Intern styrning och kontroll

Relevanta dokument
Policy för internkontroll för Stockholms läns landsting och bolag

Intern styrning & kontroll samt internrevision i staten

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Frågor att ställa om IK

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Riktlinjer för intern styrning och kontroll

Policy för Essunga kommuns internkontroll

Intern styrning och kontroll. Verksamhetsåret 2009

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Reglemente för internkontroll

Intern kontrollplan och riskbedömning. Riktlinjer Fastställda i Kommunstyrelsen

Regler och riktlinjer för intern styrning och kontroll vid KI

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Intern kontroll - Stadsbacken. Bilaga 1, Maud Viklander Controller, koncernstaben

Intern styrning och kontroll i Riksbanken 2013

Riktlinjer för intern styrning och kontroll

Internrevisionen Förslag till revisionsplan för år 2009 Jan Sandvall Dnr B5 269/09 REVISIONSPLAN FÖR ÅR 2009

Intern styrning och kontroll

Riktlinje för intern styrning och kontroll

Riktlinjer för internkontroll i Kalix kommun

Revisionsrapport Karolinska Institutet Stockholm

Reglemente Innehåll Fastställt av: Fastställt datum: Dokumentet gäller till och med: Dokumentet gäller för: Dokumentansvarig: Diarienummer:

REGLEMENTE INTERN KONTROLL

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

REGLEMENTE FÖR INTERN KONTROLL I YSTADS KOMMUN

Riktlinjer för intern kontroll

Övergripande riskhantering i Göteborgs Stad

Bilaga Från standard till komponent

Riktlinjer för intern kontroll

Organisation av och uppföljning av intern kontroll

Information Technology and Security Governance

Reglemente och tillämpning för intern styrning och kontroll. I Upplands-Bro kommun

Informationssäkerhetspolicy för Umeå universitet

Lokala regler och anvisningar för intern kontroll

Riktlinjer för intern kontroll

Revisionsrapport. Örebro universitets årsredovisning Sammanfattning. Förordning om intern styrning och kontroll

Regler. Fö r intern köntröll. Vision. Program. Policy. Regler. Handlingsplan. Riktlinjer Kommunfullmäktige Kommunstyrelsen Nämnd

Informationssäkerhetspolicy inom Stockholms läns landsting

Nya regler om styrning och riskhantering

Nätverk för intern styrning och kontroll. Nätverksträff 1,

Riktlinjer för internkontroll

Granskning intern kontroll

Anvisning för intern kontroll och styrning

Granskningsrapport av intern styrning och kontroll 2017

Riktlinjer för intern styrning och kontroll

Internkontrollplan et

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Riktlinjer för intern styrning och kontroll, ISK, för landstingsstyrelsens förvaltning.

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Informationssäkerhetspolicy för Ystads kommun F 17:01

Myndighetsförordningen. Intern kontroll. Calona Ekonomikonsult AB. Seminarium Intern kontroll 2. Förordning intern kontroll och styrning

Bygga intern styrning och kontroll Från kaos till kontroll på ett år. Katrin Westling Palm Stephan Sandelin

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

Reglemente för intern kontroll

Stockholms läns landsting i (i)

Revisionsrapport. Styrelsen för internationellt utvecklingssamarbete årsredovisning Datum Dnr

Policy för intern styrning och kontroll

Östra Göteborg. Självdeklaration 2013 Verifiering av rekryteringsprocessen Utförd av Deloitte. Februari 2014

Stadsledningskontorets system för intern kontroll

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Processledningsmodell för Kungälvs kommun

Riktlinjer för intern kontroll i Örebro kommun

REVISIONSPLAN DNR V 2017/87. Jan Sandvall. Till styrelsen vid Göteborgs universitet

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Reglemente Fastställd i Kommunfullmäktige

Reglemente för internkontroll avseende kvalitet KS-2014/1106

Anvisning om riskhantering och internrevision i värdepapperscentraler

Internkontrollplan

/6-~c~Æ ~v{; _e/ Elisabeth Friberg, vice ordförrupe. .lile fj ~ C'" Till Kommunstyrelsen

Landstingsstyrelsen och den interna kontrollen en inledande belysning

Hofors kommun. Intern kontroll. Revisionsrapport. KPMG AB Mars 2011 Antal sidor: 10

TOMELILLA KOMMUN KOMMUNAL FÖRFATTNINGSSAMLING Nr B 17:1

Revisionskommitténs mandat

Finansinspektionens författningssamling

Riktlinjer för IT-säkerhet i Halmstads kommun

Myndigheten för samhällsskydd och beredskaps författningssamling

Internrevisionens revisionsplan 2008

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

REVISIONSPLAN FÖR ÅR 2012

EY:s uppdrag gällande analys av stödfunktionerna vid SLUs akademi i Alnarp

Riktlinje för intern styrning och kontroll

Revisionsplan för Linköpings universitet 2008.

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Finansinspektionens författningssamling

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Finansinspektionens författningssamling

Anpassade riktlinjer för intern kontroll inom Hälso- och sjukvårdsnämndens ansvarsområde

Granskning av stadens arbete med åtgärder och uppföljning avseende intern styrning och kontroll

Intern kontroll och riskbedömningar. Strömsunds kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Intern kontroll. Riktlinjer av Kommunstyrelsen 70. Kommunövergripande. Tills vidare. Kommunchefen

Transkript:

University Group Intern styrning och kontroll Sveriges universitets och högskoleförbund 2006-11-08 Per Setterberg Stefan Svarén

Agenda 1. Inledning 2. Vad är intern styrning och kontroll? 3. Förslag till förordning om intern styrning och kontroll vid statliga myndigheter 4. Hur gå tillväga vid en översyn av den interna styrningen och kontrollen? 5. Viktiga erfarenheter 2

Vilka är vi? Per Setterberg Civ.ek. Ansvarig E&Y Sverige för vår samordning av revision av EUfinansierade forskningsprojekt Erfarenheter från flera universitet och högskolor Relevanta erfarenheter avseende intern styrning och kontroll Sarbanes Oxley Act Internrevision Externrevision Utvärderings- och förändringsprojekt kring intern kontroll Stefan Svarén Ek. lic. Ansvarig E&Y Sverige för vår samordning gentemot universitet och högskolor Erfarenheter från flera universitet och högskolor Relevanta erfarenheter avseende intern styrning och kontroll Sarbanes Oxley Act Internrevision Externrevision Utvärderings- och förändringsprojekt kring intern kontroll 3

Vi är ettglobalt kunskapsföretag med lokal förankring Sverige Audit Antal medarbetare: drygt 1 750 Antal kontor: 75 Globalt Antal medarbetare: 114 000 Antal länder: 140 revision och kvalificerade redovisningsfrågor Risk & Business Advisory Services riskhantering och verksamhetsutveckling FAS redovisnings- och ekonomikonsulttjänster Tax skatterådgivning Transaction Advisory Services transaktionsrådgivning 4

Våra kunder och tjänster Våra kunder är bl.a. Chalmers tekniska högskola Högskolan i Jönköping Högskolan i Borås Göteborgs universitet Karlstad universitet Karolinska institutet Vårt tjänstutbud kan delas in i tre huvudgrupper: Internrevision (biträde och ansvar för internrevisionsfunktionen) Extern revision (EU-projekt, bolag och stiftelser) Rådgivning Lunds universitet Luleå tekniska universitet Malmö högskola Mälardalens högskola Stockholms universitet Sveriges lantbruksuniversitet Umeå universitet Uppsala universitet 5

Vår organisation för högskolor och universitet Nationell samordning Upprätthålla specialistkompetens om segmentet Strukturkapital samlad i databas Mallar och checklistor Genomförda projekt (från offert till avrapportering) Utbildnings- och erfarenhetsutbyte Korsbefruktning i team Lokalt kundansvar Ansvar för att säkerställa en högkvalitativ leveransorganisation Samordning av tjänster 6

Bakgrund till aktuell debatt Händelser Enron, WorldCom, Skandia, Systembolaget och diverse andra skandaler i näringslivet och offentlig sektor Förtroende är grunden för en organisations framgångar Det finns en stark korrelation mellan framgång och förtroende Brist på förtroende innebär högre transaktionskostnader Åtgärder några exempel Sarbanes Oxley Act Bolagsstyrningskoden Principer för styrning av kommun- och landstingsägda bolag Förslag till förordning om intern styrning och kontroll vid statliga myndigheter 7

Åtgärd nr 1 -Nåbalans i förtroendetriangeln Regler/normer Förtroende Upptäcktsrisk Sanktioner 8

Komplexitet i styrmodell Privatägd Produktproducerande Privatägd Tjänsteproducerande Privatägd Serviceproducerande Offentligägd Kunskapsgenererande Biltillverkare Arkitektbyrå Privat utbildningsföretag Universitet 9

Vad är intern styrning och kontroll? 10

Intern styrning och kontroll ett integrerat system Ekonomiavdelningen Kontrollmiljön Internrevisionen Externrevisionen 11

Intern styrning och kontroll* Intern styrning och kontroll är en process genom vilken organisationens styrelse, ledning och annan personal skaffar sig rimlig säkerhet om att organisationens mål uppnås på följande områden: verksamhetens ändamålsenlighet och effektivitet den ekonomiska rapporteringens tillförlitlighet efterlevnaden av tillämpliga lagar och förordningar * Fri översättning 12

COSO En sammanfattning Kontrollkomponenter COSO-modellen (Tre dimensioner och fem kontrollkomponenter) Ändamålsenlig verksamhet Rapportering Övervakning och uppföljning Information & kommunikation Kontrollåtgärder Riskbedömning Kontrollmiljö Mål Lagar, föreskrifter m m Universitetet/processer Fakulteten/processer Institution/processer Avdelningen/processer Organisation och processer 13

COSO En sammanfattning Kontrollmiljön Kontrollmiljön utgörs av de faktorer som anger tonen i verksamheten och därmed påverkar kontrollmedvetandet. Hit hör Integritet och etik, ledarskapsstil, ansvarsfördelning, organisatorisk uppbyggnad, engagemang och styrning från ledningen på olika nivåer och styrelsen. Kontrollmiljön är grunden för de andra fyra komponenterna i den interna kontrollen. 14

COSO En sammanfattning Riskbedömning I alla organisationer och dess verksamheter förekommer det en rad olika risker. Alla risker måste bedömas med utgångspunkt i målen för organisationen. Risken för att målen inte uppnås måste kontinuerligt analyseras. 15

COSO En sammanfattning Information och kommunikation Den information som behövs för att styra och ha kontroll över verksamheten måste registreras, bearbetas och kommuniceras i rätt form och i rätt tid. Detta kräver ändamålsenliga informationssystem. 16

COSO En sammanfattning Kontrollåtgärder Kontrollåtgärder är olika mått och steg som skall leda till att externa och interna regelverk efterlevs och därigenom också att de uppsatta målen inte äventyras. Det handlar bl.a. om fördelning av ansvar och befogenheter, om attestrutiner, och uppföljning av ekonomiska resultat. 17

COSO En sammanfattning Övervakning och uppföljning En organisations system för intern kontroll måste kontinuerligt övervakas och följas upp. Tre nyckelfunktioner är Ledningen på olika nivåer Internrevision Externrevision 18

Förslag till förordning om intern styrning och kontroll vid statliga myndigheter 19

Förslag till förordning om intern styrning och kontroll vid statliga myndigheter Motiv för reglering För att regeringen skall kunna få en bild (möjliggöra genomlysning) av att den interna styrningen och kontrollen fungerar väl och därigenom ta sitt ansvar för hur den styr riket. Klargöra begreppet intern styrning och kontroll. Kraven på intern styrning och kontroll stärker internrevisionen i staten och bidrar till ett förtydligande av professionen. Motsvara de krav som Europeiska kommissionen ställer på medlemsstaterna. Intern styrning och kontroll inom myndigheter skall bygga på samma referensram och metodik. Tydliggöra vem vid myndigheten som har ett ansvar för att den interna styrningen och kontrollen är betryggande. Skall försäkras. 20

Förordningsförslag 1. Tillämpningsområde Denna förordning gäller för förvaltningsmyndigheter under regeringen som har skyldighet att inrätta intern revision. 2. Intern styrning och kontroll Med intern styrning och kontroll avses den process som syftar till att myndigheten med rimlig säkerhet uppnår en effektiv verksamhet efterlever lagar, förordningar och andra regler, samt lämnar en tillförlitlig redovisning och rättvisande rapportering av verksamheten. 3. Ansvar Myndigheternas ledning ansvarar för myndigheternas interna styrning och kontroll. 21

Förordningsförslag 4. Verksamhetsanalys Myndigheten skall genomföra en verksamhetsanalys i syfte att identifiera omständigheter som utgör risk för att kraven enligt 2 första stycket 1-3 inte uppfylls. 5. Kontrollåtgärder Myndigheten skall med ledning av den verksamhetsanalys som genomförts enligt 4 vidta de åtgärder som den anser nödvändiga för att kraven enligt 2 första stycket 1-3 uppfylls med rimlig säkerhet (kontrollåtgärder). 6. Uppföljning Myndigheten skall se till att den interna styrningen och kontrollen systematiskt och regelbundet följs upp och bedöms. Vid denna bedömning skall revisionens iakttagelser beaktas. 22

Förordningsförslag 7. Dokumentation Myndigheten skall dokumentera verksamhetsanalysen enligt 4 och kontrollåtgärder enligt 5 samt uppföljning och bedömning enligt 6. 8. Försäkran Myndighetens ledning skall försäkra att den interna styrningen och kontrollen är betryggande. Kan ledningen inte försäkra att den interna styrningen och kontrollen i alla delar är betryggande, skall ledningen reservera sig i dessa delar och upprätta handlingsplaner som visar hur och när bristerna skall åtgärdas. Denna försäkran med eventuella handlingsplaner, skall bifogas myndighetens årsredovisning. 9. Verkställighetsföreskrifter Ekonomistyrningsverket får meddela de föreskrifter som behövs för verkställigheten av denna förordning. 23

Hur gåtillväga vid en översyn av den interna styrningen och kontrollen? 24

Grundläggande aktiviteter i den interna styrningen och kontrollen En väl fungerande intern styrning och kontroll kräver bl.a. att vissa grundläggande aktiviteter utförs. Dessa är att genomföra en verksamhetsanalys med fokus på risker, att med ledning av verksamhetsanalysen precisera nödvändiga kontrollåtgärder som skall vara implementerade eller implementeras, att systematiskt och regelbundet följa upp och bedöma den interna styrningen och kontrollen samt att dokumentera dessa moment. 25

En verksamhet har många möjliga riskdrivare Exempel Definition Möjliga riskdrivare Omvärld Omvärldsrisker Externa risker som vi är exponerade för beroende på att vi agerar i viss sektor med dess särart Demografi Lagar och regler Teknologi Konjunkturcykel Konkurrenter Vision och Mål Ändamålsrisker Risker som vi exponeras mot beroende på hur vi väljer att bedriva verksamheten Organisationsstruktur Förtroende Kvalitet Samarbetspartners Prissättningsmodeller Verksamhet Verksamhetsrisker Interna risker som vi exponeras mot beroende på vårt sätt att organisera och styra vår verksamhet samt på det sätt vi levererar våra tjänster Organisationsstruktur Processer Styrning Säkerhet IT Personal, tid, kompetens Lokaler Teknisk utrustning 26

Riskfokuserad verksamhetsanalys Riskhantering i varje enhet Mål och strategier 1. Identifiera 2. Värdera 3. Hantera 4. Rapportera Konsolidera Traditionell Konsoliderad Extern revision IT Finans IT/ Säkerhet Operativ Ledning Försäkring Ledning Juridik Intern revision Intern revision Styrelse/ Ledning CRO Extern revision Säkerhet Försäkring Controller Finans Juridik Controller 27

Kontrollåtgärder Kontroller finns på olika nivåer i verksamheten Universitetsövergripande kontroller Kontroller i processerna Generella IT-kontroller Förebyggande och upptäckande kontroller Många av de förebyggande kontrollerna förekommer i verksamhetens IT-system Flertalet av de upptäckande kontrollerna baseras på information som genereras från verksamhetens applikationer 28

Kontrollåtgärder Generella IT-kontroller IT kontroller som är gemensamma för hela IT-verksamheten Utgör basen för fungerande applikationskontroller över tiden Exempelvis behörighetsrutin och rutin för programuppdateringar IT Environment Application Controls IT General Controls 29

Kontrollåtgärder Exempel på generella IT kontroller Behörighetsrutin Kontroller som syftar till att endast behöriga personer har tillgång till data, och då endast för att utföra specifika funktioner (läsa, skriva, ta bort) Rutin för programuppdateringar Kontroller som syftar till att säkerställa att ändringar av applikationer är tillåtna, testade och godkända innan de implementeras Rutin för säkerhetskopiering och återskapande Kontroller som syftar till att säkerställ att förlorad data alltid kan återskapas 30

Kontrollåtgärder Applikationskontroller Kontroller relaterade till specifika applikationer eller transaktioner. Exempelvis indata-, bearbetningsoch utdatakontroller. IT Environment Application Controls IT General Controls 31

Uppföljning Följande framgår av Ds:en Uppföljning skall ske systematiskt och regelbundet. Vid bedömningen skall revisionens iakttagelser beaktas. Uppföljningarna skall vara systematiska och utgöra ett kontinuerligt inslag i syfte att uppnå en effektiv intern styrning och kontroll. Med systematiskt avses att uppföljningarna sker efter framtagna rutinbeskrivningar eller på annat sätt följer en dokumenterad metod. Tillfredsställande rutiner för uppföljning samt därtill beaktande av revisionens rapporter och dess iakttagelser ger ledningen nödvändig information om myndighetens interna styrning och kontroll. 32

Dokumentation Följande framgår av Ds:en Myndigheten skall dokumentera genomförd verksamhetsanalys och vidtagna kontrollåtgärder samt genomförd uppföljning och bedömning. Dokumentationen är en förutsättning för myndighetsledningens dialog med övriga medarbetare inom organisationen om riskoch kontrollfrågor. 33

Försäkran Följande framgår av Ds:en Myndighetens ledning skall försäkra att den interna styrningen och kontrollen är betryggande. Kan ledningen inte försäkra att den interna styrningen och kontrollen i alla delar är betryggande, skall ledningen reservera sig i dessa delar och upprätta handlingsplaner som visar hur och när bristerna skall åtgärdas. Denna försäkran med eventuella handlingsplaner, skall bifogas myndighetens årsredovisning. 34

Försäkran Försäkran baseras på interna analyser av samtliga av kontrollorganisationens komponenter Mål Kontrollorganisation Utvärdering Styrelsens rapport 1) Uppnå effektiv verksamhet 2) Efterleva lagar, förordningar och regler 3) Lämna en tillförlitlig redovisning och rättvisande rapportering av verksamheten Kontrollmiljö Riskbedömning Kontrollåtgärder Information och kommunikation Övervakning och uppföljning Utvärdera Dokumentera Kontrollmiljö Riskbedömning Kontrollåtgärder Riskanalys Fokus Information och kommunikation Övervakning och uppföljning Analysera dokumentera Styrelsens rapport med en försäkran om att interna styrningen och kontrollen är är betryggande Utvärderingsmetodik 35

Förslag till steg vid översyn av den interna styrningen och kontrollen Fas 1: Planering/omfattning Fas 2: Utvärdering av nuvarande organisation Fastställa ramverk för intern kontroll (COSO) Fastställa metodik för genomförande av arbetet Genomföra riskanalys (verksamhetsanalys) och identifiera väsentliga risker Utifrån riskanalys identifiera väsentliga processer och inneboende risker i processer och enheter Kartlägga, dokumentera och utvärdera nuvarande organisations förmåga att upptäcka och hantera identifierade risker på universitetsövergripande nivå, processnivå och via generella ITkontroller Kontrollmiljö Riskbedömning Kontrollåtgärder Information och kommunikation Övervakning & uppföljning Fastställa omfattning av arbetet för varje process/enhet Identifiera, värdera och hantera gap/förbättringsområden Etablera projektorganisation, säkerställa resurser och upprätta projektplaner Utveckla aktivitetsplan för att stänga gap 36

Förslag till steg vid översyn av den interna styrningen och kontrollen, forts Fas 3: Förbättringsåtgärder Fas 4: Rapportering Genomföra aktiviteter för att stänga gap Kontrollmiljö Riskbedömning Kontrollåtgärder Information & Kommunikation Efterlevnad & uppföljning Integrera med befintligt risk management och linjeansvar Genomföra en sammanvägd utvärdering av den interna kontrollen Om förordning blir aktuell Dokumentera underlag till styrelsens rapport avseende intern styrning och kontroll Status nuvarande kontrollorganisation Gap och planerade/genomförda aktiviteter för att hantera risk Upprätta styrelsens rapport om intern styrning och kontroll 37

Viktigt att organisationen har en gemensam syn påföljande Vad innebär 1. begreppet intern styrning och kontroll? 2. det att ha ansvar för intern styrning och kontroll? 3. det att genomföra en riskfokuserad verksamhetsanalys? 4. det i praktiken att vidta tillräckliga kontrollåtgärder för att kravet om betryggande intern styrning och kontroll skall uppfyllas med rimlig säkerhet? 5. det att systematiskt och regelbundet följa upp och bedöma den interna styrningen och kontrollen? 6. det att dokumentera den interna styrningen och kontrollen? 7. det att försäkra att den interna styrningen och kontrollen är betryggande? 38

Viktiga erfarenheter 39

Sammanfattning av några erfarenheter av att arbeta mot en konsoliderad riskhanteringsprocess Styrkor Säkerställer att risker identifieras och hanteras i alla delar av organisationen Förbättrar transparensen och informationsspridningen Konkretiserar och förtydligar roller och ansvar i organisationen Möjligheter Viktig del i den strategiska processen Minskar/tydliggör riskexponeringen inom olika affärsenheter Svagheter Frånvaro eller brister i definitioner, modeller och metoder avsaknad av receptet Komplexa frågeställningar Ställer stora krav på ledningens förmåga att förstå verksamhetens alla processer Hot Informationshantering / Konfidentialitet Kunskapsgap / utbildningsbehov Förbättrad förmåga att minska antalet överraskningar i verksamheten 40

Erfarenheter Särskilt viktigt att tänka på Samsyn, enhetliga principer Krav på detaljeringsgrad och innehåll avseende dokumentation klar från start Vilken nivå av kontroll är målet respektive vilken nivå är den lägsta godtagbara i respektive process? Samsyn kring avvikelser från föreskrivet arbetssätt vad utgör avvikelser? vilka avvikelser från fastställda arbetssätt kan tolereras och vilka kräver ändring? Var ligger nivån för acceptans? 41

Erfarenheter, forts. Engagemang och kommunikation Engagemang från verksamhetsföreträdare tidigt i processen Tydlig och tidig kommunikation av process- och kontrollägarskap Integration mellan verksamhetskartläggning och motsvarande kartläggning av IT-delar 42

Erfarenheter, forts. Nödvändiga kompetenser 1. För arbete med riskfokuserad verksamhetsanalys Kunskap om omvärldsfaktorer som berör sektorn på såväl kort som lång sikt Detaljerad kunskap om samtliga verksamhetsområden Detaljerad kunskap om stödprocesser IT, administration etc. 43

Erfarenheter, forts. Nödvändiga kompetenser 2. För kartläggning och utvärdering av systemet för intern styrning och kontroll Utöver detaljerad verksamhetskännedom Erfarenhet av processkartläggning Erfarenhet av beskrivning, utvärdering och test av manuella och applikationsbaserade kontroller i verksamheten Erfarenhet av beskrivning, utvärdering och test av generella ITkontroller Detaljerad kunskap om ekonomimodell, redovisningsprinciper, redovisningssystem och kodplan Detaljerad kunskap om IT-miljö och IT-system 44

Erfarenheter, forts. Nödvändiga kompetenser Sammanfattning Stor mängd individer med unika kunskaper från flera områden måste inkluderas i arbetet Kunskap och erfarenhet från verksamheten måste inkluderas från start Företrädare för verksamhet, administration och IT måste arbeta tillsammans. 45

Erfarenheter, forts. Hur kan man börja? De fem viktigaste frågorna att börja arbeta med: 1. Vem skall ta det praktiska ansvaret för systemet för intern styrning och kontroll? 2. Identifiera nyckelpersoner i verksamheten, administrationen och IT-funktionen för en styrgrupp När denna styrgrupp är på plats bör grundläggande samsyn skapas på följande punkter: 3. Målbild: Vad utgör god intern styrning och kontroll? 4. Prioritering: Inom vilka områden finns våra mest betydande risker? 5. Planering av fortsatt arbete: Framtagande av projektplan 46

Kontaktuppgifter Stefan Svarén Ernst & Young 401 82 GÖTEBORG 031-63 77 28 stefan.svaren@se.ey.com 47

www.ey.com/se 48

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss