En skön och trevlig sommar önskas alla Internrevisorer



Relevanta dokument
Inbjudan till Internrevisionsdagarna

Internrevisionsdagarna 2011 Intern styrning och kontroll: Vi har ett resultat!

Intern kontroll enligt koden.

Det är glädjande att vi i huvudsak verkar få behålla våra personalresurser och nu ser en viss ökning. 50% 41% Not applicable.

Instruktion för Internrevision vid Linköpings universitet

Utbildning i modern riskhantering Enterprise Risk Management ERM

Utveckla ditt ledarskap som chef. Branschanpassat ledarskapsprogram i samarbete med IHM Business School

Utbildning i modern riskhantering Enterprise Risk Management ERM

Fastställd av styrelsen Uppförandekod för Indutrade-koncernen

Utbildning i modern riskhantering Enterprise Risk Management ERM

Utveckla ditt ledarskap som chef. Branschanpassat ledarskapsprogram i samarbete med IHM Business School

Internrevisionens revisionsplan 2008

Varför är vår uppförandekod viktig?

The Academy for Human Rights in Business

Tillsammans är vi starka

Enkätundersökning 2009

Instruktion för internrevisionen vid Malmö högskola

E-BOK NY SOM HR-CHEF. Detta bör du ha koll på. Detta bör du ha koll på

Bläddra vidare för fler referenser >>>

Riktlinjer för internrevisionen vid Sida

Verksamhetsplan 2007 för

Nummer Tema: Internrevision under uppbyggnad

Utbildning i modern riskhantering Enterprise Risk Management ERM

Utveckla ditt ledarskap som chef. Branschanpassat ledarskapsprogram i samarbete med IHM Business School

Djursjukvården en bransch i utveckling

Läs mer på

RAPPORT. Årsrapport Internrevision Sammanfattning. 2. Aktiviteter under 2017

Internrevision. Södertörns högskola Institutionen för ekonomi och företagande C-uppsats 15 poäng, HT 2007 Handledare: Curt Scheutz

Gunnar Kihlblom. Coaching av ledare och nyckelpersoner. Utbildning i Affärs Coaching

Internrevisionsförordning (2006:1228)

Utvärderingar från deltagande företag (17 av 19 företag har svarat) April-November 2014

Kompetenskriterier för ledare i Lunds kommun

Arbetsplatsbesök med syfte att rekrytera förtroendevalda

Innehåll. Material Ordförandeguide Uppdaterad: Sida 2 av 7

Utveckla ditt ledarskap som chef. Branschanpassat ledarskapsprogram i samarbete med IHM Business School

Utbildningsförvaltningen. Spånga gymnasium 7-9 [117]

DILL HR BUSINESS PARTNER PROGRAM

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Uppförandekod. Dokumentägare: Datum upprättat dokument: 2010 Datum senast reviderat:

En vägledning i vårt dagliga arbete

Ny i HR-rollen 1. Ny i HR-rollen. Detta måste du ha koll på

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Bolagsstyrningsrapport 2013

MOBIL HEMREHABILITERING- KVALITETSKRITERIER OCH MÄTINSTRUMENT

FÖRBÄTTRINGSVÄGEN. Verktyg & inspiration för företagets utveckling. Helene Kolseth

IHM Ledarutveckling Resultat i affären.

AMP- Ability Management Program Investering i kompetens

Kronologisk meritförteckning. Personligt brev. Personligt brev

TIPS FÖR ATT ÖKA 3DIN FÖRSÄLJNING

Internrevision. Nummer God Jul och Gott Nytt ÅR

Riktlinjer för internrevisionen vid Linnéuniversitetet

ARBETSGLÄDJE OCH EFFEKTIVITET

Vägledning. för internrevisorer beträffande tillämpningen av Svensk kod för bolagsstyrning

Midsona AB:s tillämpning av Svensk kod för bolagsstyrning (april 2015)

VAD ÄR EN MENTOR OCH VAD INNEBÄR MENTORSKAP?

Inkludering och mångfald

HR kompetens in i styrelserummet. SVERIGES HR FÖRENING Våren 2014 Margareta Neld

Uppförandekoden ska finnas tillgänglig på engelska och svenska på IVL:s hemsida.

KVALIFICERAD MOBIL HEMREHABILITERING- LOKALA KVALITETSKRITERIER

Våra affärsprinciper

Bolagsstyrningsrapport Gävle Energi AB

Chef till internrevision

Glasdagarna 2011 Seminarier, information, diskussion, vision!

Hållbarhetsarbetet i de statliga bolagen

Tillsammans skapar vi goda resultat genom hållbar kommunikation internt

Hur kan företag ta hjälp av ledningssystem mot mutor i sitt arbete med integritet och förtroende?

Modell för ledning av kundorienterad och systematisk verksamhetsutveckling (fd Utmärkelsen) Göteborgs stad

Ekonomistyrningsverkets cirkulärserie över föreskrifter och allmänna råd

Gilla kommunen En dag om sociala medier i offentlig sektor

Sveriges Ingenjörer ditt förbund

FOTO: ISTOCK MENTORBANKEN

VALBEREDNINGSRAPPORT 2 011

Plan för gemensamma aktiviteter Strategi för den statliga arbetsgivarpolitiken

Executive Mentoring Program

Kompetenskriterier för ledare i Lunds kommun

Samtliga nämnder, styrelser och förvaltningar Kommunala stiftelser/bolag Landstinget Länsstyrelsen

Whistleblower Policy INNEHÅLLSFÖRTECKNING

Styrelsen i Scalaepicor användarförening har härmed äran att bjuda in dig och ditt företag till föreningens vårmöte den i Nyköping

Bolagsstyrningsrapport 2013

Företagsledarutbildningen

Vilken utbildning väljer du? skräddarsydda kurser för dig som är controller eller ekonomichef

FRÅGOR TILL STYRELSEPROFFS UTBILDNING I AKTIVT STYRELSEARBETE

Nyckeltal för offentlig. upphandling

Hållbart värdeskapande 2011

Allmänt. 1. ledamöterna av den verkställande ledningen 2. risktagare, 3. medarbetare med ansvar för kontrollfunktioner, och

/35. Samtliga nämnder/styrelser Kommunala bolag/stiftelser Landstinget Länsstyrelsen

Personlig presentationsteknik

INTERNREVISORERNAS KOMPETENSUTVECKLINGS- VERKSAMHET

i praktiken» 6 6 personal&ledarskap # personal&ledarskap

Arbetet i styrelsen och koncernens styrning

KOMPETENSUTVECKLING OCH CERTIFIERING 2008

Internrevision. Exemplet Linköpings Universitet. 26 February 2007 Unn Forsberg, Internal Audit,

Inte störst men bäst. Det är vår vision. Förbättringsarbete på Lasarettet i Ystad ISO 9001

for Business Tre frågor: 1. Varför LinkedIn? 2. Hur bli synlig? 3. Hur blir det affärer? Olle Leckne, LinkedinExpert LinkedInexpert.

Bli medlem! Nätverk för dig som arbetar med Kvalitet i IT

CHEFS OCH LEDARSKAPSPOLICY

STRESS ÄR ETT VAL! { ledarskap }

Med kunden i fokus Kurshäfte 2011

CHEFENS KOMMUNIKATIONSVERKTYG VERSION 2.2

Vart försvann synergieffekterna?

Transkript:

Internrevision Nummer 3 2006 En skön och trevlig sommar önskas alla Internrevisorer Foto: Grundsund, Yvonne Alnebjer

intern revision Tidskrift om internrevision. Utgiven av Internrevisorerna Nummer 3, juni 2006 Material för publicering skickas direkt till tidningens e-mail adress info@internrevisorerna.se eller till Yvonne Alnebjer, adress se nedan Redaktionskommittén består av följande personer: Peter Strandh, redaktör Ernst & Young AB, Box 7850, 103 99 Stockholm tel 08-520 590 00, fax 08-520 516 45 E-post: peter.strandh@se.ey.com Yvonne Alnebjer, redaktionssekr/layout KPMG, Box 49, 721 04 Västerås, 021-10 62 82, fax 021-10 62 88 E-post: yvonne.alnebjer@kpmg.se Inga Astorsdotter, Uppsala universitet, Box 256, 751 05 Uppsala Tel: 018-471 1802, mobil: 070-425 0378 E-post: inga.astorsdotter@uadm.uu.se Johanna Conradsson, ICA AB, 171 93 Solna tel 08-561 506 22, fax 08-561 513 19, mobil 073 765 02 45 E-post: johanna.conradsson@ica.se Åsa Wallberg, Internal Audit Activity, R 552, Nordea, 105 71 Stockholm tel: 08-614 75 63, mobil: 0733-50 15 75 E-post: asa.wallberg@nordea.com Nästa nummer: Manusstopp den 21 augusti 2006. Prenumeration: 300 kronor per år för icke medlem. Annonser: Baksida 15.000 kronor Annons helsida 8 000 kronor, halvsida 6 000 kronor. Flergångsannons 10 procent rabatt. Alla priser exkl moms. Ansvarig utgivare: Guidon Berggren ISSN: 1401-8950 Tryck: Westerås Media Produktion, Västerås Bilder: Redaktionen och medlemmar - - - Klas Schöldström, (Generalsekreterare) Internrevisorerna, Kontoret Strandvägen 7 A, Strandvägen 7 A, 114 56 Stockholm tel 08-586 107 66, E-post: klas.scholdstrom@internrevisorerna.se Hans Löfgren, (Internationell rådgivare) PWC, 113 97 Stockholm, tel 08-555 340 19 E-post: hans.lofgren@se.pwc.com Elisabeth Styf, (Internationell rådgivare och styrelseledamot i ECIIA) Skandia, Sveavägen 44, 103 50 Stockholm Tel 08-788 18 07, fax 08-788 44 80, mobil 070-556 88 90 Elisabeth.Styf@skandia.se Sten Bjelke, (Internationell rådgivare och ordförande i Etiknämnden) Källvägen 17, 122 62 Enskede tel 08-39 85 25, fax 08-39 85 25, mobil 070-715 36 50 E-post: sbjelke@bredband.net Kontaktpersoner Styrelse och kommittéer Guidon Berggren ordförande, KPMG, Box 49, 721 04 Västerås tel 021-20 62 80, fax 021 10 62 88 E-post: guidon.berggren@kpmg.se Ann-Charlotte Klingberg, vice ordförande, Securitas CHS Holding AB, Box 902, 170 09 Solna tel 08-522 920 22, fax 08-522 920 10, mobil 070-268 78 60 E-post: anncharlotte.klingberg@securitas.se Charlotta Löfstrand Hjelm, sekreterare, AFA, Klara Södra Kyrkogata 18, 106 27 Stockholm, tel 08-696 40 30, fax 08-696 39 71 E-post: charlotta.hjelm@afaforsakring.se Carina Petersén - Malmström, ledamot (Marknadskommittén), Skandia Liv, 103 50 Stockholm, tel 08-788 28 94, fax 08-788 10 40 E-post: carina.petersen@skandia.se Ingmari Öhman, ledamot Svenska Röda Korset, Box 175 63, 118 91 Stockholm, tel 08-452 46 13, mobil 0730 40 46 13 E-post: ingmari.ohman@redcross.se Ulla-Kari Fällman, ledamot (Utbildningskommittén) Sveriges Lantbruksuniversitet, Box 7082, 750 07 Uppsala tel 018-67 19 35, fax 018-67 20 00, mobil 070-567 19 35 Lars Agerberg, ledamot Skandia Insurance Company Ltd, Sveavägen 44, 103 50 Stockholm tel 08-788 27 09, fax 08-788 44 80, mobil 070-366 27 09 Richard Minogue, ledamot Hibis Scandinavia, Apelbergsgatan 36, 111 37 Stockholm Tel 08-41 00 62 55, fax 08-20 63 00, mobil 0733-708 78 18 55 Bernt Gyllenswärd, ledamot, (Yrkesstrategiska gruppen) SEB, ST M1, 106 40 Stockholm Tel 08-763 61 12, fax 08-678 27 12, mobil 070-763 89 50 E-post: bernt.gyllensward@seb.se Harald Lööf, ledamot ICA AB, Svetsarvägen 16, 171 93 Solna Tel 08-5615 00 00, fax 08-29 13 67 E-post: harald.loof@ica.se - - - Bo Myrup, (Nomineringskommittén) Karolinska Institutet, 171 77 Solna, tel 08-524 86556 E-post: bo.myrup@ki.se Lars Gyllenswärd, (IT-kommittén) KPMG - IRM, Box 16106, 103 23 Stockholm tel 08-723 92 18, fax 08-723 91 77 E-post: lars.gyllensward@kpmg.se Peter Strandh, (Redaktionskommittén), Ernst & Young AB, Box 7850, 103 99 Stockholm tel 08-520 590 00, fax 08-520 516 45 E-post: peter.strandh@se.ey.com Gunilla Werner Carlsson, CIA-ansvarig, KPMG, Box 16106, 103 23 Stockholm tel 08-723 93 50, mobil 070 268 93 50 E-post gunilla.wernercarlsson@kpmg.se 2 InternreVision 2006/03

Innehåll nr 3 2006 4 Redaktören 5 Ledaren 6 - Kort från styrelsen - Extern kvalitetssäkring - för professionellt utbyte och utveckling 8 Kvalitetssäkringen står för dörren 10 En presentation för Föreningssparbankens internrevision om kvalitet 12 Motståndskraft mot fraud och 12 korruption 14 Sandvik flaggar för sund affärsetik 16 IT-revision inom AHOLD 18 COSO ERM tillsammans med en av dess skapare 19 Internrevisionsdagarna 22 En strålande föreställning i regnets stad 25 Fakta om NIRF 25 26 26 ESV och statliga 28 29 nätverket samlade till gemensam information 28 CIA-spalten 29 En annorlunda helg i New York 30 Revisionen når inte sin potential 31 Kort rapport från NORAudit 32 Nätverksträff i Luleå 32 33 34 33 Det privata nätverket har träffats under ämnet Tone at the Top 34 Kurs i Applikationsgranskning 36 Äntligen en tematräff! 37 Nya medlemmar 38 Internal Auditor 39 Kalendarium 2006 39 Intresserade medlemmar Internrevisorernas kansli: Internrevisorerna Kontoret Strandvägen 7 A 114 56 STOCKHOLM Telefon till kansliet, Klas Schöldström, tel 08-586 107 66, fax 08-660 65 89 e-post: klas.scholdstrom@internrevisorerna.se Är du intresserad av att lära känna några av dina kollegor runt om i Sverige och för övrigt även i andra länder? Är du intresserad av att utveckla dig själv i ämnet intern revision och samtidigt verka för Internrevisorerna? Föreningens e-postadress: info@internrevisorerna.se Hemsidans adress är: www.internrevisorerna.se InternreVision 2006-03 3

Från redaktören Andra gången som redaktör och inser redan vikten av redaktionssekreterare Yvonne Alnebjer. Utan Yvonne lär det inte bli någon tidning det är helt klart. Dessutom krävs en engagerad redaktionskommitté. Och det har vi. Men det märks att tiden alltid är knapp och vi vill ha in fler idéer och tankar. En fråga jag har till er läsare är om det finns någon som skulle vara intresserad av att delta i redaktionskommittén och då gärna med hemvist på något av de stora börsnoterade industriföretagen? Hör i så fall av dig till peter.strandh@se.ey.com. Bolagsstyrningskodens påverkan på internrevision Internrevision är på frammarsch eller? Vid en genomgång som Ernst & Young gjort av samtliga avlämnade internkontrollrapporter för 2005, har 25 bolag angett att de har en internrevisionsfunktion, varav 3 bolag har startat en internrevisionsfunktion under 2005. Dessutom kan vi utläsa att inte mindre än 16 bolag avvaktar en utvärdering för att se över behovet av internrevision under 2006. Totalt 26 bolag har angett att de inte har någon internrevisionsfunktion. COSO som ramverk Som jag skrev i förra numret är COSO nu alltmer accepterat som det internkontrollramverk som företag och organisationer följer. Detta bekräftas även av att av de svenska bolag som lämnat en internkontrollrapport för 2005 har 41 bolag (59 %) angett att de följer COSO som ramverk. Även i den offentliga sektorn blir det vanligare att referera till COSO. Jag hade förmånen att i samband med ERMkursen i slutet av maj lyssna på Larry E. Rittenberg som sitter med i COSO och hans beskrivning och analys av såväl COSO som COSO ERM ramverken. Det var en lysande föreställning som ytterligare förstärkte uppfattningen att vi här har de framtida ramverken för vad som anses utgöra ramen för god intern kontroll. Artiklar i tidningen I förra numret ställde jag några öppna frågor för att få lite idéer och tankar från er medlemmar vad ni vill läsa om i tidningen. Jag kan väl inte påstå att jag blivit direkt bombarderad av e-post, det har faktiskt inte varit så många som ringt och haft synpunkter eller tror nog bara att en person hört av sig för att önska mig lycka till med rollen som redaktör. Av detta kanske vi kan dra några slutsatser och det är att tidningen redan är perfekt som den är, eller att, gud förbjude, ingen läser den eller att engagemanget för tidningen kan bli bättre. Däremot har vi, vilket alltid är positivt, fått in ett antal intressanta artiklar till detta nummer. Vilket innebär att vi återigen fått ihop ett bra nummer och där vill jag nu tacka alla skribenter som bidragit med artiklar. Annonser är bra för tidningen och dess ekonomi och därmed medlemmarna Som redaktör ingår också att försöka se till att tidningen har en god ekonomi. Som ni säkert noterat så har vi nu haft två annonser i rad från två Peter Strandh Foto: Yvonne Alnebjer av de stora revisionsbyråerna. Till nästa nummer ser vi fram emot ett samtal från någon av de övriga byråerna eller rent av en bokning från något annat företag eller organisation som ser en intressant målgrupp i oss internrevisorer. Det går lika bra med en halvsida :) Dags för kvalitetssäkring av internrevisionsfunktionen Ett område där debatten intensifierats de senaste månaderna är frågan om extern kvalitetssäkring av internrevisionsfunktionen. Denna genomgång ska enligt de standards IIA har göras vart femte år. Läs mer om hur revisionscheferna i de fyra stora bankerna ser på denna aktuella fråga. Revisionsutskotten allt viktigare En spännande utveckling jag ser är att frågan om internrevision nu de facto finns med som en stående punkt på agendan hos flertalet revisionsutskott. Jag får detta bekräftat via regelbundna träffar med ett nätverk av revisionsutskottsordföranden där dessa frågor diskuteras. Jag tror därför att internrevisorer nu har en verklig möjlighet och utmaning att vara aktiva och utbilda våra styrelser vad internrevision kan bidra med för verklig nytta. Sist men inte minst. Ett citat med okänt ursprung Some people embrace change, some choose to fight it. The ones who embrace and adapt, win. Eder ödmjuke Peter Strandh 4 InternreVision 2006/03

Ledaren Har vi tillräcklig kompetens? Efterfrågan på internrevisorer är för närvarande mycket stor. Tillgången är däremot begränsad. Efterfrågan beror mycket på koden och de regelverk som gör att företagen måste/bör ta ställning till om de ska inrätta en internrevisionsfunktion. Kravet på en internrevisionsfunktion finns sedan tidigare inom den finansiella sektorn och nu även inom den statliga sektorn medan det privata näringslivet i sina årsredovisningar har uttryckt att de utvärderar frågan. Närmare 95% av börsbolagen har uttryckt sig på det sättet och många har redan inrättat funktionen medan resterande utvärderar marknadsvärdesnyttan av en internrevisionsfunktion. Förhoppningsvis kommer de också att utvärdera den rent praktiska nyttan av att ha en internrevision men det är här som vi internrevisorer måste bevisa vilken ovärderlig nytta ett företag har av en kompetent internrevisionsfunktion. Föreningen måste givetvis beskriva och informera om detta till marknaden men det är den enskilde internrevisorn som själv måste bevisa för sin företagsledning om den praktiska nyttan och värdet av en internrevision. Föreningens insatser måste prioriteras till de företag som inte har någon internrevision idag men också stötta de enskilda revisorerna i sin strävan att nå in till styrelserummen. Har vi var och en den kompetens som nu behövs för att övertyga en styrelse? - Finns det en risk att styrelsen/ ledningen i sann 60-talsanda inrättar en internrevision för syns skull? - Finns det en risk att styrelser/ ledningar ser internrevisionen som en intern kontroll? - Finns det en risk att styrelser/ ledningar ser internrevisionen enbart som en kostnad? Det är många frågor som måste få sina svar. Jag tror att, de flesta av oss har kompetens för att klara det eldprov som vi nu står inför, vi alla måste utbilda oss i försäljnings- och presentationsteknik, de flesta av oss har kompetensen att klara jobbet men har svårt att få fram budskapet till ledningarna, vi kommer att se många nya internrevisorer och det gäller att de får rätt syn och vägledning från början, informationsbehovet till företagsledningar är och kommer att vara jättestort ett bra tag framöver, att vi alla måste ta oss i kragen och skaffa den kompetens och förmåga som behövs i styrelserummet för i annat fall kommer vi att missa detta unika tillfälla att lyfta vår yrkeskår Paul Bellamy och Guidon Berggren, två f.d. arbetskamrater som möts igen efter 20 år och noterar att de inte är lika mörkhåriga och slimma som förr. till den nivå som IIA internationellt beskriver som den nivå, där du är stolt över att vara internrevisor. Kvalitetssäkring ett måste för alla internrevisionsfunktioner? Ett led i denna strävan är att alla internrevisionsfunktioner måste under detta år kvalitetssäkra sin verksamhet. Det internationella påbudet måste vi ta på allvar och det är också ett sätt att visa våra styrelser/ företagsledningar att vi håller en hög standard även internationellt sätt. Kvalitetssäkringen är ett första steg att nå de mål som vår yrkeskår strävar efter. Därför uppmanar jag nu er alla att ta kontakt med kansliet och vår generalsekreterare för att diskutera och få information om när och hur denna kvalitetssäkring kan och ska gå till. Det är viktigt för hela vår yrkeskår att alla internrevisionsfunktioner får detta intyg på att vi håller en hög standard. Det var mycket om kompetens och kvalitet men jag tror det är nyckelorden framöver. Hanterar vi det med sunt förnuft och en smula humor så kommer vi att ha mycket glädje av utvecklingen i vår yrkeskår. InternreVision 2006-03 5

Kort från styrelsemöten Styrelsen har efter årsmöte och årsstämma genomfört ett konstituerande styrelsemöte samt ett vanligt styrelsemöte. Vid det konstituerande mötet beslutade styrelsen om bemanningen av olika uppdrag inom föreningen och fastställde arbetsordning, organisationsplan samt mötesplan. Vid det vanliga styrelsemötet den 24 april diskuterade och beslutade styrelsen i frågor rörande bemanning av kansliet, uppföljning av verksamhetsplanen, direktiv för nätverksgruppen, Internrevisionsdagarna 2006, genomförandet av QA-utbildning, översättning av COSO, samt beviljade 32 ansökningar om medlemskap i vår förening. I skrivande stund har dagordningen till nästa styrelsemöte den 12 juni skickats ut. Dagordningen är som vanligt diger. För att få bättre överblick och en tydligare koppling till verksamhetsplanen har vi också strukturerat om rubriker och innehåll. Detta innebär att styrelsen kommer att inleda varje möte med att avhandla formaliafrågor för bolag och förening för att sedan i tur och ordning behandla frågor rörande marknad, utbildning, yrkesutövning, information/ kommunikation, medlemsservice samt eventuella övriga frågor som inte låter sig inkluderas i nämnda rubriker. Exempel på viktiga frågor som återfinns under dessa rubriker är utbildningsplanen, QA, yrkesstrategiska gruppen, hemsidan, internationella gruppen, ekonomiska rapporter, statistiksammanställning från medlemsregistret samt en diskussion om hur vi bör tillgodose medlemmarnas behov av hjälp att lösa konkreta vardagliga problem. Charlotta Löfstrand Hjelm, Styrelsens sekreterare Extern kvalitetssäkring för professionellt utbyte och utveckling! 1300 - Kvalitetssäkring och Kvalitetsförbättringsprogram Internrevisionschefen ska utveckla och upprätthålla ett program för kvalitetssäkring och kvalitetsförbättring som täcker in alla aspekter av internrevisionsverksamheten och ständigt övervaka dess effektivitet. Detta program inkluderar intern och extern kvalitetsbedömning och fortlöpande intern övervakning. Varje del av programmet ska utformas så att internrevisionsverksamheten kan tillföra värde och förbättra organisationens verksamhet samt garantera att den överensstämmer med Riktlinjerna och Yrkesetisk Kod. 1312 - Externa bedömningar Externa bedömningar, som extern kvalitetsgenomgång, ska genomföras minst en gång var femte år av kvalificerad extern oberoende granskare eller granskningsteam. 6 InternreVision 2006/03

Hittills är få externa kvalitetssäkringar gjorda i Sverige. Föreningen har, för att medverka till en utveckling på kvalitetsområdet gjort följande: 1. Informerat via hemsidan och InternreVision om kvalitetskraven på internrevision. 2. Utvecklat hjälp till självhjälp. 3. Genomfört två frukostseminarier. 4. Utbildat 19 ackrediterade kvalitetssäkrare. 25 personer deltog i de två frukostseminarier som föreningen gav under maj månad under ledning av Klas Schöldström, Bernt Gyllenswärd och Gunilla Werner Carlsson. Exempel på frågor som deltagarna ville ha klargjorda var: Skall outsourcad eller cosourcad internrevision kvalitetssäkras? Svar: Ja, det är internrevisionsaktiviteten som skall kvalitetssäkras, oavsett av vem som utför den. Kan verkligen enmansfunktioner sägas följa Standards? Hur är det till exempel med kraven på övervakning (supervision). Svar: Detta är en svår fråga. Man kan leva upp till Standards på olika sätt. Erfarenhet av externa kvalitetssäkringar av enmansfunktioner är begränsad. Kommande externa kvalitetssäkringar av enmansfunktioner kommer att ge ledning om hur man bäst lever upp till Standards. En idé som framfördes i detta sammanhang var möjligheten för enmansfunktioner att samarbeta med internrevisionskonsulter för stöd och råd. Föreningen planerar att: 5. Informera revisionscheferna om vad Standards kräver. 6. Informera styrelser och företagsledningar om internrevisionens viktiga roll inom ägarstyrning och betydelsen av kvalitet i internrevisionsprocessen. 7. Leverera hjälp till självhjälp till avdelningar som känner behov av stöd för de första stegen på kvalitetsresan. Är du intresserad, ring till kansliet på 08 586 10 766 eller skriv en e-mail till info@internrevisorerna.se. Kostnad c:a 18 tusen kronor. Föreningen har redan fått in flera beställningar. Att så få externa kvalitetssäkringar ännu är gjorda kan bero på en viss osäkerhet hos internrevisionscheferna, att de inte lever upp till professionens förväntningar, och kanske inte heller ledningarnas eller styrelsernas. För många internrevisionschefer kan det kanske kännas obekvämt att någon utifrån intervjuar deras kunder/uppdragsgivare om det skulle visa sig att ledningen har eller kanske får förväntningar på internrevisionen som de har svårt att leva upp till. Kanske finns det också ett visst inslag av bekvämlighet? Varför väcka den björn som sover? Så länge ledningen inte klagar så är allt väl? Det ligger i vårt eget intresse att så snabbt som möjligt påbörja kvalitetsutvecklingsarbetet som syftar till att våra kunder skall bli nöjdare och därmed blir vår egen tillvaro behagligare och så har vi påbörjat en positiv uppåtgående spiral. Vi tror ju på värdet av vår egen tjänst och bör således välkomna att själva bli reviderade och få ta del av det mervärde och den utvecklingspotential som kan identifieras i en dialog med kompetenta och erfarna kollegor. Stockholm den 26 maj 2006 Klas Schöldström InternreVision 2006-03 7

Kvalitetssäkringen står Innan årsskiftet 2006-2007 ska alla företag med en internrevisionsfunktion ha genomfört en extern kvalitetssäkring enligt standard 1312. Genom kvalitetssäkringen synas kvaliteten hos internrevisionen. Men är det värt mödan och kostnaden? Och kommer de att hinna i tid? Vi frågade de fyra stora bankerna. 1 Vad tycker du är nyttan med Quality Assessmant Tord Jonerot, revisionschef, Handelsbanken 1 2 Nyttan med QA är att man säkerställer att det som kallas internrevision på företaget görs i enlighet med en vedertagen metod. Vi håller på att utvärdera våra alternativ för närvarande. Agneta Brevenhag, koncernrevisionschef, Skandinaviska Enskilda Banken, SEB 1 2 Nyttan är att vi på ett strukturerat sätt går igenom våra processer och att vi får en uppfattning om vad vi behöver förbättra. Ja, vi kommer att genomföra en QA innan årsskiftet. Vi ska först göra en self assessment och sen ta in en extern revisionsbyrå som ska validera vår self assessment. 2 Kommer ni att hinna genomföra en QA? Av: Åsa Wallberg 8 InternreVision 2006/03

för dörren! Håkan Berg, koncernrevisionschef, Föreningssparbanken 1 2 Jag tror att det är en poäng med att, förutom det interna kvalitetsarbetet, dels få en utvärdering av hur väl vi följer standard och dels få förbättringsförslag till fortsatt utveckling. Kan man sen också få tips om best practise vad gäller tillämpningen i Sverige/Norden är det ännu bättre. Ja, vi räknar med att genomföra QA. Såvitt jag förstår är det inte säkert att det kommer attt krävas en extern QA. Vi har ännu inte tagit ställning till om vi endast kommer att följa de krav som ställs eller om vi under alla omständigheter kommer att genomföra en extern QA. 1 2 Dag Andresen, koncernrevisionschef, Nordea Att få en second opinion på att vi har rätt fokus, rätt strategi, tillräckliga resurser och tillämpar kraven från IIA (The Institute of Internal Auditors) med gällande regler och lagar för internkontroll. Ja, vi har ambitionen att genomföra det före årsskiftet, men kostnaden för en extern review är hög i förhållande till vad man får igen. I och med införandet av Koden för bolagsstyrning har kostnaderna ökat ytterligare. Stort handbagage en säkerhetsrisk På tal om risker så gäller det i allra högsta grad även när vi flyger. Här är lite fakta som vi bör tänka på. Dagens flygpassagerare har ofta mer handbagage än bagage som checkas in för att transporteras i flygplanets lastrum. Men för mycket handbagage i kabinen innebär både säkerhetsrisker och sämre reskomfort. Flygbolagen uppmanar nu passagerarna att redan då de packar tänka på att en del av handbagaget eventuellt måste checkas in på grund av utrymmesbrist i kabinen eller av säkerhetsskäl. Exempelvis SAS och Finnair har liknande regler för handbagage inom Skandinavien och Europa: en kabinväska får vara högst 55 x 40 x 20 cm och väga högst 8 kilo i ekonomiklass på reguljärflyget. I businessklass får passageraren ha totalt två väskor som tillsammans väger högst 10 kg: en väska med måtten 55 x 40 x 20 cm eller en kostymväska som hopvikt är högst 20 cm tjock, samt en portfölj eller en bärbar dator. InternreVision 2006-03 9

Hans Löfgren, Håkan Berg och Klas Schöldström En presentation för Föreningssparbankens internrevision om kvalitet Text: Klas Schöldström, Håkan Berg och Hans Löfgren Foto: Povl Holmström, Föreningssparbanken Hans Löfgren och Klas Schöldström gjorde den 30 maj en presentation för Föreningssparbankens internrevision, om kvalitet i internrevisionsprocessen och Best Practice internrevision, vid ett avdelningsmöte på Grinda i Stockholms skärgård. Hans och Klas har varit ansvariga för föreningens kvalitetsprojekt, som bland annat resulterat i en kurs ledd av Alfredo Dautzenberg, IIA Quality Services den 29 31 mars. Nitton st kvalitetssäkrare ackrediterades. Därefter har presentationer gjorts vid frukostmöten och för det statliga nätverket och en tjänst som kan beställas från Internrevisorerna, hjälp till självhjälp har tagits fram för de första stegen på kvalitetsresan. Håkan Berg, internrevisionschef på Föreningssparbanken inledde mötet med att redogöra för trender inom retail banking och hur det kan komma att påverka Internrevisionen i dess framtida utveckling. Ökad konkurrens, ökad internationalisering och fortsatt fokus på effektivitet i affären är exempel på områden som även i framtiden innebär förväntningar på Internrevisionen att leverera värdeskapande i sitt arbete. En hög kvalitet och ständig strävan efter Best Practice är viktigt för att internrevisionen skall kunna leva upp till förväntningarna. Håkan konstaterade också att en kvalitetssäkring enligt IIA Standards ger värdefull input för fortsatt internt förbättringsarbete. Föreningssparbanken har under många år arbetat med kvalitetsutveckling och känner nu att det är naturligt att genomföra en extern kvalitetssäkring efter sommaren, och man kommer därmed att möta Standards krav på extern kvalitetssäkring senaste den 31/12 2006. Klas presenterade IIA Standards krav på kvalitet i internrevisionsprocessen och betonade att dessa krav inte är något amerikanskt påhitt som lever sitt eget liv, utan att det är fråga om internationell god sed, ett sätt att arbeta som gör det lättare att gradvis få nöjdare kunder och därmed en trevligare tillvaro för internrevisorn 10 InternreVision 2006/03

kvalitet på jobbet. Den interna och externa kvalitetssäkringen bör göras i en positiv anda inom ramen för det pågående förbättringsarbetet i företagen. Professionalism uppstår genom en process baserad på engagemang, hög etik, lärande och hårt arbete. I huvudsak handlar det om internt arbete och den externa kvalitetssäkringen är bara toppen på Vem är den nye ett isberg. Målsättningen med den externa kvalitetssäkringen är i första hand att bedöma internrevisionsaktivitetens effektivitet i förhållande till charter, styrelsens, ledningens och revisionschefens förväntningar och att identifiera möjligheter, ge idéer och stöd till revisionschef och medarbetare och även att avge en opinion om internrevisionsaktiviteten följer Standards, anda och avsikt. Kvalitetsarbetet bör ses som en naturlig fortsättning på IIA:s satsning på att marknadsföra internrevision som en uppskattad och respekterad nyckelspelare inom ägarstyrningen tillsammans med styrelse, företagsledning och externrevision. Vi har på senare år sett väsentliga förändringar när det gäller affärsverksamhet, risk och kontrollmiljö samt teknologi. Sarbanes-Oxley Act och Kod för svensk bolagsstyrning ställer nya krav på styrelser och företagsledningar som i sin tur vänder sig till internrevisorerna. Vi har hamnat på scenen på ett helt annat sätt än tidigare och kvalitetsarbetet handlar om att löpande utvecklas för att kunna leverera det vi utlovar i den globala marknadsföringen av vår profession och som nu förväntas av oss. Hans Löfgren från PricewaterhouseCoopers fortsatte vår presentation med ett avsnitt om best practices inom internrevision. Han inledde med att säga att det finns ett ökat intresse för vad som är best practice inom internrevision, detta parat med det ökade intresset för kvalitetsfrågorna i stort. Efterfrågetrycket på kvalificerade internrevisorer som kan ta ansvar för kvalificerade bedömningar ökar i takt med trenderna inom området Corporate Governance som visar på ett ökat ansvar för styrelser och företagsledningar vad gäller intern styrning och kontroll samt riskhantering. Intressenters behov och prioriteringen i riskhanteringen är avgörande framgångsfaktorer när en organisation beslutar om fokus och inriktning på internrevisionen. Nyckeln till framgång ligger i att identifiera dessa förväntningar. Generellt visar företagna benchmarkingstudier på att ledande internrevisioner fokuserar på att identifiera och leverera utifrån uppdragsgivarnas förväntningar, vilket skapar ett tydligt värde. Ledande internrevisioner arbetar på att kontinuerligt stämma av uppdragsgivarnas förväntningar eftersom risker är dynamiska och förväntningar förändras över tiden. Hans konstaterade vidare att våra nuvarande internationella standards är ett uttryck för god practice då dessa speglar en bild av modern internrevision. Dock behövs ytterligare insatser för att nå best practice. Hans avslutade med att presentera PricewaterhouseCoopers modell för en benchmarkingstudie av en internrevisionsaktivitet. Modellen består av sju huvudområden med tillhörande bedömningskriterier. Genomförd utvärdering/bedömning visar var på en mognadsskala den egna aktiviteten befinner sig, från No Practice till Best Practice. Huvudområden är: Organization Human Resources Working Practices Technology Communication & Reporting Knowledge Management Performance Metrics. Vad är då good practice och best practice? Good Practice = IIA Standard. Arbetsprocesser finns etablerade. Utvärderingskriterier eller nyckeltal finns utformade och följs upp. Best Practice = Arbetsprocesserna bygger på extern, definierad Best Practice. Extern part används för utvärdering. Kontinuerlig uppföljning och självutvärdering tillämpas. Processer finns etablerade för att snabbt anpassa metoder och arbetssätt. Hans avslutade med att säga att ansvarig för internrevision måste tillsammans med uppdragsgivaren bestämma var på mognadsskalan man vill befinna sig. Det är inte alltid önskvärt att försöka förflytta sig mot skalans översta skikt då detta oftast är relaterat till en ökad kostnad. InternreVision 2006-03 11

Motståndskraft mot fraud och korruption - det ultima kontrollobjektivet Text: Richard Minogue, CPA, CIA Hibis Scandinavia Först var det tyst, sen kom skrattsalvan. Jag hade under föreläsningen frågat de 35 deltagande polska internrevisorerna om korruption var en allvarlig riskfaktor för dem. Dum fråga kanske, när jag visste att Polen landade på 3.4 i det senaste av Transparency Internationals Korruptionsuppfattnings index, där 0 är sämst, helt korrupt, och 10 som bäst eller i princip fritt från korruption. Men även om deltagarna skrattade åt frågan (vilket förstås var syftet) blev det snart klart att polska internrevisorer tar risken för fraud och korruption på stort allvar. (Jag använder det engelska begreppet fraud i denna text, då detta är ett vidare begrepp än den svenska benämningen bedrägeri ). Det var, trots språkförbristningar, lättare att kommunicera med polackerna om mitt favoritriskämne än vad jag ibland har upplevt här hemma (Sverige fick 9,2 på indexet). I Polen har man fördelen att vara medvetna om att fraud och korruption är ett allvarligt problem. Man bör inse detta i Sverige också. Dagstidningar fylls med tragiska exempel där högt uppsatta personer åtalas för olika typer av oegentligheter. Vi har inte heller svårt att hitta fusk i egna kretsar, där vi köper Tone at the Top? Det fanns gott om bevis - tjänstemannen hade attesterat flera falska fakturor för betalningar, för egen vinning. Vid intervjun tog det inte lång tid att få ett erkännande. Men vadå? fortsatte den misstänkte. Kallar du detta bedrägeri? Jag ska visa dig bedrägeri! Och till min häpnad hämtade mannen en hög med dokument som tydligt visade vad de högre cheferna höll på med svart, använder oss av piratkopior, undviker att anmäla TV- innehav, sjukskriver oss felaktigt, plankar och snattar. Vi vet att det förekommer fusk, men betraktar risken för fraud som mycket begränsad. Sverige fick 9,2 eller hur? Det budskap ledningen kommunicerar genom policy, direktiv och eget beteende är utan tvekan den viktigaste ingrediensen i en organisations försvar mot oegentligheter. I den sanna historien ovan tyckte tjänstemannen att det var naturligt att sko sig själv. Alla gjorde det, precis som högsta chefen. De policys som efterlevs i realiteten är inte de som organisationen enligt existerande riktlinjer bör efterleva utan dem som ledningen efterlever. Men vänta, problemet är snart löst med Bolagskoden, SOX, Basel II med mera, eller hur? Visst har vi gått igenom en sämre tid, men bör inte det nya fokuset på bolagsstyrning sätta stop för en oetiskt eller nonchalant ledning? Tyvärr, trots nya regler, tydligare ansvar och tuffare bestraffningar, behövs det mycket mer för att behärska fraud risken. Vad kostar fraud? Det är svårt att veta hur mycket fraud och korruption kostar organisationer. Många incidenter blir aldrig upptäckta. När de upptäcks, är det svårt att räkna den totala kostnaden, med hänsyn tagen till den indirekta kostnaden. Förlorad tid, felsatsningar, skadat 12 InternreVision 2006/03

Fraud och korruption Ny medlem rykte, förlorade marknadsandelar och så vidare blir ofta mer kostsamma än den orsakande incidenten. Enligt en ofta citerad uppskattning från Association of Certified Fraud Auditors (ACFE) var fraudkostnaden cirka 6% av omsättningen under 2004 för den typiska amerikanska organisationen. För argumentens skull, låt oss påstå att fraud relaterade besparingspotential för en typisk svensk organisation är 3% av omsättningen. Vilken effekt skulle en årlig besparing av 3 % på hela omsättningen innebära för din organisation? För de flesta organisationer skulle resultateffekten bli betydelsefull, minst sagt. Internrevisorer och ledningen är mycket väl medvetna om att det generellt lönar sig att förebygga problem. När det gäller risken för fraud och korruption, är det mycket säkert att ett effektivt förebyggande ger utdelning. Att så många organisationer missar det tillfället beror, enligt min uppfattning, på följande: - Man underskattar de kostnader fraud och korruption orsakar - Man är medveten om att fraud förekommer, men vill inte inse det - Man saknar kunskap om de förebyggande best practices som finns Så gott som alla organisationer vill minska onödiga kostnader. Vilket tillfälle de missar en stor och smärtfri besparingspotential. Om personalkostnader i din organisation, som jämförelse, är 30% av omsättningen, skulle det kräva en 10% neddragning för att uppnå samma besparingseffekt som en halvering av fraud kostnader (från 6% till 3% av omsättning) skulle ge. I Att utveckla motståndskraft För att bättre förstå konceptet fraud motståndskraft kan man dra paralleller med kroppens hälsa. Vi förbättrar medvetet kroppens motståndskraft genom att träna och vaccinera oss mot olika sjukdomar. Trots att vi mår bra, gör vi även hälsocheckar då och då för att upptäcka eventuella problem i ett tidigt stadium. Organisationens hälsa kan vårdas på liknande sätt. Vi kan höja motståndskraften genom träning av personalen, preventiva kontroller och arbete med kontrollmiljön. Vi kan också testa organisationen med jämna mellanrum, för olika typer av fraud symptom. Investerare har blivit mer medvetna om betydelsen av organisationens motståndskraft mot oegentligheter, efter de många skandaler som har orsakat dem stora skador. Det har nämligen blivit modernt att göra oberoende värderingar med syfte att mäta motståndskraften mot intern girighet. Det finns olika institut som försökt mäta ledningens styrning, riktlinjer och förbättringar av bolagsstyrning, företagets sociala ansvar och miljöhänsyn. Fraud and Corruption Resistance Profile (FCRP) är det system Det Norske Veritas har utvecklat för att mäta motståndskraften, ett mått av hur effektiv en organisation är när det gäller att motarbeta fraud eller korruption. När denna värdering genomförs är det möjligt att objektivt bedöma organisationens motståndskraft samt identifiera och prioritera de åtgärder som behöver vidtas. En beskrivning av FCRP följer i en separat artikel i nästa utgåva av tidningen. Stilianos Malamos, Imperial Tobacco Group intervjuas av Johanna Conradsson 1. Vad arbetar du med? Internrevisor på det brittiska företaget Imperial Tobacco Group. Med en bakgrund inom extern revision blev jag förra året internrevisor. Under det gångna året har jag haft som uppgift att dels koordinera SOX arbetet inom företaget och dels att starta upp internrevision som en ny fristående funktion inom företaget. 2. Varför valde du att bli medlem i föreningen just nu? Anledningen till att jag valde att bli medlem var att ha ett forum att verka i med andra verksamma internrevisorer och att hålla mig uppdaterad om senaste nytt på internrevisionsfronten 3. Vad har du för förväntningar I och med att jag arbetar i Athen kan jag inte alltid delta i de intressanta seminarier som anordnas av föreningen, utan försöker hänga med i den svenska utvecklingen via tidningen. Jag tycker att tidningen ska behandla internrevisionstekniska frågor samt dagsaktuella frågor som direkt berör internrevisionsyrket (jämför tidningen Balans) och att verka som ett forum för erfarenheter från det dagliga arbetet. InternreVision 2006-03 13

Sandvik flaggar för sund affärsetik Heléne Gunnarson I januari etablerades internrevisionsenheten Group Assurance inom Sandvik-koncernen. Enhetens uppgift är att på uppdrag av styrelsen och bolagsledningen följa upp och utvärdera koncernens verksamhetsstyrning, riskhantering och kontroll. Men allt kan inte skrivas i form av regelverk, det handlar om värderingar och attityder. Cheferna är våra föredömen: vi gör som chefen gör och inte som denne säger, menar koncernrevisionschef och Senior Vice President Heléne Gunnarson. Vi vill bidra till att förstärka den inneboende känslan för vad som är rätt och fel agerande hos cheferna. Text : Åsa Wallberg Foto: Ingvar Eriksson AB Genom grupparbeten och workshops i de fyra regionerna Asia, Africa, Europe och Americas där Group Assurance nu bygger upp sin verksamhet vill Heléne Gunnarson lyfta fram Sandviks värderingar och etiska ställningstaganden. Andra betydelsefulla redskap är revisioner samt coachning, utbildning och dialog med chefer och medarbetare runt om i världen. Rekryteringen av revisorer eller så kallade Advisors pågår för fullt och Group Assurance beräknas vid månadsskiftet juni - juli bestå av 15 medarbetare. Några är internt rekryterade och experter på finansprocessen, miljöfrågor och hållbarhetsfrågor. En tidigare funktion för IT Audit and Business support har överförts till Group Assurance. En medarbetare kommer att arbeta med utveckling av metoder och processer för Group Assurance interna arbete. Vi bygger vår kompetens kring tre områden: finansiellt, ickefinansiellt och IT, säger Heléne. Det är angeläget att Group Assurance har en god affärsförståelse så att resten av organisationen ser oss som en kvalificerad, oberoende partner. Risktänkandet och metodik samt processer för att hantera risker är en annan viktig uppgift berättar Heléne. När en noggrann genomgång behövs av avtal, åtaganden och riskexponering i olika typer av affärsrelationer kan Group Assurance bidra med sin kunskap. 14 InternreVision 2006/03

Vi ska ligga steget före och bidra till att koncernen undviker incidenter, säger Heléne. Ju mer Group Assurance kan skapa insikt, desto mer värdeskapande och konkurrenskraftig organisation får vi. Angeläget är också att säkerställa en bra avrapporteringsprocess både internt och externt. Heléne Gunnarson rapporterar till Anders Nyrén som är ordförande i revisionsutskottet och VD för Industrivärlden, en av de största ägarna till Sandvik. Genom fokusering på god affärsetik, solida finanser och en verksamhet där till exempel miljöhänsyn tas redan i planeringen tror Heléne Gunnarson på att ett långsiktigt värde skapas för aktieägarna. Heléne läste till civilekonom efter ett 4-årigt tekniskt gymnasium med kemiinriktning. Hon trivdes i industrimiljön och började 1985 som trainee på Sandvik. Ett bra sätt att snabbt få en överblick av koncernens verksamhetsområden menar Heléne. Nu vill hon att Group Assurance ska bli en möjlighet för både nuvarande medarbetare och nyanställda att få en djup och bred kunskap om koncernen innan de går vidare till nya uppdrag inom Sandvik. Tio år som affärscontroller inom den operativa verksamheten följdes av fem års arbete med att bygga upp Investor Relations-enheten inom Sandvik. Därefter blev Heléne ansvarig för koncernfunktionen för kommunikation. En viktig framgångsfaktor för vårt arbete är Management-Buy-In, att ansvariga chefer tycker att Group Assurance ger bra support i vår oberoende och kritiska roll, säger Heléne Gunnarson. Fakta om Sandvik En högteknologisk verkstadskoncern med avancerade produkter. Huvudsakliga områden: verktyg för metallbearbetning, maskiner och verktyg för bergavverkning samt tillverkning av olika specialmetaller och rostfritt stål. 300 bolag och enheter inom koncernen i 130 länder 39 000 anställda: flest i Sverige: drygt 10 000 och i USA: drygt 4 000. Koncerngemensamma riktlinjer finns samlade i The Power of Sandvik och innehåller bl a Code of Conduct. Omsättning ca 63 miljarder kronor, varav ca 2147 miljoner kronor (3,4% av omsättningen) investeras i FoU. Störst ägare är AB Industrivärlden (11%), Morgan Chase Bank (10,9%). Styrelseordförande är Clas Åke Hedström. VD och koncernchef är Lars Pettersson. Källa: Sandviks hemsida www.sandvik.se Börsbolagen ger dålig information I en artikel i Dagens Nyheter den 26 maj 2006 redovisas en undersökning gjord av revisions- och konsultfirman Deloitte. Av 70 undersökta bolag noterade på börsen är det bara 6 st som får godkänt när det gäller redovisning av hur den interna kontrollen fungerar och vilka kontroller som görs. År 2005 var det första gången som internkontrollen redovisas i börsbolagens årsredovisningar. Kravet var att bolagen skulle beskriva hur den interna kontrollen är organiserad men inte rapportera hur väl den fungerar. Sex bolag tas som föredömen av Deloitte: Axfood, Föreningsparbanken, Investor, Gambro, SAS och Scribona. VD för Deloitte i Sverige Hans Pihl menar att internkontrollen i bolagen inte är så god som den borde vara. Kritiker anser att de nya kraven är en belastning som tar bort fokus från affärerna och ökar kostnaden för revisorer. Men Hans Pihl anser att en bättre kontroll gör bolagen mer lönsamma och i bättre skick. I Koden för bolagsstyrning ingår att styrelsen ska rapportera hur den interna kontrollen fungerar och det är detta som Deloitte granskat. InternreVision 2006-03 15

IT-revision inom AHOLD Text och foto: Johanna Conradsson Luch Steenvoorden COBIT Sedan 2001 har avdelningen arbetat med COBIT som ramverk/modell för att strukturera revisionsarbetet. COBIT har definierat 34 övergripande IT-processer. Risk workshops, arbetsprogram, revisionsrapporter, uppföljningsrapporter och det årliga utlåtandet om den interna kontrollmiljön struktureras i enlighet med dessa övergripande processer. COBIT har även definierat ett antal detaljerade kontrollmål per IT-process, dessa uppgår till 318 stycken. Dessa använder man för att utarbeta arbetsprogram. COBIT ger ingen ytterligare vägledning för vilken typ av kontroll som bör vara på plats för att uppnå kontrollmålen, utan det blir en del av revisionsarbetet att definiera. Luc Steenvoorden är Director för avdelningen IT Audit som reviderar Aholdbolagen i Europa. Luc Steenvoorden kom till Ahold 2003, efter sju år på Pricewaterhouse Coopers. Avdelningen ansvarar för IT-revision av helägda dotterbolag inom Aholdkoncernen i Holland, Centraleuropa, (Tjeckien, Slovakien, Polen), samt på moderbolaget i Holland. Ahold är en av ICA ABs ägare och ICA köper i nuläget in IT revision från Ahold för ett år i taget, och detta har man gjort sedan 2002. I sitt team har han 7 medarbetare som reser en hel del i tjänsten (ca 20-30% av arbetstiden) i och med att man reviderar i flera länder. De flesta av hans medarbetare har en bakgrund inom IT revision i någon av de större revisionsbyråerna. Alla medarbetare har klarat en holländsk examen för IT- revision och/ eller klarat CISA examen. Ahold omsatte år 2004 52 miljarder euro, och i Europa uppgick omsättningen till 13,9 miljarder euro. Med andra ord finns den största delen av verksamheten i USA. Det är viktigt att ledningen har en bra förståelse av modellen för att det ska vara effektivt att arbeta enligt den, och enligt Luc Steenvoorden är kunskapen och förståelsen av COBIT inom Ahold bra. Inom COBIT finns ett implementeringsverktyg för ledningen att använda för att upprätta ITprocesser. Man lämnar ut bakgrundinformation om COBIT i samband med workshops, och hänvisar till COBIT i revisionsrapporter. Fördelen med COBIT är att det är ett bra ramverk som ger en struktur att arbeta med och ett gemensamt språk med IT-ledningen. En svaghet som Luc ser är att vägledning om lämpliga revisionssteg enbart finns på övergripande nivå men inte per kontrollmål, vilket Luc Steenvoorden gärna hade sett. Risk workshops och ITutvärdering Som ett led i revisionsplaneringen genomför Luc Steenvoorden ungefär vartannat år risk workshops på alla bolag, med syftet att identifiera och kvantifiera bolagets inneboende (brutto-) risker. Det är viktigt att sätta ihop en lämplig grupp, för mindre bolag gärna en ledningsgrupp men för större bolag kan det vara bättre med personer på en något lägre nivå. Luc Steenvoorden menar att det är viktigt att man inte låter det bli en övervikt av personer från IT-avdelningen eftersom fokus ska vara på den generella IT kontrollmiljön ur ett verksamhetsperspektiv. Under workshopen går man igenom bolagets risker per process. För varje risk som identifieras görs en uppskattning av finansiell påverkan/ konsekvens, samt en bedömning av sannolikheten att detta ska inträffa. Den inneboende (brutto-) risken avser de risker som föreligger då man bortser från alla kontroller som finns på plats. Resultatet av workshopen används till att definiera risk per process och till att utifrån risken planera vilka revisioner som ska genomföras nästa år. Högriskprocesser revideras varje år och andra processer vartannat/ 16 InternreVision 2006/03

vart tredje år. Resultatet används även för att kunna presentera en kvarvarande (netto-) risk efter att man i revisionsarbete definierat de kontroller som finns på plats för att hantera den inneboende risken. Avdelningen har även i uppdrag av revisionsutskottet att årligen göra en helhetsutvärdering av den interna IT-kontrollmiljön i de bolag som revideras. Som underlag för detta använder man sig dels av det revisionsarbete som genomförts under året samt eventuellt vissa kompletterande intervjuer. Resultatet åskådliggörs i så kallad spider graphs, som ser ut som på bilden nedan. En bedömning av mognadsgraden i den interna kontrollen görs per process och graderas på en skala 1-5 i mognadsgrad. Denna bild innefattar även ledningens ambitionsnivå i varje process. It audit/operational audit Luc Steenvoorden tycker att det upplägg som ger bäst resultat är att genomföra revisioner med team bestående av både IT-revisorer och operationella revisorer. På det sättet kan en process granskas mer genomgående med ett helhetsgrepp, med metoder både från IT-revision och processrevision. Inom IT-revision finns teknisk och processkompetens medan operationell revision går igenom rutin- och processrelaterade delar. Som exempel tar han att IT-revisorerna kan gå in och ta ut en lista med de användare som har behörighet inom ett system, medan den operationella internrevisorn utifrån denna lista kan analysera aspekter som segregation of duties. Inom Ahold är målet att gå mer och mer mot denna typ av gemensamma revisioner. Idag gör de ca 40% av alla revisioner gemensamt, men målet är att ligga på 50-60%. Sarbanes Oxley Ahold påbörjade sitt SOX-projekt år 2004, och hade då som avsikt rapportera enligt SOX per december 31, 2005. Deadline har nu flyttats fram ett år, och man är inom Ahold nu i slutfasen av arbetet. Bara i år har Luc Steenvoorden budgeterat för 3 500 timmar för tester. IT Continuity Information Security IT Policy and Management 5 4 3 2 1 0 Idag är internrevisionsarbetet inom Ahold mycket influerat av Sarbanes Oxley och prioriteringar och arbetsuppgifter har delvis förändrats. Internal Audits roll i SOX arbetet innefattar att gå igenom den dokumentation som producerats, och att utföra tester av att nyckelkontrollerna fungerar. Man deltar dock inte i att producera dokumentationen. De årliga helhetsutvärderingarna av den interna kontrollmiljön beskrivna ovan är också en del i SOX och där måste en mognadsgrad 4 på den femgradiga skalan vara uppnådd inom de processer som definierats som viktigast. I sättet att implementera SOX finns det en stor skillnad mellan USA och Europa menar Luc Steenvoorden, I Europa har man ett princip- och riskbaserat synsätt där man beaktar kontrollmiljön i sin helhet, medan man i USA har ett regelbaserat förhållningssätt. Exempelvis är det i USA viktigt att befattningshavare skriver under dokument, och man arbetar mycket med checklistor och andra formaliserade kontroller. Det är intressant att verka i en rad olika länder och han säger att det finns en del intressanta kulturella skillnader. Hans uppfattning är att man i Sverige har en tradition av att baserat på tillit ge medarbetare stor frihet under ansvar och frihet i att utföra sina arbetsuppgifter. I Holland däremot är kulturen mer baserad på att sätta upp en kontrollmiljö under devisen att tillit är bra men kontroll är bättre. IT Operations Reference area Assessment Ambition Systems Development InternreVision 2006-03 17

COSO ERM tillsammans med en av dess skapare Larry Rittenberg Internrevisorernas seminarium om COSO ERM den 31 maj kunde inte ha börjat bättre! Text: Tobjörn Wijkland, Regeringskansliet Foto: Guidon Berggren Internrevisorernas seminarium om COSO ERM den 31 maj kunde inte ha börjat bättre! Det inleddes av COSO: s president Larry Rittenberg, ett av de tunga namnen inom den akademiska företagsekonomin i USA och den som ledde arbetet med att ta fram den nya standarden för företagsorienterad riskhantering, Enterprise Risk Manegement COSO ERM. Han var på kort Sverigebesök och landade precis lagom till vårt seminarium. Arton internrevisorer och vi tre lärare, Peter Strandh, Erik Wennerholm och jag, lyssnade inte bara andäktigt utan med stigande intresse på vad denne tungviktare hade att säga om COSO ERM. Han underströk inledningsvis att arbetet med att sätta mål för företaget måste beskrivas som en nyckelfråga i riskhanteringsarbetet. Risker ska alltid kopplas till målen för företaget. Riskhanteringsarbetet ska sedan ses som en ständigt pågående process i företaget. Det sättet att beskriva ERM ger en mer levande bild av arbetet än den vanliga kuben, där arbetet beskrivs i tre dimensioner, det vill säga mål, komponenter och organisatorisk indelning (se även artikel i föregående nummer av InternreVision). Det senare sättet är inte fel men ger inte en tillräckligt tydlig bild av vad riskhanteringsarbetet handlar om, menade Larry Rittenberg. Om man därefter kopplar arbetet med att formulera mål till risker med dess olika steg av händelseidentifiering, riskvärdering och åtgärdsförslag så blir nästa steg kontrollmiljön eller den interna miljön. Därefter vidtar kontrollaktiviteter som sedan följs av nästa steg, arbetet med information och kommunikation. Det sista steget blir uppföljning och utvärdering (eller övervakning) av riskhanteringsprocessen som slutligen kan återkopplas till arbetet med att formulera mål. Därför kan riskhanteringsarbetet beskrivas som en fortgående process av steg eller åtgärder enligt följande: Uppföljning& utvärdering Inform ation& Komm unikation Rittenberg underströk också att arbetet med att sätta mål måste leda till att målen mäts. Det skapar också de rätta förutsättningarna för att mäta risker. Rittenberg betonade också att internrevisorerna har en viktig roll att både initiera riskhantering och att utvärdera riskhanteringsarbetet. Seminariet fortsatte efter Rittenbergs inledning med att gå igenom COSO ERM-ramverket, grupparbete och diskussion kring ett case (det svenska ICA). Diskussionerna var livliga. En nyttig och spännande dag tyckte både kursdeltagarna och lärarna. Sätta mål K ontrollåtgärder Risker K ontrollm iljön 18 InternreVision 2006/03

Internrevisionsdagarna Bäste kollega Du inbjuds härmed att delta vid årets Internrevisionsdagar, vilka bl a kommer att handla om Kodens fortsatta utveckling och påverkan på oss internrevisorer inom olika branscher och hur vi styrs av omvärlden. Kvalitetsfrågorna är också i fokus. Hur möter vi de ökade kraven på kvalitetssäkring? Under dag 2 får du också möjlighet att välja bland ett stort utbud av ämnen där du kan komponera det program som passar dig bäst. Jag hoppas att du anmäler dig redan idag för att tillsammans med kollegor utbyta tankar och idéer kring internrevisorns arbetssituation nu och i framtiden. Varmt välkommen Bernt Gyllenswärd Värd för konferensen Tid och plats Så anmäler du dig Obs! Anmälningsblankett hittar du på IRFs hemsida Konferensen äger rum på hotell Scandic Infra City i Upplands Väsby den 23 24 november 2006 Adress: Scandic Infra City, Kanalvägen 10, Upplands Väsby Pris Vid anmälan senast den 1 oktober är kostnaden för konferensen 6.400 kr plus moms för Internrevisorernas medlemmar och 7.400 kr plus moms för övriga. Vid anmälan från den 2 oktober - 31 oktober är kostnaden 6.900 kr för medlemmar och 7.900 kr för övriga. I konferenspriset ingår lunch båda dagarna samt middag på kvällen den 23 november. www Via e-mail info@internrevisorerna.se Via hemsidan www.internrevisorerna.se under Internrevisionsdagarna 2006 Via fax 08-660 65 89 Sänd din anmälan senast den 31 oktober till Internrevisorerna, Internrevisionsdagarna, Kontoret Strandvägen 7 A, 114 56 Stockholm Kostnad för hotellrum tillkommer. Rum är reserverade för våra deltagare t o m den 31oktober på Scandic Infra City. Ring och boka på tel 08-517 344 00. Uppge kod KPM 231106 vid bokning. InternreVision 2006-03 19

Preliminärt program för Internrevisionsdagarna Torsdagen den 23 november 09.00-10.00 Registrering och kaffe 10.00 Inledning Guidon Berggren Konferensen öppnas Bernt Gyllenswärd, Gunilla Liljeroth, Anna Ohlsson-Leijon, Magnus Johansson 10.15 Hur tillämpades koden? - Allmänt Per Lekvall, kanslichef, Kollegiet för bolagsstyrning - Internrevision Harald Lööf, revisionschef ICA, styrelseledamot och ledamot i IRF:s utbildningskommitté 11.00 IK-rapporten med värdering och revision - Presentation Katja Severin Danielsson, PWC - Vägledningsgruppen IRF Charlotta Löfstrand-Hjelm, IRF Hans Löfgren, IRF 11.45 Paneldiskussion Representant från Revisionsutskott Anders Ackebo, OMX Katja Severin Danielsson, FAR Hans Lögren, IRF Per Lekvall, Kollegiet för bolagsstyrning 12.00-13.00 Lunch 14.00 Undersökning Best Practice inom IR Peter Strandh, Ernst & Young 13.00-15.30 Kravet på Quality Assessment; Gunilla Werner Carlsson, IRF regler och tillämpning Bernt Gyllenswärd, IRF 15.00-15.30 Kaffe 15.30 Paneldiskussion Gunilla Werner Carlsson, IRF Anna Ohlsson- Leijon, Electrolux Representant från ESV Agneta Bevenhag, SEB 16.30-17.30 Mod och passion Göran Adlén, IHM Business School 17.30-18.30 Föreningsfrågor enligt särskild kallelse 19.00 Middag med underhållning 20 InternreVision 2006/03