Nummer 2 2006. Vilka risker tar internrevisorn?

Relevanta dokument
Internrevisionsdagarna 2011 Intern styrning och kontroll: Vi har ett resultat!

Intern kontroll enligt koden.

Information Technology and Security Governance

Utbildning i modern riskhantering Enterprise Risk Management ERM

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Utbildning i modern riskhantering Enterprise Risk Management ERM

Riktlinje för intern styrning och kontroll avseende Norrköping Rådhus AB:s bolagskoncern

Inbjudan till Internrevisionsdagarna

Utbildning i modern riskhantering Enterprise Risk Management ERM

Utbildning i modern riskhantering Enterprise Risk Management ERM

Intern kontroll och riskbedömningar. Strömsunds kommun

Riskhantering & Informationssäkerhet. Agneta Syrén Säkerhetschef/Informationssäkerhetschef Länsförsäkringar AB

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Arbetet med intern kontroll inom KSK och förslag till tidplan för upprättade av intern kontrollplan under 2006

Policy för internkontroll för Stockholms läns landsting och bolag

Revisionsplan för Linnéuniversitetet 2015

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

REVISIONSPLAN FÖR ÅR 2012

IT-säkerhet Externt och internt intrångstest

Internrevisionen Förslag till revisionsplan för år 2008 Christina Wannehag Dnr B 5 350/08

Riktlinjer för internrevisionen vid Sida

Kontroll över IT för efterlevnad och framgång. Johanna Wallmo Peter Tornberg

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

STADGAR FÖR FÖRENINGEN MILJÖREVISORER I SVERIGE (reviderade )

Regler och riktlinjer för intern styrning och kontroll vid KI

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Reglemente för internkontroll

Bolagsstyrningsrapport Gävle Energi AB

Anvisning för intern kontroll och styrning

Förstudie. Nerikes Brandkår. Diarieföring av allmänna handlingar Ref Roger Wallin

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Internrevisionsförordning (2006:1228)

Internrevision. Exemplet Linköpings Universitet. 26 February 2007 Unn Forsberg, Internal Audit,

Köpguide för mobila växlar. Modern telefoni till företaget är långt ifrån vad det var för bara några år sedan.

Governance, Risk & Compliance EBA Guideline 44

E-post detektiver. sök volontärer för att uppdatera medlemsregistret med aktuella e-postadresser

Fem steg för bästa utvecklingssamtalet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Ny information om CIA-proven

Revisionsplan för Linköpings universitet 2008.

Revisionsplan juli 2014 t.o.m. februari 2015

Instruktion för internrevisionen vid Malmö högskola

Riktlinjer för intern kontroll i Örebro kommun

Compliancefunktionen och de nya regelverken från FI om intern styrning och kontroll. Lina Rollby Claesson, Compliance Forum

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Internre vision. Nummer Internrevisorer på besök i Houston, Texas

Dnr Rev Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB

Någonting står i vägen

Revisionsrapport: Förebyggande arbete mot mutor och jäv

Granskning intern kontroll

Lokala regler och anvisningar för intern kontroll

Instruktion för Internrevision vid Linköpings universitet

Riktlinjer för intern kontroll

TALENT MANAGEMENT BAROMETERN 2014

Stadgar för ISACA Sweden Chapter. Gäller fr.o.m. 2014/05/26

Revisionsrapport. Sveriges Lantbruksuniversitets årsredovisning Sammanfattning

CHEFENS KOMMUNIKATIONSVERKTYG VERSION 2.2

Länsförsäkringar Skåne

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Internrevisionens revisionsplan 2008

Revisionsrapport. Lantmäteriverket - Skydd mot mutor och annan otillbörlig påverkan. Sammanfattning

Revisionsplan för Linnéuniversitetet 2016

Arbetsordning. Södertälje kommuns revisorer

Arbetsplatsbesök med syfte att rekrytera förtroendevalda

Plan för gemensamma aktiviteter Strategi för den statliga arbetsgivarpolitiken

Frågor om internrevision

RAPPORT. Årsrapport Internrevision Sammanfattning. 2. Aktiviteter under 2017

Ersättningspolicy. iaib AB. Upprättad av Andreas Olsson Godkänd av Styrelsen Version iaib AB

Anmälan om. schablonmetoden, operativ risk

Ensamrevisorer i statliga myndigheter 2007

REMISSYNPUNKTER PÅ BOLAGSSTYRNINGSFRÅGOR I EU- KOMMISSIONENS FÖRSLAG TILL MIFID II

Regler för användning av Riksbankens ITresurser

Policy för intern styrning och kontroll

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

IT-verksamheten, organisation och styrning

Bläddra vidare för fler referenser >>>

Nyheter inom internrevision.

HUR MAN LYCKAS MED BYOD

Göteborg Energi AB. Självdeklaration 2012 Verifiering av inköpsprocessen Utförd av Deloitte. 18 december 2012

Riktlinjer för intern kontroll

PROJEKTSKOLA 1 STARTA ETT PROJEKT

Revisionsplan 2016 Internrevisionens riskanalys och revisionsplan

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Verksamhetsplan 2007 för

Hantering av IT-risker

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Uppföljning Macorena AB

ERSÄTTNINGSPOLICY Bakgrund Definitioner Nordiska Kreditmarknadsaktiebolaget Stockholm

Denna kvalitetskod är en stor uppdatering och förändring jämfört med tidigare kvalitetskod från 2007.

Vilket mervärde ger certifiering dig?

Kursutvärdering psykiatrikurs jan-feb 2007, 5 halvdagar

Att ge feedback. Detta är ett verktyg för dig som:

VI BILDAR FÖRENING. Information från Kultur och Fritid, Nyköpings kommun

Internkontrollinstruktion Övergripande beskrivning av hur Kiruna kommun avser att arbeta med intern kontroll

Ett år i föreningen. Styrelsemöten. Årsmöte

Intern kontroll och Riskhantering

Ramverk för systemförvaltning

Transkript:

Internrevision Nummer 2 2006 Vilka risker tar internrevisorn?

intern revision Tidskrift om internrevision. Utgiven av Internrevisorerna Nummer 2, april 2006 Material för publicering skickas direkt till tidningens e-mail adress info@internrevisorerna.se eller till Yvonne Alnebjer, adress se nedan Redaktionskommittén består av följande personer: Peter Strandh, redaktör Ernst & Young AB, Box 7850, 103 99 Stockholm tel 08-520 590 00, fax 08-520 516 45 E-post: peter.strandh@se.ey.com Yvonne Alnebjer, redaktionssekr/layout KPMG, Box 49, 721 04 Västerås, 021-10 62 82, fax 021-10 62 88 E-post: yvonne.alnebjer@kpmg.se Inga Astorsdotter, Uppsala universitet, Box 256, 751 05 Uppsala Tel: 018-471 1802, mobil: 070-425 0378 E-post: inga.astorsdotter@uadm.uu.se Johanna Conradsson, ICA AB, 171 93 Solna tel 08-561 506 22, fax 08-561 513 19, mobil 073 765 02 45 E-post: johanna.conradsson@ica.se Åsa Wallberg, Internal Audit Activity, R 552, Nordea, 105 71 Stockholm tel: 08-614 75 63, mobil: 0733-50 15 75 E-post: asa.wallberg@nordea.com Nästa nummer: Manusstopp den 5 juni 2006. Prenumeration: 300 kronor per år för icke medlem. Annonser: Baksida 15.000 kronor Annons helsida 8 000 kronor, halvsida 6 000 kronor. Flergångsannons 10 procent rabatt. Alla priser exkl moms. Ansvarig utgivare: Guidon Berggren ISSN: 1401-8950 Tryck: Westerås Media Produktion, Västerås Bilder: Redaktionen och medlemmar - - - Klas Schöldström, (Generalsekreterare) Internrevisorerna, Kontoret Strandvägen 7 A, Strandvägen 7 A, 114 56 Stockholm tel 08-586 107 66, E-post: klas.scholdstrom@internrevisorerna.se Hans Löfgren, (Internationell rådgivare) PWC, 113 97 Stockholm, tel 08-555 340 19 E-post: hans.lofgren@se.pwc.com Elisabeth Styf, (Internationell rådgivare och styrelseledamot i ECIIA) Skandia, Sveavägen 44, 103 50 Stockholm Tel 08-788 18 07, fax 08-788 44 80, mobil 070-556 88 90 Elisabeth.Styf@skandia.se Sten Bjelke, (Internationell rådgivare och ordförande i Etiknämnden) Källvägen 17, 122 62 Enskede tel 08-39 85 25, fax 08-39 85 25, mobil 070-715 36 50 E-post: sbjelke@bredband.net Kontaktpersoner Styrelse och kommittéer Guidon Berggren ordförande, KPMG, Box 49, 721 04 Västerås tel 021-20 62 80, fax 021 10 62 88 E-post: guidon.berggren@kpmg.se Ann-Charlotte Klingberg, vice ordförande, Securitas CHS Holding AB, Box 902, 170 09 Solna tel 08-522 920 22, fax 08-522 920 10, mobil 070-268 78 60 E-post: anncharlotte.klingberg@securitas.se Charlotta Löfstrand Hjelm, sekreterare, AFA, Klara Södra Kyrkogata 18, 106 27 Stockholm, tel 08-696 40 30, fax 08-696 39 71 E-post: charlotta.hjelm@afa.se Carina Petersén - Malmström, (Marknadskommittén), Skandia Liv, 103 50 Stockholm, tel 08-788 28 94, fax 08-788 10 40 E-post: carina.petersen@skandia.se Ingmari Öhman, ledamot Svenska Röda Korset, Box 175 63, 118 91 Stockholm, tel 08-452 46 13, mobil 0730 40 46 13 E-post: ingmari.ohman@redcross.se Ulla-Kari Fällman, (Utbildningskommittén) Sveriges Lantbruksuniversitet, Box 7082, 750 07 Uppsala tel 018-67 19 35, fax 018-67 20 00, mobil 070-567 19 35 Lars Agerberg, ledamot Skandia Insurance Company Ltd, Sveavägen 44, 103 50 Stockholm tel 08-788 27 09, fax 08-788 44 80, mobil 070-366 27 09 Richard Minogue, ledamot Hibis Scandinavia, Apelbergsgatan 36, 111 37 Stockholm Tel 08-41 00 62 55, fax 08-20 63 00, mobil 0733-708 78 18 55 Bernt Gyllenswärd, ledamot SEB, ST M1, 106 40 Stockholm Tel 08-763 61 12, fax 08-678 27 12, mobil 070-763 89 50 E-post: bernt.gyllensward@seb.se Harald Lööf, ledamot ICA AB, Svetsarvägen 16, 171 93 Solna Tel 08-5615 00 00, fax 08-29 13 67 E-post: harald.loof@ica.se - - - Bo Myrup, (Nomineringskommittén) Karolinska Institutet, 171 77 Solna, tel 08-524 865 56 E-post: bo.myrup@admin.ki.se Lars Gyllenswärd, (IT-kommittén) KPMG - IRM, Box 16106, 103 23 Stockholm tel 08-723 92 18, fax 08-723 91 77 E-post: lars.gyllensward@kpmg.se Yvonne Alnebjer, (Redaktionskommittén), KPMG, Box 49, 721 04 Västerås, tel 021-10 62 80, fax 021-10 62 88. E-post: yvonne.alnebjer@kpmg.se 2 InternreVision 2006/02

Innehåll nr 2 2006 4 Redaktören 6 Ledaren 7 Från årsmötet 8 CIA-spalten 9 Intervju med Peter Strandh 10 COSO för riskhantering 14 Ökade krav på intern kontroll i den finansiella rapporteringen - Innebär ökat fokus på IT 17 17 Svår hackerattack stora återställningsproblem 20 IT-kommittén 21 Internrevisorernas Etiknämnd Yrkesstrategiska gruppen 22 Internrevisionsdagarna 2006 23 23 Nätverksträffar - Riskbaserad revisionsplan - Vad händer efter revisionsrapporten? 24 Outsourcing av ITproduktion 26 Utveckling A och O för Nordeas revisorer 27 Besök från Moçambique 28 Nya medlemmar intervjuas 30 ESV 30 Granskning klar vid Universitetet i Oslo 32 Kurs i Kvalitetssäkring 32 33 33 Reportage från COSOkurs 34 Från kansliet Internal Auditor Intresserade medlemmar Internrevisorernas kansli: Internrevisorerna Kontoret Strandvägen 7 A 114 56 STOCKHOLM Telefon till kansliet, Klas Schöldström, tel 08-586 107 66, fax 08-660 65 89 e-post: klas.scholdstrom@internrevisorerna.se Är du intresserad av att lära känna några av dina kollegor runt om i Sverige och för övrigt även i andra länder? Är du intresserad av att utveckla dig själv i ämnet intern revision och samtidigt verka för Internrevisorerna? Föreningens e-postadress: info@internrevisorerna.se Hemsidans adress är: www.internrevisorerna.se InternreVision 2006-02 3

Redaktören Peter Strandh första gången som redaktör Peter Strandh Första gången som redaktör När vi träffar andra människor för första gången ansikte mot ansikte har vi mindre än en minut på oss att göra ett första intryck. Undrar hur många rader jag som ny redaktör har på mig för att göra ett första intryck? Kan väl egentligen kvitta när jag nu helt frivilligt sitter ännu en sen vardagskväll framför datorn och plitar på dessa rader. Jag tycker det skall bli intressant och roligt att som ny redaktör för Internrevision kunna vara med och utveckla, inte bara tidningen, utan kanske även synen på yrket som internrevisor. Det är många saker som trycker på när dessa första rader skall fram. De är inte alls heltäckande men om jag nu ändå är redaktör så kan jag väl passa på och sticka ut hakan inom några områden. Nyttiga lärdomar av SOX 404 Inte sällan känns det i debatten som att de i näringslivet med mest negativa synpunkter på SOX 404 är de som de facto inte har några praktiska erfarenheter av arbetet. Det finns en hel del att lära av SOX 404, såsom vikten av en god generell IT-kontrollmiljö. En av de artiklar som ni kan läsa i detta nummer belyser just denna frågeställning. Det finns en del annat att lära av SOX 404, som att företag nu inser hur viktigt det är med starka bolagsövergripande kontroller, det vill säga tydliga regler för vad som är acceptabelt och vilka regler som gäller i en organisation. Vi har också genom SOX 404 sett några revivals i form av att COSO-ramverket, som skrevs i början av 90-talet och hittills levt en tynande tillvaro, nu åter är i ropet som det i stort sett enda globalt accepterade ramverket för god intern kontroll. Ett annat område är Control-Self-Assessement/självutvärdering (CSA) som jag föreläste om på internrevisorernas höstkonferens 1998. Fler företag ser nu seriöst över hur CSA kan implementeras som ett komplement till internrevisionens granskningar. Vad vill ni läsa om? Redaktionskommittén behöver idéer och uppslag till artiklar samt även hjälp med att skriva artiklar i olika ämnen. Frågan är vilka områden vi skall täcka. Vill ni ha flera hemma-hos-reportage eller skall vi höja ambitionen och även ta med artiklar om revisionsteknik? Externrevisorernas tidning Balans utan redovisningsfrågor skulle bli rätt platt eller? Hur får vi fler läsare till vår tidning? Om det nu är det vi vill? Hur får vi ledande befattningshavare och styrelser att läsa vår tidning? Varför inte fler artiklar med innehåll om hur internrevisorer skapar värden för de organisationer och företag de arbetar inom? Detta kräver dock engagemang från er läsare, att vara villiga att dela med er av era konkreta erfarenheter hur ni dagligen skapar mervärden till era organisationer. 4 InternreVision 2006/02

Redaktören Internrevision i medvind Som internrevisor läser jag i år med speciellt intresse de noterade och statligt ägda företagens årsredovisningar för 2005 och deras hemsidor. Där letar jag fram internkontrollrapporten för att se vilka företag som har internrevisor. Men vad som framförallt är av intresse är vilka förklaringar de företag har som inte har internrevision och varför de inte anser sig behöva internrevision. Jag kan dessutom tänka mig att många företag kommer att skriva att de för närvarande håller på och utvärdera behovet av sådan funktion. Blir spännande att se om antalet företag med internrevisionsfunktion ökar. Internrevision är hett. Det är många företag/organisationer som nu inrättar en ny funktion för internrevision. Några exempel är Securitas, Stena, Finansinspektionen, BGC, Assa Abloy och fler överväger detsamma. Den svenska bolagsstyrningskoden kan komma att visa sig vara mycket nyttig för yrkesgruppen internrevisorer. Oaktat vad många tycker är CIA (Certified Internal Auditor) fortfarande den enda globalt accepterade kvalitetsmärkningen och certifieringen av internrevisorer. Se på CISA som idag i stort sett ses som ett grundkrav för att kunna verka som IT-revisor. Men det finns mycket kvar att göra Hur kommer det sig att många verkar tycka att vara managementkonsult är bland det sexigaste man kan göra till skillnad från att bara vara internrevisor? Vad är det en managementkonsult kan göra som inte en internrevisor kan göra bättre? Internrevisorerna borde ha utmärkta förutsättningar att genomföra väl så intressanta och relevanta projekt/granskningar då de dels arbetar långsiktigt i en organisation över flera år och dels att de har direkt tillgång till den verkställande ledningen. En av utmaningarna för internrevisorer är förmågan att utöka sin arsenal av riskområden att utvärdera hanteringen av och inte köra Same procedure as every year. Det vill säga ett antal ständigt återkommande uppföljningsgranskningar av områden som man i och för sig behärskar bra men som med åren blivit söndergranskade. Vi måste hela tiden våga oss ut på ny mark och förändras i takt med våra organisationer. Ett annat positivt tecken som jag ser i min dagliga yrkesutövning är att antalet uppsatser på våra universitet inom områden som internrevision, internkontroll och risk management ökar. Kan detta på sikt medföra att vi får fler yngre och välutbildade till internrevisorer? När våra uppdragsgivare i form av styrelse, VD och GD m.fl. (in)ser att en kompetent internrevisionsfunktion är av strategisk vikt och ger konkurrensfördelar, innebär detta då att vi har nått målet? Sist men inte minst. Darwin lär ha sagt något i stil med It is not the strongest of the species that survive, nor the most intelligent. Rather, it is those most responsive to change. Eder ödmjuke Peter Strandh Tack! På Internrevisionsdagarna skrev Kerstin Dahlblom, KPMG, detta rim. På ett granskande argusöga Ställs kunskapskrav så höga En dos inspiration Ger hjärnan din motion Du behöver vara visionär Lite hjälp det får du här Kerstin vill ge alla sina kollegor, internrevisorer, tidningen InternreVision som hon tycker ger inspiration. Som tack för de vänliga raderna om tidningen ger vi henne en chokladask till påsk. InternreVision 2006-02 5

Ledaren Trädgårdsskötsel med många plantor påverkat de nuvarande beslutsfattarna, 40-talisternas syn på trädgårdsodling. Det gäller för oss att visa upp vad vi kan om vi ska kunna skörda frukterna framöver. Guidon Berggren Årsmötet var det första för mig som ny ordförande. Det kändes lite omtumlande eftersom vi inte ännu har allt på plats. Det frö vi omhuldade förra året var ekonomin eftersom den var eftersatt och innebar att vi inte fick den blomning som vår förening har gjort sig förtjänt av. Vi lyckades med den målsättningen och fröet slog ut i full blom med ett kanonresultat som följd. Vi lyckades med utbildningen och fick igång ett bra utbildningsprogram. I år ska det bli ännu bättre och utbildningskommittén har satt en hög målsättning med ett större utbud av kurser. Vi måste också få igång erfarenhetsgruppen och nätverken så att utbudet till alla våra medlemmar att förkovra sig i yrket tillgodoses. Ann-Charlotte Klingberg kommer att samordna och odla den verksamheten, så här känner jag en stor tillförsikt. Internrevisionsdagarna blev också mycket lyckade förra året och vi lärde oss en hel del inför framtiden. Bernt Gyllenswärd är den ledande trädgårdsmästaren för det team som redan är i full gång med planteringen. Det gäller för teamet att välja sorter som passar alla så att utbudet blir så stort och intressant som möjligt. Jag är helt övertygad om att vi kan se fram emot intressanta och innehållsrika Internrevisionsdagar den 23-24 november. Kansliet hade stor resursbrist förra året och kunde inte ge den service som erfordrades för att skapa en bra trädgård. I år ska vi försöka rätta till detta och ger kansliet all den näring och resurser som behövs för en förbättrad medlemsservice. Det är ingen lätt uppgift men med en generalsekreterares goda insikt och vilja så kommer kansliet att bli framtidens växthus. Det var glest mellan plantorna på årsmötet trots att vi hade en av Sveriges främsta revisorer som inledningstalare. Det tyder på ett visst ointresse för trädgårdsskötseln inom föreningen, så den nya styrelsen har som sin främsta uppgift inför detta år att plantera in fler intressanta sorter för att få trädgården att blomstra. Caj Nackstad påpekade i sitt inledningstal att det är nu som vi har en osedvanligt bra jordmån för att bruka jorden. Det har varit rena öknen tidigare vilket Jag fick en inbjudan att hålla ett anförande på Risk Forum, en konferens som anordnades av SWERMA (Swedish Risk Management Association). Det var min första externa uppgift som ordförande och det kändes riktigt bra att komma igång med marknadsföringen och att synas ute på marknaden. Jag pratade under rubriken Internrevisionens roll i ERMprocessen och responsen från deltagarna blev mycket positiv. Kunskapen om internrevision visade sig vara bristfällig trots att Risk Management ligger så nära vår profession. Vi enades om att försöka hitta former för att utveckla ett samarbete mellan våra organisationer vilket skulle stimulera både dem och oss. Det här ska bli kul och jag tycker vi har mycket att ge. Men det gäller att vi alla ställer upp och ger allt för att få professionen känd och respekterad på marknaden. Alla insatser, stora som små, och varje möte med beslutsfattare är ett säljtillfälle av ett enormt stort värde för professionen. Hoppas alla tänker på det vid varje tillfälle. Vår tid är nu! 6 InternreVision 2006/02

Caj Nackstad från KPMG inledningstalade Caj Nackstad inledningstalade vid årsmötet Ambitionen bör naturligtvis vara att återskapa värdet i begreppet internrevision, men det är en betydligt jobbigare resa. Konjunkturen är nu lysande för internrevision efter Corporate Governance skandalerna. Som externrevisor anser Caj att det är lönsamt med internrevision i alla större företag. Internrevisionen behöver inte vara stor, men den skall vara vass! Caj pekade också på möjligheten att använda personer i organisationen utanför internrevisionsfunktionen som deltagare i teamen, eller outsourcing av hela eller delar av internrevision. Inledningstalare vid årsmötet var Caj Nackstad från KPMG som är en av Sveriges topprevisorer med nio uppdrag bland börsbolagen. Caj inledde med att han var tacksam för att bli inbjuden att tala vid vårt årsmöte och att han hade för avsikt att vara ärlig och uppriktig, inte nödvändigtvis stryka medhårs. Hans huvudbudskap var att internrevisorer har ett rejält problem med sitt varumärke. Många av dagens viktiga beslutsfattare fick sin bild av vad internrevision är på 1970- och 80-talen, och då var internrevision väldigt löst definierat, spretigt och man sysslade med många olika saker som att vara en del av in- ternkontrollen, till exempel granska reseräkningar. Man arbetade inte alltid enligt en revisionsplan, utan mer ad hoc och rekryteringen var tyvärr ibland av karaktären att personer som blivit över på andra håll placerades hos internrevisionen. När man i dag diskuterar att inrätta internrevision vid bolag blir därför tyvärr reaktionen ibland nej, nej, nej det där skall vi inte ha tillbaka. Caj menade att det därför många gånger i dag skulle vara lättare att kalla internrevisionen för något annat som inte är belastat med negativa associationer för vissa viktiga beslutsfattare, till exempel Management Assurance. Caj tycker att internrevisionens Professional Practices Frame-work är en grundlig och bra checklista, men tycker att den har litet väl många ord och är litet för amerikansk. Han tycker också att den blir litet vidsträckt då den måste täcka så många olika typer av internrevision. CIA ser han som ett utmärkt verktyg att bygga en professionell ackreditering på i kombination med medlemskap i vår globala förening. Caj ser det som en kvalitetsstämpel och uppmanade oss gör mer av det! Klas Schöldström InternreVision 2006-02 7

Från årsmötet Vi var 28 medlemmar som tisdagen den 28 mars samlades i SEBs lokaler vid Sergels Torgs för att, efter ett inledande anförande av Caj Nackstad, genomföra föreningens årsmöte. Till årsmötets ordförande valdes Andes Hult och till dess sekreterare undertecknad, Charlotta Löfstrand Hjelm. Årsredovisningar för både föreningen och föreningens bolag ISAB redovisades samt fastställdes och styrelsen beviljades ansvarsfrihet för det gångna året. Val av styrelsen för 2006 genomfördes på föreningsmöte i samband med Internrevisionsdagarna 2005 och något fyllnadsval var ej aktuellt. Till Etiknämnd valdes Sten Bjelke (Ordförande) och som ledamöter Maria Nikula samt Gunilla Werner Carlsson. En ny instruktion för denna nämnd antogs också. Övriga val genomfördes i enlighet med valberedningens förslag. I övrigt behandlades och godkändes budget för 2006 inklusive styrelsens förslag till avgifter till förening och bolag. Utskickade förslag till stadgeändringar godkändes och i enlighet med ändrade stadgar valdes Ann-Charlotte Klingberg till vice ordförande. Några motioner var ej inlämnade. Protokollen kommer du kunna ta del av om du besöker föreningens hemsida. Charlotta Löfstrand Hjelm Styrelsens sekreterare CIA-spalten Hej alla blivande och nuvarande CIA, CCSA och CFSA! Harriet Sundaeus förlåt att jag glömde bort att ta med dig i förra spalten i uppräkningen över dem som klarat alla fyra delarna vid ett och samma tillfälle. Jag förstår att du var besviken då men jag vill gärna, om än lite försenad, även framhålla din goda prestation, tillsammans med de två som uppmärksammades i förra spalten! Våren är nästan här känner ni det och ett säkert vårtecken är att anmälningarna till CIA-proven i maj haglar in!! En intressant iakttagelse de tre sista dagarna i mars är posttrafiken het men är det verkligen så att alla bestämmer sig just dessa dagar? I alla fall vill jag påstå att till denna tentamensomgång är det all time high, både vad avser antal deltagare och antal avlagda prov. Vi har idag, när anmälningstiden gått ut, 64 personer som tillsammans avser att skriva 119 delprov. Imponerande! Och det roliga är att det inte längre är del I som har flest deltagare utan del II, vilket jag tolkar som att vi har ett större antal som nu verkligen har bestämt sig för att genomföra alla delproven. Så jag och föreningen ser fram emot att få dela ut fler diplom och nålar till nya CIAs framöver. Summerar vi antalet efter de två provomgångarna fick vi 16 nya CIA och en ny CCSA i Sverige efter proven avlagda 2005. Här kommer en pekpinne/påminnelse i repris! För de CIA som efter 2005 ska rapportera in sina CPE-poäng vill jag än en gång påminna att den rapporten ska skickas till mig och inte direkt till USA, trots vad som står på IIAs hemsida. Det har varit en hel del fram och tillbaka om när man ska rapportera och även den här spalten har tyvärr bidragit till förvirringen. IIA har dock verksamt bidragit till att minska förvirringen genom att konstatera att det är slutsiffran i medlemsnumret som avgör när rapportering ska ske. Nu gäller det alltså för dem som 2006 ska rapportera sina CPE-poäng för 2005 och 2004 ja just det, ni som har jämn slutsiffra i medlemsnumret - att plocka upp blanketten på hemsidan och skicka den till mig. Det finns tyvärr ingen chans att bli först i år den första rapporten kom till mig redan den 3 januari! Jag har fått en färsk fil över CIA och CCSA i Sverige från IIA. Där kunde jag se att det är en del som fortfarande står som aktiva CIA trots att de numera jobbar med annat eller har gått i pension. Får jag be alla er som inte riktigt minns om ni meddelat förändrad yrkesstatus till CIA-samordnaren tidigare att göra en anmälan till mig. Detta påverkar också kravet på inrapportering av CPE-timmar, så korrekta uppgifter i våra register sparar en del arbete för mig som ska fråga och för er som ska svara! Tusen tack på förhand för den hjälpen! Jag ser fram emot en hel drös av meddelande om CPE-poäng och uppdatering av yrkesaktivitet! Vänliga vårhälsningar Gunilla gunilla.wernercarlsson@kpmg.se 8 InternreVision 2006/02

Intervju med Peter Strandh Vem är den nye redaktören? En strålande vårdag då snön börjar smälta från hustaken beger jag mig till Ernst & Youngs kontor i Stockholm för ett möte med den nye redaktören, Peter Strandh. En ny utgåva av Internrevision ska fram och det är viktigt att vårt samarbete kommer att fungera. Peter möter mig med ett glatt leende och starkt handslag och jag känner mig väl till mods när jag börjar min intervju. Vem är du Peter och hur ser ditt liv ut idag? Jag är uppvuxen i Västerort och bor i en villa i Solhem i gamla Spånga. Bor tillsammans med sambon Margareta och dottern Eleonora som är 17 år och går på Kungsholmens Gymnasium. Jag är Partner hos Ernst & Young sedan 1997, auktoriserad revisor sedan 1989 och även CIA sedan november 2004. Hur ser din bakgrund ut innan du kom till Ernst & Young? Min yrkeskarriär som externrevisor påbörjades redan 1980 på Oskar Silléns Revisionsbyrå som nu är en del av Ernst & Young. Jag har även hunnit med att arbeta som externrevisor och delägare hos Arthur Andersen och Peters & Co samt prövat på jobbet som administrativ chef på Globetrotter Tour Production. Hur kom det sig att du började som revisor? Anledningen till yrkesvalet som revisor beror nog framförallt på att jag hade en lärare på universitetet, Jörgen Schumacher, som var en stor förespråkare för yrket som externrevisor. Hur länge har du arbetet med internrevision och hur arbetar du idag? Jag har arbetat med internrevisionstjänster i olika former alltsedan 1996. Inom Ernst & Young ansvarar jag för Risk Advisory Services som har drygt 100 anställda medarbete i Stockholm och Göteborg. Området innefattar kompetens inom bl a internrevision, IT-revision/säkerhet, riskhantering, operational improvements, bedrägeriutredningar, processförbättringar och intern kontroll. Hinner du med några fritidsintressen? Ja, intresset framför allt är att köra motorcykel och jag kör sedan tre år tillbaka en BMW K1200 GT, hackar mig fram på golfbanan och så gillar jag segling. Jag ser gärna på japanska mangafilmer. Dessutom är jag född AIKare. I övrigt gillar jag musik med Elvis Costello, Nick Lowe, David Byrne och nu även Laleh som har en grym låt som heter Bostadsansökan. Lyssna och njut... Hur ser du på din roll som redaktör för tidningen Internrevision? Det blir en spännande uppgift och utmaning inte minst tidsmässigt med tanke på mitt övriga så digra schema med det faktum att jag redan nu jobbar ca 50-60 timmar per vecka. Då jag har svårt att säga nej, framförallt till nya kunder, så kom det även att gälla när Guidon Berggren för några månader sedan undrade om inte jag hade lust att ta över rollen som redaktör för tidningen Internrevision. Självklart, blev den snabba responsen då jag direkt såg det som en ny och intressant utmaning framförallt med tanke på den positiva framtid som internrevisionen har framför sig. Som ny redaktör för tidningen Internrevision ser jag mycket fram emot att få vara med och utveckla densamma för våra medlemmar men även se om vi inte kan skapa ett intresse för tidningen hos beslutsfattare som påverkar yrket som internrevisor. - - - Jag återvänder hem till arbetet med Utgåva 2 och önskar Peter lycka till. Yvonne Alnebjer Redaktionssekreterare InternreVision 2006-02 9

COSO COSO för riskhantering Text: Torbjörn Wikland, Regeringskansliet I den förra artikeln - om COSO för intern styrning och kontroll - konstaterades bl.a. Att den första COSO-rapporten Internal Control Integrated Framework gäller fortfarande oavsett att den nya rapporten Enterprise Risk Management Integrated Framework har kommit ut. Sambanden mellan de två ska jag belysa i denna artikel Att de nya kraven på finansiell rapportering och, bakom den, uttalandet om den interna kontrollen hos börsbolagen inte får förvilla oss. COSO: s ramverk för intern styrning och kontroll är bredare än så. Den syftar minst lika mycket till bättre förutsättningar för en effektiv verksamhet och förmåga att följa lagar och riktlinjer. Att många vill vidga fokus från den finansiella rapporteringen till all intern rapportering. Stöd för detta kan sägas komma i just COSO: s ramverk för riskhantering. Även detta ska jag beröra. Först definitionen av riskhantering i COSO: s nya ramverk Så här definieras riskhantering (Enterprise Risk Management ERM): Ett företags riskhantering är en process, formad av företagets styrelse, ledning och annan personal, utförd inom ramen för strategisk planering och över hela företaget, skapad för att identifiera händelser som kan påverka företaget, och hantera risker inom ramen för dess accepterade risknivå och ge rimlig försäkran om att företagets mål kan uppnås (min översättning). Notera två skillnader jämfört med definitionen för den interna styrningen och kontrollen: a) hänvisningen till företagets styrelse och ledning och omnämnandet av strategisk planering flyttar fokus högre upp i företaget, b) begreppet intern styrning och kontroll är inte omnämnt. Riskarbetet knyts till företagets mål som är uppdelade i fyra kategorier: Strategiska det vill säga sådana som avser mål på hög nivå, nära knutna till och stödjande företagets syfte Operationella som avser effektiv och produktiv användning av företagets resurser Rapportinriktade som avser tillförlitligheten i ett företags rapportering Lag- och regelinriktade som avser företagets följsamhet mot gällande lagar och regler Tre av de fyra målkategorierna känner vi igen från ramverket för intern styrning och kontroll. Den nya kategorin är de strategiska målen. En mindre men viktig skillnad är också att all rapportering ska beröras i riskhanteringen inte bara finansiell rapportering. Fem komponenter har blivit åtta Ett företags riskhantering utgår ifrån det sätt som ledningen sköter ett företag och är integrerad i ledningsprocessen. Riskhanteringen, säger COSO, består därför av åtta sammankopplade delar: 1. Den interna miljön, 2. målformulering, 3. händelseidentifiering, 10 InternreVision 2006/02

COSO 4. riskvärdering, 5. riskåtgärder, 6. kontrollaktiviteter, 7. information och kommunikation och 8. uppföljning och utvärdering. De fem komponenterna för god intern styrning och kontroll har i riskhanteringen blivit åtta komponenter. Vid närmare granskning framgår både likheter och skillnader mellan de två perspektiven: Den interna miljön i riskhanteringen motsvarar i stort Samtliga det EU:s som medlemsstater kallas kontrollmiljön fanns representerade för den interna vid konferensen styrningen och kontrollen och har fokus på de mjuka värdena i företaget. Det nya är främst betoningen att ledningen ger riktlinjer som gäller risk och etablerar en nivå för riskacceptans. Målformulering Det är en ny komponent jämfört med komponenterna för den interna styrningen och kontrollen. I det ramverket noterades endast att formulerade mål är en förutsättning för riskbedömning och kontroll. I ramverket för riskhantering kopplas formulerandet av bra mål till riskanalysen så att företagets mål är konsistenta med dess nivå för riskacceptans. Riskbedömning har blivit tre komponenter i ramverket för riskhantering händelseidentifiering, riskvärdering och riskåtgärder. Det markerar behovet av en mer strukturerad riskanalys men innehåller också en helt ny aspekt: Det inbegriper att urskilja händelser som representerar risk och sådana som representerar möjligheter, och sådana som är bådadera. Möjligheter kanaliseras tillbaka till ledningens strategi eller processen för målformulering. Risker är således inte bara negativa utan även positiva ( downside risks och upside risks är vanliga uttryck på engelska). Vad står då det nya ramverket för? 1. Själva rapporten (COSO Enterprise Risk Management Integrated Framework) kom 2004 och liknar till det yttre den tidigare om intern styrning och kontroll från 1992. Den är således ingen handbok utan en beskrivning av och ett ramverk för vad som utmärker god riskhantering. Som antytts ovan inkluderar den definitioner av viktiga begrepp. Dessutom har den en utförlig bilaga med många exempel på metoder i riskhanteringsarbetet. 2. Den nya rapporten är ett fristående komplement till den tidigare COSO-rapporten. COSO-rapporten om riskhantering är således ingen uppdaterad version av den tidigare rapporten om intern styrning och kontroll. I den nya rapporten fördjupas behandlingen av riskfrågorna samtidigt som den knyts tydligare till företagsledningen och dess ledningsperspektiv. Fokus ligger på företagsledningens mer dynamiska perspektiv kopplat till dess behov av underlag för mer strategiska överväganden där företaget återkommande möter nya hot och möjligheter för att växa och överleva. Det betyder att COSO kan se riskfrågor kopplade till intern styrning och kontroll som delvis InternreVision 2006-02 11

COSO skilda från företagets övergripande riskhantering. I det första perspektivet (intern styrning och kontroll) är utgångspunkten främst att förbättra företagets/organisationens förmåga att fungera säkert och effektivt utifrån givna mål och förutsättningar. Praktiskt blir det ofta en fråga för en eller flera controllers i den operativa verksamheten. I det andra perspektivet (riskhantering) vidgas riskfrågorna till att inkludera även företagets/organisationens förmåga att växa och överleva i ett större perspektiv. Då är det närmast en fråga för en Risk Manager funktion även om ett företag kan välja att knyta samman dessa två funktioner i en. 3. Det finns även inslag av uppdatering av den tidigare COSO-rapporten Som redan antytts innehåller den andra COSOrapporten några förändrade synsätt, begrepp och ansatser jämfört med den första COSO-rapporten och finns sammanfattade i en bilaga till rapporten. Det kan även tolkas som en mindre uppdatering av den första rapporten och svarar väl mot invändningar och kompletteringar som framförts i bland annat de engelska, kanadensiska och australiska rapporter som nämnts i den tidigare artikeln: Det gäller målet att trygga all rapportering i företaget, inte bara den finansiella rapporteringen. Denna utvidgning kan, som bland annat. internrevisorer påpekat, direkt överföras till målen för god intern styrning och kontroll. I auktoritativa uttalanden från arbetet med den nya bolagskoden i Sverige har redogörelsen på denna punkt för den första COSO-standarden varit oklar. I den andra rapporten påpekas också behovet av att ställa samman riskbilder från olika delar av verksamheten och göra helhetsbedömningar av riskerna i hela företaget. Därmed kan de avdelningseller områdesspecifika riskvärderingarna och åtgärderna komma att förändras. Denna fråga berörs bara flyktigt i den första COSOrapporten. Riskbegreppet utvidgas och preciseras på flera sätt i den nya rapporten och kan också överföras till den interna styrningen och kontrollen. De positiva riskerna (som är nära kopplade till själva företagandet) finns med. Samtidigt preciseras behovet av att företagsledningen ger uttryck för den risknivå som kan accepteras i företaget. Här bör dock tilläggas att de positiva riskerna är en aspekt som kan vara svår att överföra till svensk statsförvaltning eftersom dess mål är satta av regering och riksdag. Enkelt uttryckt blir frågan om de positiva riskerna snarast en fråga för den politiska ledningen och inte för myndigheterna. Här finns således en skillnad mellan företag och myndigheter. Vad händer framöver med COSO: s nya ramverk? a. Även om Enterprise Risk Management funnits som begrepp under flera år kan man räkna med att COSO: s nya ramverk efter hand kommer få stor betydelse framöver. Hur utvecklingen mer i detalj kommer att bli är dock svårt att säga. Enkätundersökningar visar att det fortfarande är en minoritet företag som har ett fullt utvecklat ERMperspektiv implementerat. Hur man i ett företag, en myndighet eller annan organisation förverkligar COSO: s ramverk för riskhantering måste dels avgöras utifrån de specifika förutsättningar som gäller företaget, dels utifrån en värdering av de olika handböcker, checklistor och synsätt som bedöms lämpliga för ett införande. b. Till bilden hör också att genomslaget för COSO: s ramverk för intern styrning och kontroll med all sannolikhet inte är slut. COSO är nu på väg med en ny rapport om intern styrning och kontroll i mindre noterade företag (remissutgåva 2005 och beräknad slutrapport 2006). Rapporten utgår främst från de krav som Sarbanes-Oxley Act ställer på den finansiella rapporteringen från mindre noterade företag. De frågor som behandlas i rapporten är dock i flera fall lätta att generalisera till alla företag. Vägledningen kommer således med förslag till förenklingar och särskilda råd när det gäller utformningen av intern styrning och kontroll som även är tillämpliga på större företag och andra organisationer. Det gäller särskilt den lista på 26 grundläggande principer (eller målfrågor) som bör gälla för en effektiv intern styrning och kontroll. Det sägs i remissutgåvan uttryckligen att dessa principer kan gälla både små och stora företag. De kan således också uppfattas som ett förtydligande av den första COSO-rapportens ram- 12 InternreVision 2006/02

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss