncernrevisionschef på SEB samt varit aktiv inom FAR/REV:s utbildningsverksamhet. Hans Löfgren är ansvarig för internrevisionstjänster på Öhrlings PricewaterhouseCoopers. Hans har arbetat med internrevision sedan 1974 och har haft ledande befattningar i privata och statliga företag. Hans har utvecklat flera av våra kurser. GRUNDKURS FÖR INTERN- REVISORER TID: 20 22 oktober 2008 PLATS: Skepparholmen utanför Stockholm PRIS: För medlem 17.900:-, ej medlem 19.500:-, exkl. moms. Priset inkluderar kost och logi. Exkl. moms. Transport till och från kurslokalen ingår ej. CPE-POÄNG: 24 CPE-poäng för genomförd kurs. ANMÄLAN sker till utbildning@internrevisorerna.se KURSBESKRIVNING: Målet med kursen är att utveckla en förståelse för internrevisorns roller och ansvar, att introducera och utveckla de nödvändiga kunskaperna för att bli en framgångsrik internrevisor, att ge en möjlighet att träna beteenden och kommunikation. Här ingår kunskaper som till exempel vad internrevision är, internrevisionsstandarder, hur man utvärderar den interna kontrollen, dokumentation och arbetspappersmetodik, hur man får fram och rapporterar revisionsresultat. Kursen tar även upp information kring internrevisorernas egen yrkesorganisation samt den bransch man är verksam inom. MÅLGRUPP: Denna kurs vänder sig till dig som är nybörjare inom internrevision eller till dig som behöver fräscha upp dina kunskaper i internrevision och vad en internrevisor behöver känna till. LÄRARE: Sven Lindén, anställd på KPMG, har erfarenhet av internrevision inom finansiella företag, industriföretag och statliga myndigheter. Sven har arbetat med internrevision sedan 1974 och på konsultbasis fungerat som internrevisionschef sedan mer än trettio år. Under denna tid har han även utvecklat metodik för internrevision, granskat stora IT-projekt samt genomfört utbildningar inom olika ämnesområden. Inga Astorsdotter har arbetat som internrevisor sedan 2001. Först på Uppsala universitet och sedan 1 januari 2008 på Sveriges lantbruksuniversitet. Inga blev CIA 2005 och har arbetat som lärare inom ramen för twinningprojektet i Turkiet. 18 INTERNREVISION 2/2008

GTAG Ny metod att hjälpa internrevisorn med IT-granskning? Eva Ringström rapporterar från IT-kommittens seminarium om Global Technology Audit Guidelines (GTAG) ett ramverk för att underlätta för internrevisorn att identifiera och bedöma IT-risker. Martin Malm, CIA och vice VD på Transcendent Group, och Anna Nielsen, CIA, senior internrevisor på Akzo Nobel, presenterade GTAG och redogjorde för sina erfarenheter av metoden på IT-kommittens åttonde seminarium i serien Värt att veta om IT. Hela presentationsmaterialet hittar du på Internrevisorernas hemsida, sedan du loggat in dig. GTAG-materialet kan laddas hem gratis från IIA:s hemsida. METODIKEN GTAG-metodiken har tagits fram av IIA för att underlätta för en vanlig revisor att lägga upp en granskning av en IT-miljö. GTAG hänvisar till redan etablerade ramverk, som CoBiT, ITIL, ISO2700- serien. Del 1 IT-controls är den grundläggande och därför inriktades detta seminarium på just denna del. Om intresse finns kan IT-kommittén fortsätta med någon eller några av de delarna som berör specifika rutiner. Kontakta IT-kommittén för vidare diskussion. Några kommentarer från föredragshållarna: De flesta bristerna finns i styrningen av IT-verksamheten, något som uppdagas när man läser styrdokumenten. Enligt PUL ska den enskilde ha rätt att få sina uppgifter förstörda. Hur säkrar man att detta sker på alla kopior inkl säkerhetskopior? En klok chef utnyttjar en revision för att få hjälp med att lösa sina kända problem. Riskområden som utmärker sig är outsourcing och change management. Förändringar introducerar nästan alltid nya risker. CoBIT kan användas för att ta fram testprogram, som inte behöver vara tekniska tester utan kan vara ganska enkla frågor. Om den intervjuade vecklar in sig i tre bokstavsförkortningar, kan det tyda på att kontroller saknas eller är bristfälliga Identifierade risker måste kommuniceras tydligt, liksom orsakerna och den skada de kan leda till. Fakta måste godkännas av ansvarig chef och ska bifogas rapporten, gärna som bilagor. ERFARENHETER FRÅN AKZO NOBEL Anna Nielsen talade utifrån egna erfarenheter som både IT- och vanlig revisor. Anna börjar sina granskningar med att titta på och förstå policydokumenten, som alla internrevisorer bör förstå för att kunna bedöma befintliga risker. Några bra frågor att ställa: Vilka styrdokument finns oberoende av om de är relaterade till IT eller ej? Vem har godkänt dem? Kallas de något annat än styrdokument? Hur når man dokumenten? Via webben? Är de uppdaterade? Vilka stödjande dokument finns? Hur vet man att de är införda? Vi diskuterade som ett exempel vad en Internetpolicy kan innehålla. Är det tilllåtet att logga in på Facebook, Blocket och liknande sajter på arbetstid? Det handlar om etik och moral och användningen av ett verktyg, Internet, inte om IT-teknik! En arbetsgivare kan använda spårhundar, som kontrollerar vad den anställde gör, eftersom det är arbetsgivarens utrustning som används och därmed bestämmer arbetsgivaren vad den får användas till. Steg 2 är att titta på Separation of Duties (SoD). Arbetsuppgifterna på en 1. Översikt över de hittills utgivna GTAG-guiderna GTAG-1: IT Controls, March 2005 GTAG-2: Change and Patch Management Controls, June 2005 GTAG-3: Continuous Auditing, Oct 2005 GTAG-4: Management of IT Auditing, Published in Mar 2006 GTAG-5: Managing and Auditing Privacy Risks, June 2006 GTAG-6: Managing and Auditing IT Vulnerabilities, Oct 2006 GTAG-7: Information Technology Outsourcing, Mar 2007 GTAG-8: Auditing Application Controls, July 2007 GTAG-9: Identity and Access Management 2007 2008 2. Översikt över GTAG del 1 IT-controls. Assesssing IT-Controls Understanding IT-controls: Governance, Management, Technical; General/Application; Preventive, Detective, Corrective; Information Security Importance of IT-Controls: Reliability and Effectiveness; Competitive Advantage; Legislation and Regulation Roles and Responsibilities: Governance; Management; Audit Based on Risk: Risk Analysis; Risk Response; Baseline Controls Monitoring and Techniques: Control Framework; Frequency Assessment: Methodologies; Audit Committe Interfac INTERNREVISION 2/2008 19

GTAG IT-avdelning bör vara separerade, en person ska inte ha åtkomst till allt, till exempel bör produktion (teknik) och utveckling vara separerade. Administratörsrättigheterna ger den högsta behörigheten och behövs därför i nödsituationer, men antalet kan diskuteras, liksom kontrollerna när man använder dem. Testa gärna själv! Ändringshanteringen sköts ofta av ett IT-baserat system, som ger en bra kontroll för normala ändringar, men hur hanteras en brådskande ändring, när man måste hoppa över ett godkännande eller dokumentation? Används dessa genvägar bara i dessa fall, eller...? Förändringarna ska styras från verksamheten, det är där behovet finns och där de ska bli till nytta. Antalet personer som kan beställa respektive godkänna en förändring ska vara begränsat. Ändringshanteringen hänger ofta intimt samman med problemhantering och är dessutom ofta outsourcad. Finns rätten att revidera inskrivet i outsourcing-kontraktet? FYSISKA KONTROLLER, SÄKERHETSKOPIOR Anna Nielsen ansåg att dessa områden är enkla för en internrevisor att angripa. Tips är att verifiera på plats: Är inventariet över datorer, servrar, arbetsstationer och installerad programvara korrekt och komplett? Sådana brister kan leda till exempelvis felaktiga avskrivningar och ej helt uppdaterat virusskydd. Skyddas servrar efter hur kritiska de är? Kan endast behöriga nå dem? Har rummet rätt temperatur och fuktighet? Finns tillräckligt brandskydd? Tas säkerhetskopior regelbundet? Kontrolleras att kopiorna verkligen tagits. Förvaras de på en plats som ej utsätts för samma risker som originalen? Om kopior förvaras i hemmet, vem har försäkringen: den anställde eller företaget? Täcker försäkringen även denna typ av egendom? ERFARENHETER FRÅN TRANSCENDENT GROUP I sin roll att som externt anlitad ITrevisor, ser Martin Malm (bilden) tydligt behovet av ett nära samarbete mellan en internrevisor som kan verksamheten och den IT-kunnige revisorn, eftersom en korrekt riskbedömning fordrar kännedom om företagets verksamhet och beroende av IT. Genom att arbeta tillsammans får man också en ovärderlig kunskapsöverföring. Martin Malm gav följande råd: Se till att olika personer testar och produktionssätter ett system. Genom att rotera arbetsuppgifter får man vidgade kunskaper och nya erfarenheter. Det kan vara svårt att avidentifiera personuppgifter i en testdatabas, samtidigt som man får problem med datalagen om man ej gör det. Samma sak gäller konfidentiell information. Det är dyrt och svårt och följs därför inte. SAMMANFATTNING En majoritet av alla risker har att göra med människan och inte IT-tekniken. En vanlig internrevisor kan därför göra en värdefull granskning även av en ITrelaterad verksamhet. GTAG har de komponenter som behövs och ger ett mycket bra stöd bland annat med checklistor och referenser till CoBIT. EVA RINGSTRÖM GRUNDKURS MED BLANDNING AV SÖTT OCH SALT 16 deltagare hade slutit upp i Villa Söderås konferenslokaler i början av april. Deltagarna hade olika bakgrund och tillhörigheter såsom inom börsnoterade bolag, offentlig sektor och revisionsbyråer, men även ideella organisationer. Kursmaterialet gick att vända och vrida på från olika angreppspunkter vilket medförde intressanta diskussioner. Dagarna flöt på bra trots ett mycket späckat schema, tack vare att de erfarna lärarna, Hans Löfgren och Mikael Boo, växlade mellan teori och praktiska exempel. Internrevisorns roll och ansvar behandlades ingående. Vi diskuterade frågor som; Vem är IR:s uppdragsgivare och hur skiljer sig ansvaret dem emellan? Hur hanterar man den dubbla naturen i IR:s roll som både tillförsäkrande och rådgivare? Det fanns även tid att behandla IR:s roll i framtiden då lagar, förordningar och koder rör runt i grytan. Grundkursen var väldigt lyckad med möjlighet till utbyte av erfarenheter och funderingar för både oerfarna och rutinerade internrevisorer. De fina lokalerna och den fantastiska miljön som ramade in hela arrangemanget bidrog till ett mycket gott helhetsintryck. PATRIK GIDMARK (på bilden överst i spalten) Öhrlings PricewaterhouseCoopers En långväga kursdeltagare kom ända från Heidelberg Cement AG i Tyskland. Petri Koivuluoma kommer ursprungligen från Finland och är bosatt i Tyskland. Foto: Yvonne Alnebjer 20 INTERNREVISION 2/2008