University Group Intern styrning och kontroll Sveriges universitets och högskoleförbund 2006-11-08 Per Setterberg Stefan Svarén
Agenda 1. Inledning 2. Vad är intern styrning och kontroll? 3. Förslag till förordning om intern styrning och kontroll vid statliga myndigheter 4. Hur gå tillväga vid en översyn av den interna styrningen och kontrollen? 5. Viktiga erfarenheter 2
Vilka är vi? Per Setterberg Civ.ek. Ansvarig E&Y Sverige för vår samordning av revision av EUfinansierade forskningsprojekt Erfarenheter från flera universitet och högskolor Relevanta erfarenheter avseende intern styrning och kontroll Sarbanes Oxley Act Internrevision Externrevision Utvärderings- och förändringsprojekt kring intern kontroll Stefan Svarén Ek. lic. Ansvarig E&Y Sverige för vår samordning gentemot universitet och högskolor Erfarenheter från flera universitet och högskolor Relevanta erfarenheter avseende intern styrning och kontroll Sarbanes Oxley Act Internrevision Externrevision Utvärderings- och förändringsprojekt kring intern kontroll 3
Vi är ettglobalt kunskapsföretag med lokal förankring Sverige Audit Antal medarbetare: drygt 1 750 Antal kontor: 75 Globalt Antal medarbetare: 114 000 Antal länder: 140 revision och kvalificerade redovisningsfrågor Risk & Business Advisory Services riskhantering och verksamhetsutveckling FAS redovisnings- och ekonomikonsulttjänster Tax skatterådgivning Transaction Advisory Services transaktionsrådgivning 4
Våra kunder och tjänster Våra kunder är bl.a. Chalmers tekniska högskola Högskolan i Jönköping Högskolan i Borås Göteborgs universitet Karlstad universitet Karolinska institutet Vårt tjänstutbud kan delas in i tre huvudgrupper: Internrevision (biträde och ansvar för internrevisionsfunktionen) Extern revision (EU-projekt, bolag och stiftelser) Rådgivning Lunds universitet Luleå tekniska universitet Malmö högskola Mälardalens högskola Stockholms universitet Sveriges lantbruksuniversitet Umeå universitet Uppsala universitet 5
Vår organisation för högskolor och universitet Nationell samordning Upprätthålla specialistkompetens om segmentet Strukturkapital samlad i databas Mallar och checklistor Genomförda projekt (från offert till avrapportering) Utbildnings- och erfarenhetsutbyte Korsbefruktning i team Lokalt kundansvar Ansvar för att säkerställa en högkvalitativ leveransorganisation Samordning av tjänster 6
Bakgrund till aktuell debatt Händelser Enron, WorldCom, Skandia, Systembolaget och diverse andra skandaler i näringslivet och offentlig sektor Förtroende är grunden för en organisations framgångar Det finns en stark korrelation mellan framgång och förtroende Brist på förtroende innebär högre transaktionskostnader Åtgärder några exempel Sarbanes Oxley Act Bolagsstyrningskoden Principer för styrning av kommun- och landstingsägda bolag Förslag till förordning om intern styrning och kontroll vid statliga myndigheter 7
Åtgärd nr 1 -Nåbalans i förtroendetriangeln Regler/normer Förtroende Upptäcktsrisk Sanktioner 8
Komplexitet i styrmodell Privatägd Produktproducerande Privatägd Tjänsteproducerande Privatägd Serviceproducerande Offentligägd Kunskapsgenererande Biltillverkare Arkitektbyrå Privat utbildningsföretag Universitet 9
Vad är intern styrning och kontroll? 10
Intern styrning och kontroll ett integrerat system Ekonomiavdelningen Kontrollmiljön Internrevisionen Externrevisionen 11
Intern styrning och kontroll* Intern styrning och kontroll är en process genom vilken organisationens styrelse, ledning och annan personal skaffar sig rimlig säkerhet om att organisationens mål uppnås på följande områden: verksamhetens ändamålsenlighet och effektivitet den ekonomiska rapporteringens tillförlitlighet efterlevnaden av tillämpliga lagar och förordningar * Fri översättning 12
COSO En sammanfattning Kontrollkomponenter COSO-modellen (Tre dimensioner och fem kontrollkomponenter) Ändamålsenlig verksamhet Rapportering Övervakning och uppföljning Information & kommunikation Kontrollåtgärder Riskbedömning Kontrollmiljö Mål Lagar, föreskrifter m m Universitetet/processer Fakulteten/processer Institution/processer Avdelningen/processer Organisation och processer 13
COSO En sammanfattning Kontrollmiljön Kontrollmiljön utgörs av de faktorer som anger tonen i verksamheten och därmed påverkar kontrollmedvetandet. Hit hör Integritet och etik, ledarskapsstil, ansvarsfördelning, organisatorisk uppbyggnad, engagemang och styrning från ledningen på olika nivåer och styrelsen. Kontrollmiljön är grunden för de andra fyra komponenterna i den interna kontrollen. 14
COSO En sammanfattning Riskbedömning I alla organisationer och dess verksamheter förekommer det en rad olika risker. Alla risker måste bedömas med utgångspunkt i målen för organisationen. Risken för att målen inte uppnås måste kontinuerligt analyseras. 15
COSO En sammanfattning Information och kommunikation Den information som behövs för att styra och ha kontroll över verksamheten måste registreras, bearbetas och kommuniceras i rätt form och i rätt tid. Detta kräver ändamålsenliga informationssystem. 16
COSO En sammanfattning Kontrollåtgärder Kontrollåtgärder är olika mått och steg som skall leda till att externa och interna regelverk efterlevs och därigenom också att de uppsatta målen inte äventyras. Det handlar bl.a. om fördelning av ansvar och befogenheter, om attestrutiner, och uppföljning av ekonomiska resultat. 17
COSO En sammanfattning Övervakning och uppföljning En organisations system för intern kontroll måste kontinuerligt övervakas och följas upp. Tre nyckelfunktioner är Ledningen på olika nivåer Internrevision Externrevision 18
Förslag till förordning om intern styrning och kontroll vid statliga myndigheter 19
Förslag till förordning om intern styrning och kontroll vid statliga myndigheter Motiv för reglering För att regeringen skall kunna få en bild (möjliggöra genomlysning) av att den interna styrningen och kontrollen fungerar väl och därigenom ta sitt ansvar för hur den styr riket. Klargöra begreppet intern styrning och kontroll. Kraven på intern styrning och kontroll stärker internrevisionen i staten och bidrar till ett förtydligande av professionen. Motsvara de krav som Europeiska kommissionen ställer på medlemsstaterna. Intern styrning och kontroll inom myndigheter skall bygga på samma referensram och metodik. Tydliggöra vem vid myndigheten som har ett ansvar för att den interna styrningen och kontrollen är betryggande. Skall försäkras. 20
Förordningsförslag 1. Tillämpningsområde Denna förordning gäller för förvaltningsmyndigheter under regeringen som har skyldighet att inrätta intern revision. 2. Intern styrning och kontroll Med intern styrning och kontroll avses den process som syftar till att myndigheten med rimlig säkerhet uppnår en effektiv verksamhet efterlever lagar, förordningar och andra regler, samt lämnar en tillförlitlig redovisning och rättvisande rapportering av verksamheten. 3. Ansvar Myndigheternas ledning ansvarar för myndigheternas interna styrning och kontroll. 21
Förordningsförslag 4. Verksamhetsanalys Myndigheten skall genomföra en verksamhetsanalys i syfte att identifiera omständigheter som utgör risk för att kraven enligt 2 första stycket 1-3 inte uppfylls. 5. Kontrollåtgärder Myndigheten skall med ledning av den verksamhetsanalys som genomförts enligt 4 vidta de åtgärder som den anser nödvändiga för att kraven enligt 2 första stycket 1-3 uppfylls med rimlig säkerhet (kontrollåtgärder). 6. Uppföljning Myndigheten skall se till att den interna styrningen och kontrollen systematiskt och regelbundet följs upp och bedöms. Vid denna bedömning skall revisionens iakttagelser beaktas. 22
Förordningsförslag 7. Dokumentation Myndigheten skall dokumentera verksamhetsanalysen enligt 4 och kontrollåtgärder enligt 5 samt uppföljning och bedömning enligt 6. 8. Försäkran Myndighetens ledning skall försäkra att den interna styrningen och kontrollen är betryggande. Kan ledningen inte försäkra att den interna styrningen och kontrollen i alla delar är betryggande, skall ledningen reservera sig i dessa delar och upprätta handlingsplaner som visar hur och när bristerna skall åtgärdas. Denna försäkran med eventuella handlingsplaner, skall bifogas myndighetens årsredovisning. 9. Verkställighetsföreskrifter Ekonomistyrningsverket får meddela de föreskrifter som behövs för verkställigheten av denna förordning. 23
Hur gåtillväga vid en översyn av den interna styrningen och kontrollen? 24
Grundläggande aktiviteter i den interna styrningen och kontrollen En väl fungerande intern styrning och kontroll kräver bl.a. att vissa grundläggande aktiviteter utförs. Dessa är att genomföra en verksamhetsanalys med fokus på risker, att med ledning av verksamhetsanalysen precisera nödvändiga kontrollåtgärder som skall vara implementerade eller implementeras, att systematiskt och regelbundet följa upp och bedöma den interna styrningen och kontrollen samt att dokumentera dessa moment. 25
En verksamhet har många möjliga riskdrivare Exempel Definition Möjliga riskdrivare Omvärld Omvärldsrisker Externa risker som vi är exponerade för beroende på att vi agerar i viss sektor med dess särart Demografi Lagar och regler Teknologi Konjunkturcykel Konkurrenter Vision och Mål Ändamålsrisker Risker som vi exponeras mot beroende på hur vi väljer att bedriva verksamheten Organisationsstruktur Förtroende Kvalitet Samarbetspartners Prissättningsmodeller Verksamhet Verksamhetsrisker Interna risker som vi exponeras mot beroende på vårt sätt att organisera och styra vår verksamhet samt på det sätt vi levererar våra tjänster Organisationsstruktur Processer Styrning Säkerhet IT Personal, tid, kompetens Lokaler Teknisk utrustning 26
Riskfokuserad verksamhetsanalys Riskhantering i varje enhet Mål och strategier 1. Identifiera 2. Värdera 3. Hantera 4. Rapportera Konsolidera Traditionell Konsoliderad Extern revision IT Finans IT/ Säkerhet Operativ Ledning Försäkring Ledning Juridik Intern revision Intern revision Styrelse/ Ledning CRO Extern revision Säkerhet Försäkring Controller Finans Juridik Controller 27
Kontrollåtgärder Kontroller finns på olika nivåer i verksamheten Universitetsövergripande kontroller Kontroller i processerna Generella IT-kontroller Förebyggande och upptäckande kontroller Många av de förebyggande kontrollerna förekommer i verksamhetens IT-system Flertalet av de upptäckande kontrollerna baseras på information som genereras från verksamhetens applikationer 28
Kontrollåtgärder Generella IT-kontroller IT kontroller som är gemensamma för hela IT-verksamheten Utgör basen för fungerande applikationskontroller över tiden Exempelvis behörighetsrutin och rutin för programuppdateringar IT Environment Application Controls IT General Controls 29
Kontrollåtgärder Exempel på generella IT kontroller Behörighetsrutin Kontroller som syftar till att endast behöriga personer har tillgång till data, och då endast för att utföra specifika funktioner (läsa, skriva, ta bort) Rutin för programuppdateringar Kontroller som syftar till att säkerställa att ändringar av applikationer är tillåtna, testade och godkända innan de implementeras Rutin för säkerhetskopiering och återskapande Kontroller som syftar till att säkerställ att förlorad data alltid kan återskapas 30
Kontrollåtgärder Applikationskontroller Kontroller relaterade till specifika applikationer eller transaktioner. Exempelvis indata-, bearbetningsoch utdatakontroller. IT Environment Application Controls IT General Controls 31
Uppföljning Följande framgår av Ds:en Uppföljning skall ske systematiskt och regelbundet. Vid bedömningen skall revisionens iakttagelser beaktas. Uppföljningarna skall vara systematiska och utgöra ett kontinuerligt inslag i syfte att uppnå en effektiv intern styrning och kontroll. Med systematiskt avses att uppföljningarna sker efter framtagna rutinbeskrivningar eller på annat sätt följer en dokumenterad metod. Tillfredsställande rutiner för uppföljning samt därtill beaktande av revisionens rapporter och dess iakttagelser ger ledningen nödvändig information om myndighetens interna styrning och kontroll. 32
Dokumentation Följande framgår av Ds:en Myndigheten skall dokumentera genomförd verksamhetsanalys och vidtagna kontrollåtgärder samt genomförd uppföljning och bedömning. Dokumentationen är en förutsättning för myndighetsledningens dialog med övriga medarbetare inom organisationen om riskoch kontrollfrågor. 33
Försäkran Följande framgår av Ds:en Myndighetens ledning skall försäkra att den interna styrningen och kontrollen är betryggande. Kan ledningen inte försäkra att den interna styrningen och kontrollen i alla delar är betryggande, skall ledningen reservera sig i dessa delar och upprätta handlingsplaner som visar hur och när bristerna skall åtgärdas. Denna försäkran med eventuella handlingsplaner, skall bifogas myndighetens årsredovisning. 34
Försäkran Försäkran baseras på interna analyser av samtliga av kontrollorganisationens komponenter Mål Kontrollorganisation Utvärdering Styrelsens rapport 1) Uppnå effektiv verksamhet 2) Efterleva lagar, förordningar och regler 3) Lämna en tillförlitlig redovisning och rättvisande rapportering av verksamheten Kontrollmiljö Riskbedömning Kontrollåtgärder Information och kommunikation Övervakning och uppföljning Utvärdera Dokumentera Kontrollmiljö Riskbedömning Kontrollåtgärder Riskanalys Fokus Information och kommunikation Övervakning och uppföljning Analysera dokumentera Styrelsens rapport med en försäkran om att interna styrningen och kontrollen är är betryggande Utvärderingsmetodik 35
Förslag till steg vid översyn av den interna styrningen och kontrollen Fas 1: Planering/omfattning Fas 2: Utvärdering av nuvarande organisation Fastställa ramverk för intern kontroll (COSO) Fastställa metodik för genomförande av arbetet Genomföra riskanalys (verksamhetsanalys) och identifiera väsentliga risker Utifrån riskanalys identifiera väsentliga processer och inneboende risker i processer och enheter Kartlägga, dokumentera och utvärdera nuvarande organisations förmåga att upptäcka och hantera identifierade risker på universitetsövergripande nivå, processnivå och via generella ITkontroller Kontrollmiljö Riskbedömning Kontrollåtgärder Information och kommunikation Övervakning & uppföljning Fastställa omfattning av arbetet för varje process/enhet Identifiera, värdera och hantera gap/förbättringsområden Etablera projektorganisation, säkerställa resurser och upprätta projektplaner Utveckla aktivitetsplan för att stänga gap 36
Förslag till steg vid översyn av den interna styrningen och kontrollen, forts Fas 3: Förbättringsåtgärder Fas 4: Rapportering Genomföra aktiviteter för att stänga gap Kontrollmiljö Riskbedömning Kontrollåtgärder Information & Kommunikation Efterlevnad & uppföljning Integrera med befintligt risk management och linjeansvar Genomföra en sammanvägd utvärdering av den interna kontrollen Om förordning blir aktuell Dokumentera underlag till styrelsens rapport avseende intern styrning och kontroll Status nuvarande kontrollorganisation Gap och planerade/genomförda aktiviteter för att hantera risk Upprätta styrelsens rapport om intern styrning och kontroll 37
Viktigt att organisationen har en gemensam syn påföljande Vad innebär 1. begreppet intern styrning och kontroll? 2. det att ha ansvar för intern styrning och kontroll? 3. det att genomföra en riskfokuserad verksamhetsanalys? 4. det i praktiken att vidta tillräckliga kontrollåtgärder för att kravet om betryggande intern styrning och kontroll skall uppfyllas med rimlig säkerhet? 5. det att systematiskt och regelbundet följa upp och bedöma den interna styrningen och kontrollen? 6. det att dokumentera den interna styrningen och kontrollen? 7. det att försäkra att den interna styrningen och kontrollen är betryggande? 38
Viktiga erfarenheter 39
Sammanfattning av några erfarenheter av att arbeta mot en konsoliderad riskhanteringsprocess Styrkor Säkerställer att risker identifieras och hanteras i alla delar av organisationen Förbättrar transparensen och informationsspridningen Konkretiserar och förtydligar roller och ansvar i organisationen Möjligheter Viktig del i den strategiska processen Minskar/tydliggör riskexponeringen inom olika affärsenheter Svagheter Frånvaro eller brister i definitioner, modeller och metoder avsaknad av receptet Komplexa frågeställningar Ställer stora krav på ledningens förmåga att förstå verksamhetens alla processer Hot Informationshantering / Konfidentialitet Kunskapsgap / utbildningsbehov Förbättrad förmåga att minska antalet överraskningar i verksamheten 40
Erfarenheter Särskilt viktigt att tänka på Samsyn, enhetliga principer Krav på detaljeringsgrad och innehåll avseende dokumentation klar från start Vilken nivå av kontroll är målet respektive vilken nivå är den lägsta godtagbara i respektive process? Samsyn kring avvikelser från föreskrivet arbetssätt vad utgör avvikelser? vilka avvikelser från fastställda arbetssätt kan tolereras och vilka kräver ändring? Var ligger nivån för acceptans? 41
Erfarenheter, forts. Engagemang och kommunikation Engagemang från verksamhetsföreträdare tidigt i processen Tydlig och tidig kommunikation av process- och kontrollägarskap Integration mellan verksamhetskartläggning och motsvarande kartläggning av IT-delar 42
Erfarenheter, forts. Nödvändiga kompetenser 1. För arbete med riskfokuserad verksamhetsanalys Kunskap om omvärldsfaktorer som berör sektorn på såväl kort som lång sikt Detaljerad kunskap om samtliga verksamhetsområden Detaljerad kunskap om stödprocesser IT, administration etc. 43
Erfarenheter, forts. Nödvändiga kompetenser 2. För kartläggning och utvärdering av systemet för intern styrning och kontroll Utöver detaljerad verksamhetskännedom Erfarenhet av processkartläggning Erfarenhet av beskrivning, utvärdering och test av manuella och applikationsbaserade kontroller i verksamheten Erfarenhet av beskrivning, utvärdering och test av generella ITkontroller Detaljerad kunskap om ekonomimodell, redovisningsprinciper, redovisningssystem och kodplan Detaljerad kunskap om IT-miljö och IT-system 44
Erfarenheter, forts. Nödvändiga kompetenser Sammanfattning Stor mängd individer med unika kunskaper från flera områden måste inkluderas i arbetet Kunskap och erfarenhet från verksamheten måste inkluderas från start Företrädare för verksamhet, administration och IT måste arbeta tillsammans. 45
Erfarenheter, forts. Hur kan man börja? De fem viktigaste frågorna att börja arbeta med: 1. Vem skall ta det praktiska ansvaret för systemet för intern styrning och kontroll? 2. Identifiera nyckelpersoner i verksamheten, administrationen och IT-funktionen för en styrgrupp När denna styrgrupp är på plats bör grundläggande samsyn skapas på följande punkter: 3. Målbild: Vad utgör god intern styrning och kontroll? 4. Prioritering: Inom vilka områden finns våra mest betydande risker? 5. Planering av fortsatt arbete: Framtagande av projektplan 46
Kontaktuppgifter Stefan Svarén Ernst & Young 401 82 GÖTEBORG 031-63 77 28 stefan.svaren@se.ey.com 47
www.ey.com/se 48