Compliance och Internrevision kan lära av varandra Louise Hedqvist, FCG Desirée Nordqvist, Länsförsäkringar AB
Compliance och Internrevision kan lära av varandra 1 Sammarbete 2 Ramverk 3 Planering 4 Granskning 5 Rapportering till styrelse och vd 2
Samarbete Regelbundna möten med agenda och minnesanteckningar. Riskdiskussioner kring operativa risker inkl. Compliancerisker. Incidenter och händelse av väsentlig art. Diskussion och avstämning innan årliga planer sätts. Kommunikation innan och efter aktiviteter genomförs som: - Analys av nya regelverk - Granskningar - Gapanalyser - Enkäter och uppföljning - Rapporter (bedömningar) 1. SAMMARBETE 3
Samarbete metoder Dokumentationskraven är stora på Internrevision. Om Internrevision ska kunna förlita sig på granskningsresultat och undersökningar från Compliance, måste även Compliance ha en tillförlitlig dokumentation och arbetsmetodik. Internrevision behöver se och kunna utvärdera granskningsmetodiken: - Tydliga revisionsmål - Omfattning av dokumentation - Omfattning av stickprover och hur kontroller testats - Bedömning av regelverk - Bedömningsskala - Dokumentation av brister och rekommendationer 1. SAMMARBETE 4
Metoder och modeller Fördelning av uppföljning och granskning av externa och interna regelverk. 5
Ett gemensamt ramverk COSO Styr- och kontrollmiljö Riskbedömning Kontrollaktiviteter Information och kommunikation Uppföljning och utvärdering Integritet och Etik Specificera lämpliga mål Välja och utveckla kontrollaktiviteter Använd relevant information Löpande och separat uppföljning Styrelsens uppföljning Identifiera och analysera risker Välja och utveckla kontrollaktiviteter över IT Kommunicera internt Utvärdera och kommunicera avvikelser Struktur, mandat och ansvar Analysera risker för oegentligheter Utveckla och implementera policys och rutiner Kommunicera externt Attrahera och behålla kompetens Identifiera och analysera väsentliga förändringar Utkräva ansvar 6 6
Årsplanering. Genom harmonisering och återvinning av arbetsuppgifter kan funktionernas arbete effektiviseras och tydligt kvalitetsäkras. Respektive inriktningar från uppdragsgivare 3 års plan Tillkommande aktiviteter och riskdiskussion Funktionsplaner IR och CO Genomgång, kvalitetssäkring att dubbelarbete undviks Prioritering med utskott samt Vd Förslag till beslut till styrelsen Information till verksamheten 3. PLANERING 7
Aktiviteter i en granskningsprocess 1:a Kontaktperson informeras Uppstartsmöte med berörda Kontakter i verksamheten Avstämning av fakta och avslutsmöte Återkoppling av revisionsresultat Kartläggning och inläsning analys Intern diskussion, omfattning och inriktning Dokumentera uppdraget precisera målen Dokumentera revisions - program Intervjuer, verifiering av underlag och kontroller Dokumentation av revisionsresultat, formell rapport Rapportering till styrelse/ledning 2:a Avstämning med CO Avstämning med CO Återkoppling av revisions resultat till CO 4. GRANSKNING 8
Granskningsprogram 4. GRANSKNI NG 9
GRANSKNING 10
Granskningsprocessen utförande och rapportering CO Compliance Process [X] Årsplan Start Gå igenom aktivitet/ process Planering Utförande Avstämning [EK X.X] Ref nr: 2015:XX Firma/Avd [EK X.X] Rapport till granskad enhet (VD) Rapporterings process Mallar Mallar Rapportmall Avslut Slut 11
Nr Dokument Ägare Kontrollutfö rare Frekvens Metod Genomförande [EK X.X] Granskningsprocess utförd enligt beslutad process, jmf. Kvalitetschecklista Compliance Processägare Årlig Stickprov Q3 [EK X.X] Compliance Granskningsrapport kvalitetssäkrad av kollega, 4-eyeprinciple Processägare Årlig Stickprov Q3 12
Bedömningskriterier 4. GRANSKNING 13
Bedömningskriterier 14
Rapportering till styrelse och vd Rapportera om väsentliga brister och risker till styrelsen/utskottet och den verkställande direktören. Rapporterna ska följa upp tidigare rapporterade brister och risker och redogöra för varje ny identifierad väsentlig brist och risk. En konsekvensanalys och en rekommendation till åtgärder ska ingå i rapporten. Styrelsen, riskutskottet och den verkställande direktören ska, så snart som möjligt, vidta lämpliga åtgärder med anledning av kontrollfunktionens rapport. Ett företag ska ha rutiner för att regelbundet följa upp vilka åtgärder som har vidtagits med anledning av rapporten. 15
Frågor och funderingar? 16
Kontaktuppgifter Louise Hedqvist Senior manager Telefon: 0766-30 91 54 Desirée Nordqvist Chef Internrevision Telefon: 073-96 401 04 E-mail: louise.hedqvist@fcg.se E-mail: desirée.nordkvist@lansforsakringar.se Find out more about FCG at www.fcg.se Find out more about Länsförsäkringar at www.lansforsakringar.se 17