Nummer 1 2006. Tema: Internrevision under uppbyggnad

Internrevision Nummer 1 2006 Tema: Internrevision under uppbyggnad

intern revision Tidskrift om internrevision. Utgiven av Internrevisorerna Nummer 1, februari 2006 Material för publicering skickas direkt till tidningens e-mail adress info@internrevisorerna.se eller till redaktör Yvonne Alnebjer, adress se nedan Redaktionskommittén består av följande personer: Yvonne Alnebjer, Redaktionssekr/layout KPMG, Box 49, 721 04 Västerås, 021-10 62 82, fax 021-10 62 88 E-post: yvonne.alnebjer@kpmg.se Inga Astorsdotter, Uppsala universitet Postadress: Box 256, 751 05 Uppsala Tel: 018-471 1802 Mob: 070-425 0378 E-post: inga.astorsdotter@uadm.uu.se Boel Landgren Nielsen, Regeringskansliet, Statsrådsberedningen, 103 33 Stockholm tel 08-405 43 29, fax 08-405 41 79 E-post: boel.landgren-nielsen@primeminister.ministry.se Nästa nummer: Manusstopp den 3 april 2006. Prenumeration: 300 kronor per år för icke medlem. Annonser: Annons helsida 8 000 kronor, halvsida 6 000 kronor. Annons baksida 15.000 kronor. Flergångsannons 10 procent rabatt. Alla priser exkl moms. Ansvarig utgivare: Guidon Berggren ISSN: 1401-8950 Tryck: Westerås Media Produktion, Västerås Bilder: Redaktionen, medlemmar och Free foto - - - Klas Schöldström, (Generalsekreterare) Internrevisorerna, Kontoret Strandvägen 7 A, Strandvägen 7 A, 114 56 Stockholm tel 08-586 107 66 E-post: klas.scholdstrom@internrevisorerna.se Hans Löfgren, (Internationell rådgivare) PWC, 113 97 Stockholm, tel 08-555 340 19 E-post: hans.lofgren@se.pwc.com Elisabeth Styf, (Internationell rådgivare och styrelseledamot i ECIIA) Skandia, Sveavgäen 44, 103 50 Stockholm Tel 08-788 18 07, fax 08-788 44 80, mobil 070-556 88 90 Elisabeth.Styf@skandia.se Sten Bjelke, (Internationell rådgivare och ordförande i Etiknämnden) Källvägen 17, 122 62 Enskede tel 08-39 85 25, fax 08-39 85 25, mobil 070-715 36 50 E-post: sbjelke@bredband.net Kontaktpersoner Styrelse och kommittéer Guidon Berggren, ordförande, KPMG, Box 49, 721 04 Västerås, tel 021-10 62 80, fax 021-10 62 88. E-post: guidon.berggren@kpmg.se Ann-Charlotte Klingberg, vice ordförande, If Skadeförsäkring, 106 80 Stockholm, mobil 070-665 21 24 E-post: anncharlotte.klingberg@if.se Charlotta Löfstrand Hjelm, sekreterare, AFA, Klara Södra Kyrkogata 18, 106 27 Stockholm, tel 08-696 40 30, fax 08-696 39 71 E-post: charlotta.hjelm@afa.se Carina Petersén - Malmström, (Marknadskommittén), Skandia Liv, 103 50 Stockholm, tel 08-788 28 94, fax 08-788 10 40 E-post: carina.petersen@skandia.se Ingmari Öhman, ledamot Svenska Röda Korset, Box 175 63, 118 91 Stockholm, tel 08-452 46 13, mobil 0730 40 46 13 E-post: ingmari.ohman@redcross.se Ulla-Kari Fällman, (Utbildningskommittén) Sveriges Lantbruksuniversitet, Box 7082, 750 07 Uppsala tel 018-67 19 35, fax 018-67 20 00, mobil 070-567 19 35 Lars Agerberg, ledamot Skandia Insurance Company Ltd, Sveavägen 44, 103 50 Stockholm tel 08-788 27 09, fax 08-788 44 80, mobil 070-366 27 09 Richard Minogue, ledamot Hibis Scandinavia, Apelbergsgatan 36, 111 37 Stockholm Tel 08-41 00 62 55, fax 08-20 63 00, mobil 0733-708 78 18 55 Bernt Gyllenswärd, ledamot SEB, ST M1, 106 40 Stockholm Tel 08-763 61 12, fax 08-678 27 12, mobil 070-763 89 50 E-post: bernt.gyllensward@seb.se Harald Lööf, ledamot ICA AB, Svetsarvägen 16, 171 93 Solna Tel 08-5615 00 00, fax 08-29 13 67 E-post: harald.loof@ica.se - - - Bo Myrup, (Nomineringskommittén) Karolinska Institutet, 171 77 Solna, tel 08-524 865 56 E-post: bo.myrup@admin.ki.se Lars Gyllenswärd, (IT-kommittén) KPMG - IRM, Box 16106, 103 23 Stockholm tel 08-723 92 18, fax 08-723 91 77 E-post: lars.gyllensward@kpmg.se Yvonne Alnebjer, (Redaktionskommittén), KPMG, Box 49, 721 04 Västerås, tel 021-10 62 80, fax 021-10 62 88. E-post: yvonne.alnebjer@kpmg.se 2 InternreVision 2006/01

Innehåll nr 1 2006 4 Redaktionskommittén Ny ordförande i Internrevisorerna 5 Ledaren Med penna och klubba 6 Styrelsen 7 Internrevisionen, ett framtida vinnarlag 10 10 Generalsekreteraren har ordet Nu brinner det i knutarna! 11 Extern kvalitetssäkring för nöjdare kunder 17 Verva en ny myndighet Internrevisionsrådet 18 COSO för intern styrning, kontroll och riskhantering 21 Vad gör ni på Nordeas koncernrevision just nu? 22 23 22 CIA-spalten 23 Fakta om CIA 25 25 Vad behövs för att bli CIA Tål CIA en granskning? 26 Vem vill bli internrevisor? 27 27 Praktikanter blir ambassadörer för internrevision 28 På internrevisionen fick 28 jag utveckla kreativiteten 29 Lästips 30 Nya medlemmar 31 Kalendarium 2006 31 Intresserade medlemmar Internrevisorernas kansli: Internrevisorerna Kontoret Strandvägen 7 A 114 56 STOCKHOLM Telefon till kansliet, Klas Schöldström, tel 08-586 107 66, fax 08-660 65 89 e-post: klas.scholdstrom@internrevisorerna.se Är du intresserad av att lära känna några av dina kollegor runt om i Sverige och för övrigt även i andra länder? Är du intresserad av att utveckla dig själv i ämnet intern revision och samtidigt verka för Internrevisorerna? Föreningens e-postadress: info@internrevisorerna.se Hemsidans adress är: www.internrevisorerna.se InternreVision 2006-01 3

Från Redaktionskommittén Guidon Berggren och Torbjörn Wikland Foto: Inga Astorsdotter Ny ordförande i Internrevisorerna Vid Internrevisionskonferensen i december hölls ett kortare föreningsmöte. Guidon Berggren, redaktionskommitténs ordförande sedan många år, utsågs till ny ordförande för föreningen. Torbjörn Wikland avgår i och med att han lämnat internrevisionen för nya intressanta uppdrag på socialdepartementet. Ytterligare två nya styrelseledamöter utsågs vid mötet Bernt Gyllenswärd från SEB och Harald Lööf, ICA AB. Carina Petersén- Malmström, Skandia Liv, omvaldes. Alla val skedde enligt valberedningens förslag. Internrevisorerna Vissa beslut om ändringar i föreningens stadgar fattades också. Det var i de flesta fall det andra beslutstillfället och dessa ändringar är därmed definitiva. Exempelvis står det numera i stadgarna att föreningen heter Internrevisorerna och inget annat. Därmed ska namnet IRF inte längre användas. Nu betyder IRF bara infraröd fotografi och Institutet för rymdfysik. Bra kan bli bättre Torbjörn Wikland lämnade ordförandeklubban och poängterade att Internrevisorerna idag är en förening i medvind. Medlemmar strömmar till, utbildningsarbetet har fått ny fart och ekonomin är mycket bättre än för bara ett år sedan. Torbjörn underströk även att vissa svårigheter kvarstår. Internrevisorerna har svårt att ta steget från en mindre förening till en mer professionell och målmedveten organisation. Det finns många områden där föreningen kan bli bättre. Utbildningen måste utvecklas både inom CIA och inom andra områden. Publiceringen i tidningen och på hemsidan har blivit bättre men måste förbättras. Fler dokument bör översättas till svenska. Torbjörn påpekade även vikten av god intern styrning i föreningens arbete. Guidon Berggren släpper pennan och fattar klubban Torbjörn saknar kollegorna Slutligen framhöll han att för att bli en större och mer etablerad förening krävs frivilliga insatser från många medlemmar. Att arbeta inom föreningen är inte bara en uppoffring utan både givande och utvecklande. Jag kan själv intyga att samarbetet med andra kollegor är oerhört utvecklande. Det är det jag kommer att sakna mest när jag nu avgår som ordförande avslutade Torbjörn. Guidon fattar grepen I den stund Guidon fattade ordförandeklubban lämnade han ordförandeskapet i redaktionskommittén. Kommittén är i skrivande stund utan ordförande, men arbetet med att finna en ersättare är i full gång. Föreningsmedlemmarna välkomnar Guidon och ser med stort intresse på hur han ska ta sig an en förening i så god jordmån. Som läsare kan vi nog räkna med att Guidon sedan han fattat grepen, fortsätter att rapportera om hur ogräsbekämpning, plantering, gödsling och kultivering fortskrider inom internrevisionsområdet. Han kanske rentav fortsätter att ta hjälp av sin gamle vän trädgårdsmästaren. Inga Astorsdotter 4 InternreVision 2006/01

Ledaren Med penna och klubba Guidon Berggren Att bli vald till ordförande i en så anrik förening som Internrevisorerna känns oerhört hedrande och att svänga klubban och blicka framåt mot nya djärva mål känns mycket inspirerande. Med klubban i ena handen och pennan i den andra ska jag försöka att leda verksamheten och samtidigt informera och kommunicera med er medlemmar så mycket jag någonsin kan. Att vara ordförande förpliktar och vi har många bollar i luften som vi tillsammans måste ta ner en i taget och göra något verkligt av. Gången är krattad men den växer snabbt igen om vi inte hela tiden ser till att hålla den i trim. De första bollarna jag tog tag i var att forma styrelsen till ett vinnande lag. Vi ska gå på offensiven och saknade då några forwards speciellt på privata sidan och en tung bankcenter i mitten. Rekryteringen av Harald Lööf och Bernt Gyllenswärd har därför väldigt stor strategisk betydelse. Harald kommer att gå på offensiven mot privatsektorn för att se vilket behov och nytta den sidan har av vår förening och sen se till att vi utför det jobb som förväntas av oss. Bernt kommer att göra motsvarande för den finansiella sektorn. För den statliga sektorn och myndighetsspåret kommer Ulla-Kari att svara för de offensiva takterna. Hela laguppställningen ser du på sidan 8 i tidningen. Internrevisionen är under uppbyggnad inte bara hos myndigheterna och staten utan i hela näringslivet. Som påtalats under hela hösten så innebär Koden och de ökade kraven att internrevisionen är i fokus. Nu brinner det i knutarna, som Klas skriver, att vi kvalitetssäkrar oss så att vi uppfyller kraven på kompetens och kunnande och föreningen kommer att vara en stor och viktig spelare på den planen. Även föreningens kansli är under uppbyggnad. Flytten till Strandvägen 7A är ett led i den uppbygg- naden där kansliet kan ta emot och utgöra en mötesplats för våra medlemmar. Här finns även utrymme att hålla kurser och konferenser när uppbyggnaden är klar. Kansliets resurser är också under uppbyggnad och vi hoppas snart vara klara över vilket behov som finns och hur kansliet fortsättningsvis ska vara bemannat. Kostnaden för lokalen blir faktiskt inte högre än den vi har idag. Föreningens framtid är densamma som internrevisionsyrkets framtid. Vi måste gå tillsammans och hjälpas åt att marknadsföra oss så att vi syns och blir kända på marknaden som den viktiga yrkeskår vi är. Vi måste hela tiden höja kompetensen hos oss själva och ständigt gräva och plantera där vi står så vi kan skörda och känna stolthet över våra skördar. Den ljusnande framtid är vår sjunger snart studenterna medan vi kan stämma upp i den sången redan nu. InternreVision 2006-01 5

Kort från styrelsemöten Charlotta Löfstrand Hjelm Nytt år och nya möten! Under januari har styrelsen genomfört ett seminarium och årets första styrelsemöte. I skrivande stund pågår planeringen av nästa styrelsemöte. Årets styrelseseminarium var förlagt till Silja Symphony och ägde rum den 19 och 20 januari. Jag misstänker att ordföranden ville samla generalsekreteraren samt gamla och nya styrelsemedlemmar på ett sådant sätt att vi med yttersta svårighet skulle kunna avvika från denna aktivitet. Under två dagar diskuterade vi arbetsordningar, organisationsplan, ansvar, fokusområden, mål och resurser - kort sagt verksamheten 2006. Vi genomförde också en styrelseutvärdering samt fattade en mängd beslut rörande nämnda frågor. Bland annat utsåg vi Ann-Charlott Klingberg till vice ordförande i föreningen med uppdrag att leda det inre arbetet. Ett beslut som vi hoppas att årsmötet också ställer sig bakom vid årsmötet 2006. Vi beslutade också att Kansliet flyttar till nya större lokaler på Strandvägen 7A. Vår högt ärade ordförande liknade oss vid ett fotbollslag och sig själv vid tränare av detsamma. Vi spelare har dock synpunkter på det där med tränare. En tränare får aldrig överge sitt lag. Vår tränare inhandlade raskt en stor förpackning herrparfym, muttrade något svårtydbart när vi delgav honom var vi skulle tillbringa kvällen och försvann! Hur kan en tränare för internrevisorer överge sitt lag? Det stod inte i programmet. Visserligen har internrevisorer många roller men vem har hört talas om informella internrevisorer? Vårt lag vill ha klara regler och riktlinjer inte någon ad hoc -lösning. Under ledning av vår spelande tränare Ann- Charlott skickade vi ut en spelarrepresentant som lyckades lokalisera och så småningom återbörda Internrevisorernas ordinarie tränare till sin spelartrupp. Förutom några ytterligare små incidenter när vår tränare fick vifta lite försiktigt med gula kort för att göra sig hörd så avlöpte arrangemanget mycket bra. Jag tror att vi lyckats lägga en bra grund för styrelsearbetet under det kommande året! Vid det extra styrelsemötet den 31 januari konfirmerade vi beslut som fattats under styrelseseminariet, diskuterade och beslutade om årsredovisning, verksamhetsplan, kommande årsmöte/stämma, Internrevisionsdagarna 2006, QA, översättning av COSO/ERM samt mycket annat. Till nästa styrelsemöten har vi många uppdrag att slutföra för att du ska få ett bra material att ta del av inför årsmötet och stämman. Och du vi ses väl på Sergelstorg 2 den 28 mars? Styrelsens sekreterare och numera målvakt, Charlotta Löfstrand Hjelm Kontaktpersoner Privata nätverket, Richard Minogue tel 08-410 062 55 mobil 070 878 18 55 Finansiella nätverket, Gregor Gröblacher, tel 08-763 65 79 Statliga nätverket, Per Fröjd, tel 08-764 99 32, mobil 070 865 58 30 Tematräffar Einar Friees, tel 08-681 95 64 mobil 070 669 62 10 Lars Agerberg, tel 08-788 27 09 mobil 070-366 27 09 Värt att veta om IT Ann-Charlotte Klingberg tel 08-792 77 05 mobil 070-665 21 24 6 InternreVision 2006/01

Organisationsplan Internrevisionen, ett framtida vinnarlag Under ett par dagar i januari har den nya styrelsen träffats för att formera våra strategier och mål för framtiden. Många viktiga beslut fattades och jag som ny ordförande fick möjligheten att framföra mina idéer och pröva hållbarheten i det jag vill genomföra i föreningen. Vi inledde våra diskussioner med att gå igenom vilka möjligheter en styrelse har att ta sitt ansvar. Fem nyckelord lyftes fram nämligen engagemang, kunskap, förberedelser, kravställande och uppföljning. Innebörden i samtliga nyckelord är viktiga för ett framgångsrikt styrelsearbete. Styrelsen gick också igenom vilka etiska regler som gäller för en styrelsemedlem och den långsiktiga inriktningen som är så viktig beträffande en bra arbetsform, rätt sammansättning, ett skapande samspel och inte minst att vara väl informerad om verksamheten. Med utgångspunkt från vår organisationsplan (se bild nedan) så formade vi laget som ska föra Internrevisionen framåt. InternreVision 2006-01 7

Som målvakt har vi vår styrelsesekreterare Charlotta Lotta Löfstrand Hjelm (AFA). Hon håller reda på lagdelarna och dirigerar spelet från sin överblickande position. Högerflanken som har till uppgift att anfalla mot privatsektorn består av Harald Lööf (ICA) understödd av Richard Minogue (Hibis). Vänsterflanken med sin uppgift att anfalla mot myndigheter och den statliga sektorn består av Ulla-Kari Fällman (SLU) och Ingmari Öhman (Röda Korset). Mittfältet har den finansiella sektorn som sin uppgift med Bernt Gyllenswärd (SEB) som tung center med Carina Petersén Malmström (Skandia Liv) som understöd. Carina som även är ordförande i marknadskommittén har som uppgift att stödja hela anfallet. Vice lagkapten och centralt mittfältslås är Ann-Charlotte Klingberg som ser till att alla håller sina positioner och driver på framåt. Libero är Lars Agerberg (Skandia) med uppgift att fånga upp alla bollar/frågeställningar som måste tas om hand ordentligt och spelas vidare. Materialare och den som sparkar in bollar på planen är Klas Schöldström (Internrevisorerna). Han ser till att alla har den utrustning och information som behövs för ett framgångsrikt anfallande lag. Guidon Berggren (KPMG) är coach, lagledare, strateg och pådrivare som med glada tillrop har till uppgift att få till ett vinnande lag. På bänken, omklädda och klara att rycka in, sitter Elisabeth Styf (Skandia) och Hans Löfgren (PWC). De adjungerar laget och skaffar information från omvärlden. Till sin hjälp har de Sten Bjelke som är ute internationellt och spionerar. Till årets domare är Einar Fries (NUTEK) utsedd. 8 InternreVision 2006/01

De övergripande målen för föreningen fastställdes till fyra stycken Ge medlemmarna underlag för sin egen yrkesutövning (PPF-QA-Best Practice m.m.) Skapa en stark förening mot marknaden (varumärke som syns, hörs och finns) Ge information och kommunicera Tillhandahålla en bra och ändamålsenlig utbildning. För att klara detta behöver vi starka och effektiva kommittéer och nätverk. Den första punkten ligger på det som idag heter Omvärldskommittén. Det är en metod och utvecklingskommitté så styrelsen kommer att ändra namn på kommittén men det är ännu inte bestämt till vilket. Den andra punkten ligger på marknadskommittén som tillsammans med styrelsen har en offensiv uppgift under det kommande året. För den tredje punkten ansvarar Redaktionskommittén och Hemsidekommittén som det är på förslag att lägga samman till Informationsoch kommunikationskommittén. Den fjärde och kanske viktigaste punkten svarar i första hand Utbildningskommittén för men en stor del ligger också på IT-kommittén och nätverken. För att effektivisera och samordna nätverken så har vi grupperat dessa tillsammans med tematräffar och Värt att veta om IT. Samordnande ordförande för detta blir Ann-Charlotte Klingberg. För att få bättre samordning och information från våra medarbetare som arbetar internationellt så skapar vi Internationella gruppen med Hans Löfgren, Elisabeth Styf, Sten Bjelke och Klas Schöldström. Samordnande ordförande för den gruppen blir Lotta Löfstrand Hjelm. Till detta kommer också Etiknämnden och Valberedningen. Samtliga kommittéer behöver resursförstärkning vilket blir en av de första åtgärderna som styrelsen måste ta tag i. Personliga förfrågningar och bearbetningar står nu högt på agendan. Resurserna på kansliet och kansliets funktion diskuterades ingående. Resurser för utbildningsadministration behöver förstärkas liksom även den ekonomiska rapporteringen. Styrelsen gjorde en utvärdering av sina insatser under föregående år och en av de punkter som styrelsen ansåg sig behöva förbättra var den ekonomiska uppföljningen. Redan nu behöver planeringen för Internrevisionsdagarna den 23-24 november 2006 planeras. Till konferensgeneral utsågs Bernt Gyllenswärd som nu har att utse sina medhjälpare för att omedelbart komma igång med planeringen. Styrelseseminariet genomfördes i en mycket positiv och konstruktiv anda. Det bådar mycket gott för framtiden och förhoppningsvis kommer medlemmarna att märka och även vara delaktiga i den höjda aktivitetsnivå som kommer inför detta år. Guidon Berggren Ordförande 2:a Akademiska redovisnings- och revisionskonferensen Vad är det som händer egentligen inom revisionsområdet? Boka in den 28-29 september 2006 redan nu. Då går den 2:a Akademiska redovisningsoch revisionskonferensen i Sverige av stapeln. Denna gång är det Linköpings universitet med Arne Fagerström i spetsen som står som värd för arrangemanget. Den Akademiska redovisnings- och revisionskonferensen är ett utmärkt forum för möten och kunskapsutbyte mellan utbildning, forskning och praktik. InternreVision 2006-01 9

Generalsekreteraren har ordet Nu brinner det i knutarna! Klas Schöldström Nu brinner det i knutarna! Det är hög tid att ta kraven på kvalitet i våra riktlinjer för yrkesmässig revision på allvar. Många av oss har länge vetat om att man enligt våra Standards måste göra en extern kvalitetssäkring och att den skall göras senast den 31/12 2006. Vi har dock haft så fullt upp med att granska andra att vi väl inte riktigt hunnit med att planera för extern granskning av oss själva. Och nu är vi där knappt 11 månader kvar och massor som måste göras. Föreningen arbetar för fullt för att få hit lärare från IIA som kan ge oss en kurs i kvalitetssäkring. Vi hoppas kunna köra kursen under mars månad. De som gått kursen blir så kallade Certified Assessors och det innebär att de har rätt att genomföra externa kvalitetssäkringar av internrevision. Hur förbereder sig den enskilda internrevisionsavdelningen? Ja, det handlar om att introducera ett kvalitetssystem, om man inte redan har ett och se till att det används i det löpande arbetet. IIA:s Quality Assessment Manual innehåller en beskrivning av självutvärdering, som är ett bra sätt att själv se ungefär var man står och vad som återstår att göra på kvalitetsområdet. IIA Standards har inte uppfunnits för att krångla till vår tillvaro, utan för att vi skall kunna göra ett proffsigt och uppskattat jobb för våra uppdragsgivare, och då blir vår egen tillvaro mer angenäm. Kvalitet handlar ytterst om nöjda kunder. Efterlevnaden av Standards kvalitetssäkras inte som ett mål i sig, utan Standards är ett verktyg för att hjälpa oss att arbeta på ett sådant sätt att våra uppdragsgivare får det de förväntar sig av oss och helst litet till. Så sätt igång nu och har du frågor om kvalitetsutveckling och extern kvalitetssäkring så är du välkommen att skicka dem till info@internrevisorerna.se, märkt Kvalitet så återkommer vi till dig. Klas Schöldström 10 InternreVision 2006/01

Extern kvalitetssäkring för nöjdare kunder Text: Klas Schöldström Enligt IIA Standards Samtliga EU:s medlemsstater fanns representerade vid konferensen 1312 - Externa bedömningar Externa bedömningar, som extern kvalitetssäkring, ska genomföras minst en gång vart femte år av en kvalificerad oberoende granskare eller av ett granskningsteam utanför organisationen. Att genomföra externa bedömningar av internrevisionens kvalitet är ett krav enligt våra riktlinjer för yrkesmässig internrevision, något vi måste göra för att kunna säga att vi följer god sed. Men gör vi det då? Följer vi god sed? Det är det ingen som vet, eftersom väldigt få svenska organisationer genomfört extern kvalitetssäkring av sin internrevisionsaktivitet. Men resonerar vissa - spelar det någon roll då? Varför skall vi genomföra en extern kvalitetssäkring? Det känns litet obehagligt jag har ju inte fått de resurser som krävs det blir nog inte något lysande betyg för mig inte, och det vore inte rättvist. Ja, det spelar roll. Vi reviderar många andra aktiviteter i vår organisation, och skall vi vara trovärdiga så bör vi välkomna revision hos oss själva, eller hur? IIA Standards har inte uppfunnits för att krångla till vår tillvaro, utan för att vi skall kunna göra ett proffsigt och uppskattat jobb för våra kunder och uppdragsgivare, och då blir vår egen tillvaro mer angenäm. Det är viktigt att förstå att kvalitet ytterst handlar om nöjda kunder. Vi kvalitetssäkrar inte efterlevnaden av standards som ett mål i sig, utan standards är ett verktyg för att tillförsäkra en process som resulterar i en leverans som kunderna är nöjda med. Strategiskt viktigt IIA har tre strategiska mål för 2005 2007: I. ADVOCACY Att vara det erkända språkröret för internrevisionsprofessionen. II. GLOBALIZATION Att utveckla och underhålla internrevisionsprofessionen globalt genom en lämplig infrastruktur, koordinering, stöd och kommunikation. III. SERVICE Att erbjuda mycket god service till medlemmarna. Advocacy betyder ungefär att tala väl om. IIA:s tanke är att många röster för fram ett enhetligt budskap om internrevision. Budskapet är bland annat att vi är viktiga nyckelspelare inom ägarstyrningen. InternreVision 2006-01 11

Kvalitetssäkring För att IIA skall kunna leva upp till sina strategiska mål, så krävs att internrevisorerna sedan lever upp till vad som utlovas och levererar i enlighet med de standards som beskriver den globala professionen den internationella goda seden. (Under objective III säger IIA bland annat: Utveckla en strategi för att lansera, implementera, och upprätthålla respekten för ett kvalitetssäkringsprogram på global basis ). Kvalitetssäkring är således strategiskt viktigt! Hur långt har vi hunnit i Sverige? Många europeiska länder är före oss när det gäller extern kvalitetssäkring. Storbritannien och Frankrike har kört många externa kvalitetssäkringar och i Norge, Belgien och Nederländerna kör man piloter. Även Tjeckien är före oss och har redan bokat en IIA-kurs för att utbilda så kallade certified assessors, det vill säga personer som är certifierade för att genomföra externa kvalitetssäkringar. Över 100 organisationer i Sverige skall ha extern kvalitetssäkring i år, i enlighet med våra riktlinjer. Vi räknar med att externa kvalitetssäkringar kommer att erbjudas av de stora revisionsbyråerna, och av konsulter knutna till föreningen. IIA vill att även externa leverantörer som till exempel Big 4, använder IIAs metod och i avrapporteringen klargör att de genomfört sin externa kvalitetssäkring i enlighet med IIAs rutiner. Därför kommer det i Sverige att ställas krav på Big 4, på samma sätt som på konsulterna knutna till föreningen, att de har genomgått den IIA-kurs som krävs. Föreningens resurser förväntas vara begränsade i relation till den stora efterfrågan på tjänsten som är att förvänta mot bakgrund av kravet på att extern kvalitetssäkring skall genomföras senast den 31/12 2006 och att, antalet internrevisionsaktiviteter som skall kvalitetssäkras i Sverige är över 100. Vi har beställt en kurs för Certified Assessors av IIA, som vi räknar med kommer att ges i mars och vill uppmana alla positiva och utvecklingsorienterade krafter att gå utbildningen och sedan delta i externa kvalitetssäkringar. Dels är det utvecklande rent professionellt för de som deltar, dels är det meningsfullt att medverka till att hjälpa sina kollegor att utveckla internrevisionens kvalitet i Sverige. För de som deltar i föreningens uppdrag innebär det ju även ett tillskott till kassan genom ett arvoderat uppdrag. IIA Standard 1312 kräver som sagt kvalitetssäkring minst en gång vart femte år av en kvalificerad oberoende granskare. Denna Standard blev effective den 1 januari 2002. Således måste extern kvalitetssäkring utföras allra senast den 31/12 2006 för att en internrevisionsaktivitet skall kunna hävda att man följer IIA Standards. Det enda undantaget är om internrevisionsaktiviteten inte existerade den 1 januari 2002. Då räknas femårsgränsen från det datum internrevisionsaktiviteten startades. Kvalitetsutveckling är speciellt viktig för IR i staten mot bakgrund av regeringens önskemål att utveckla och samordna internrevisionen i staten. Den externa kvalitetssäkringen är en utmärkt plattform att påbörja kvalitetsarbetet från. Det är den enskilda internrevisionsaktiviteten vid respektive myndighet som har ansvaret för att IIA Standards följs. Kvalitetssäkring i PPF Kvalitetssäkring behandlas i IIA Standards under: 1300 Kvalitetssäkring och förbättringsprogram 1310 Bedömning av kvalitetsprogram 1311 Interna bedömningar Fortlöpande granskningar av internrevisionens utförande; och Regelbundna granskningar som genomförs genom självutvärderingar eller av andra personer inom organisationen, med kunskap om internrevisionsutövning och riktlinjerna. 1312 Externa bedömningar 1320 Rapportera om kvalitetsprogrammet 1330 Användning av uttrycket uträttat i enlighet med riktlinjerna för god internrevisionssed 1340 Redovisning av ickeefterlevnad I Practice Advisories finns ytterligare vägledning under 1300-1 through 1330-1. Standards måste man följa, de är mandatory och Practice Advisories är strongly recommended, det vill säga starkt rekommenderat att man följer, om man vill hävda att man följer god sed. 12 InternreVision 2006/01

Kvalitetssäkring Dessutom finns som Development and Practice Aids en hel del material från IIA, främst Quality Assessment Manual, Fourth Edition - det kommer en ny runt årsskiftet - samt kurser och konferenser. Extern QA är bara toppen av isberget Kvalitet byggs upp kontinuerligt, varaktigt och långsiktigt i det dagliga arbetet. Man behöver bygga upp ett system för den interna kvaliteten och sedan övervakar man internt att det fungerar som det skall. Den externa kvalitetssäkringen är bara en mycket liten del, toppen av isberget! Ett annat sätt att utrycka det är att kvalitetsutveckling är en resa där den externa kvalitetssäkringsrapporten ger status vid en given tidpunkt, stimulans till och hjälp med fokus för det fortsätta arbetet för nöjdare kunder och uppdragsgivare. Vad säger då Standards om kvalitet? I huvudsak går IIA Standards om kvalitet ut på att: Internrevisionsaktiviteten har en process för övervakning och bedömning av den I övergripande effektiviteten i kvalitetsprogrammet. Interna och externa bedömningar görs. Externa bedömningar minst en gång var femte år av en kvalificerad oberoende granskare eller av ett granskningsteam utanför organisationen. Man kan bara rapportera arbetet uträttat i enlighet med riktlinjerna för god internrevisionssed om extern kvalitetssäkring genomförs senast 31/12 2006 och den visar att internrevisionsaktiviteten följer riktlinjerna. Brister i efterlevnad av Standards redovisas av internrevisionschefen, för ledningen och styrelsen. När det gäller kraven på extern QA minst vart femte år av kvalificerad oberoende granskare så har IIA:s Internal Auditing Standards Board (IASB) nyligen föreslagit en förändring av Quality Assurance Standard 1312, External Assessments. Det föreslås nu att man ställer krav på internrevisionscheferna att diskutera med styrelsen: Möjligt behov av mer frekventa externa kvalitetssäkringar. Kvalitetssäkringsteamets meriter och oberoende, inkluderande möjliga conflicts of interest och erfarenhet i förhållande till organisationens storlek, komplexitet och bransch. Att externt säkra vart femte år som IIAs nuvarande modell föreskriver är enligt Björn Swärdenheim, en av våra medlemmar som är en expert på kvalitetsfrågor, nonsens även om den externa säkringen bygger vidare på intern säkring. Den internrevision vars kvalitet vi är ute efter att säkra kan då ha förändrats genom att flera medarbetare bytt jobb, man har fått nya mål med verksamheten, omorganisationer och företagsförvärv, nya rutiner att handskas med och så vidare. Även IIAs nuvarande ordförande Thomas Warga säger att vart femte år är otillräckligt. Enligt hans mening är vart tredje år ett minimum. Utvecklingsorienterad rapportering Det finns inget att vara rädd för när det gäller kravet på extern kvalitetssäkring eftersom kvalitetssäkrarna, på samma vis som vi själva när vi reviderar, fokuserar på väsentligheter och möjligheter till utveckling och inte är ute efter att straffa någon. Det är nog så att många kvalitetssäkringar i Sverige i dag skulle visa på en hel del avvikelser från Standards, men det är ju ingen mening att lista sida upp och sida ner med detaljerade avvikelser från Standards. Vad de certifierade, kvalificerade och erfarna utvärderarna kommer att göra är att ta upp de mest väsentliga avvikelserna och sedan tillsammans med den granskade internrevisionsaktiviteten fundera över vad orsakerna är och ta fram en plan för hur man på bästa sätt går vidare. Syftet är som med allt kvalitetsarbete ytterst att kunderna skall bli nöjdare. InternreVision 2006-01 13

Kvalitetssäkring En extern kvalitetssäkring kan innehålla jämförelse med Best Practice, om man så vill. Kvalitet handlar ytterst om nöjda kunder Det är viktigt att förstå att kvalitet ytterst handlar om nöjda kunder. Vi kvalitetssäkrar inte efterlevnaden av standards som ett mål i sig, utan standards är ett verktyg för att tillförsäkra en process som resulterar i en leverans som kunden är nöjd med. System är gott och väl, men man får akta sig för att förledas tro att ett kvalitetssystem löser alla problem. Ibland krävs språng, paradigmskiften som springer ur kulturförändringar. Ford hade kunnat fortsätta att kontinuerligt, varaktigt utveckla T-Forden, men då hade man inte sålt så många bilar i dag. Kundnöjdhet påverkas bland annat av duglighet i produktionsprocessen, men det är ytterst kunden som avgör kvaliteten. Det är viktigt med kundstyrning, nytänkande och ständigt lärande men det kräver kompetenta kunder. Utredningen internrevisionen i staten har tyvärr konstaterat vissa problem när det gäller statliga styrelser och problemet är säkert inte isolerat till det privata näringslivet. Här har vi litet av en höna/äggsituation. Kunden/uppdragsgivaren är inte alltid kompetent/intresserad av styrning och den säkring av styrningen som utgörs av internrevisionen. Det är en svår situation för internrevisionen som kanske måste börja med att försöka utveckla sina styrelsers förståelse för och intresse av, ägarstyrning och internrevision. Ett annat sätt att uttrycka det är att om kunderna inte är tillräckligt kompetenta så måste producenten vara med och styra kvalitetskraven så att de blir rimliga och gradvis utveckla kundens förståelse för rimliga krav. Det finns, i detta perspektiv, en risk med att överbetona oberoendet som en av internrevisionens mest väsentliga egenskaper. Det är inte alltid kunden/uppdragsgivaren tycker det är så viktigt och det är den individuelle kunden som i slutänden avgör kvaliteten och om kunden inte är nöjd - trots att vi kanske följt standards till punkt och pricka - så är det ju inte bra. Det finns också en risk att överbetona rapportering till styrelsen och ingen annan. EC-IIAs Position Paper on Internal Auditing in Europe betonar vikten av att vi arbetar åt både styrelsen och den verkställande ledningen och att vi inte bara oberoende granskar utan att vi är ett stöd åt ledningen och ger dem råd på ägarstyrningsområdet. Varför utföra en extern kvalitetssäkring? En extern kvalitetssäkring är en oberoende analys av: Kan saker göras bättre? Bör man göra mer, eller mindre? Får man ut mesta möjliga värde för varje investerad krona? Följer man Standards? Kan man leverera mer värde till styrelse och ledning? Kan man förbättra internrevisionens image och trovärdighet inom organisationen? Målsättning med extern kvalitetssäkring? En extern kvalitetssäkring utförs för att: Bedöma internrevisionsaktivitetens effektivitet i förhållande till: - Charter - Styrelsens, ledningens och revisionschefens förväntningar Identifiera möjligheter, ge idéer och stöd till revisionschef och medarbetare: - Förbättrade prestationer R - Öka det värde man tillför organisationen Avge opinion avseende internrevisionsaktivitetens efterlevnad av Standards Vad beträffar kvalitetssäkringsrapportens yttrande om efterlevnad av Standards, så gäller den inte bara riktlinjernas bokstav utan även spirit and intent, det vill säga anda och avsikt. Den externa kvalitetssäkringens 12 steg En extern kvalitetssäkring genomförs i 12 steg: 1) Val av team för den externa kvalitetssäkringen 2) Revisionschefen fyller i självutvärdering 3) Första besök och informationsinhämtning 4) Enkäter från kunder och personal 14 InternreVision 2006/01

Kvalitetssäkring 5) Arbete på plats, bland annat: - Granskning av administrativ policy och rutiner - Hänsyn till organisationens risk - Utvärdering av riskidentifiering och värdering i revisionsplaneringen - Granskning av arbetspapper och rapporter från utvalda uppdrag - Granskning av antal revisorer och deras bakgrund (utbildning och erfarenhet) - Utvärdera IT-revisionens inriktning och omfattning 6) Utvärdera hur internrevisionsaktiviteten håller sig uppdaterad och levererar värde genom intervjuer med: - Styrelseledamöter - Företagsledning - Linjechefer - Internrevisorer 7) Ta hänsyn till andra närliggande funktioner och utvärdera koordinering med externrevisionen 8) Utvärdera internrevisionsaktivitetens efterlevnad av IIA och andra relevanta Standards 9) Granska det interna kvalitetsförbättringsarbetet 10) Sammanställ iakttagelser och rekommendationer för muntlig slutrapportering till revisionschef och andra som beställt uppdraget 11) Skriv utkast till rapport, inhämta kommentarer och utfärda slutgiltig rapport 12) Genomför slutgiltig avrapportering till styrelse och företagsledning, om så önskas. Vanliga problem noterade av IIAs kvalitetssäkringsteam Externa kvalitetssäkringar inriktar sig som sagt inte på de små detaljerna utan på mer övergripande brister och orsaker till brister. Här är några exempel på vanliga problem noterade av IIAs kvalitetssäkringsteam: Internrevisionschefen rapporterar inte till rätt nivå Ej uppdaterade charters Kundernas uppfattning om internrevisorernas kunskaper Ingen formaliserad riskhanteringsprocess Bristande förståelse för internrevisionens rådgivande del Otillräcklig IT-revisionsinsats eller kunskap på området. Vanliga frågor Extern kvalitetssäkring i offentlig sektor eller gäller det endast börsbolag? Extern kvalitetssäkring gäller alla organisationer som vill hävda att de följer Standards. Alla internrevisionsaktiviteter, oavsett om de är medlemmar i IIA eller ej, bör följa Standards. Rekommendationer när det gäller val av leverantör Offerter bör inhämtas från leverantörer som kan accepteras av internrevisionschefen, revisionskommittén och möjligen företagsledningen. Kräv av leverantörerna att de följer IIAs metodik. Den grupp som genomför kvalitetssäkringen skall vara kvalificerad under de kriterier som beskrivs i Practice Advisory 1312-1. Kostnad och tillgänglighet när det gäller kvalificerade externa kvalitetssäkrare? Kostnaden för en extern kvalitetssäkring beror på aktivitetens omfattning, antalet orter som skall besökas och så vidare. Föreningen kommer relativt snart att genomföra en kurs för så kallade Certified Assessors, det vill säga personer som blir certifierade att genomföra externa kvalitetssäkringar, och vi räknar med att de flesta av dem kommer från de stora revisionsbyråernas internrevisionskonsulter eller andra konsultfirmor. Föreningen planerar också att bygga upp en kader av kvalificerade personer som kan genomföra kvalitetssäkringar via föreningens servicebolag. Man kan vända sig till dessa möjliga leverantörer och begära en detaljerad offert baserat på internrevisionsaktivitetens speciella omständigheter. Föreningen har över 100 medlemsorganisationer och alla skall kvalitetssäkras före 31/12 2006 om de skall kunna hävda att de följer god internrevisionssed, så man kan nog räkna med att leveranskapaciteten kan komma att bli ett problem. InternreVision 2006-01 15

Kvalitetssäkring Kvalitetssäkringar som genomförs av IIA görs normalt under en eller två veckor på plats. Planering, sammanställning av resultat och rapportering tillkommer. En extern kvalitetssäkring torde normalt komma att kosta 40 120. Hur långt tillbaka i tiden, ett år eller två? Eftersom kvalitetssäkringar bör vara framåtriktade och inriktade på förbättringsmöjligheter och inte för att straffa någon, så är man normalt sett mest intresserad av pågående års arbete. Hur stor vikt läggs vid ITrevisionskapaciteten? IT-revision är ett område som kvalitetssäkras, och den relativa betydelsen beror på omständigheter specifika för organisationen i fråga. Om man inte har tillräckliga med egna resurser kvalitetssäkras den granskning som utförts med inhyrda externa resurser. Resurserna benchmarkas mot IIAs Global Auditing Information Network (GAIN) databas, naturligtvis med omdöme. ISO 9001 Kvalitetscertifiering i stället för IIAs externa kvalitetssäkring? Det korta svaret på om man kan ersätta IIAs externa kvalitetssäkring med ISO 9001 är nej. IIA arbetar för närvarande med att utveckla kopplingen mellan IIAs QA-metod och ISO. Hur avgörs om man får godkänt eller ej vid en extern kvalitetssäkring? De kriterier som används beskrivs detaljerat i IIAs Quality Assessment manual som är det verktyg man använder vid en kvalitetssäkring. Det handlar om att bedöma efterlevnad av varje Standard för sig och sedan dra en övergripande slutsats baserat på det arbetet. Den slutsatsen dras av en erfaren och kvalificerad person. Även om man inte följer en viss standard behöver det inte innebära att man får Underkänt. Hur utvärderas co-sourcing? I teorin är det enkelt att utvärdera en co-sourcing partner. Inhyrd personal betraktas som del av internrevisionsaktiviteten och utvärderas på samma sätt som egna resurser. Hur det kommer att bli i praktiken vet vi inte riktigt än. Kan externrevisorn genomföra en extern kvalitetssäkring? Nej, externrevisorn skall enligt god revisionssed bedöma internrevisionens arbete för att kunna förlita sig på det och enligt Practice Advisory 1312-1 är externrevisionen inte oberoende att utföra en extern kvalitetssäkring av internrevisionsaktiviteten. (Dessutom skulle en extern kvalitetssäkring enligt amerikanska regler - vara en non-audit service som externrevisorn inte får utföra under PCAOB:s regler). Vad händer om kvalitetssäkring inte är genomförd senast 31/12 2006? Eftersom IIA inte har några lagliga möjligheter att kräva efterlevnad, så händer ingenting annat än att organisationen inte följer Standards. Därmed kan man inte längre i rapporteringen säga att man följer internationell god sed. IIA har inga planer på att ge uppskov på kravet på kvalitetssäkring senast 31/12 2006. Förberedelse? Det finns en mycket utförlig beskrivning i IIAs Quality Assessment Manual av självutvärdering. Internrevisionsaktiviteten kan genomföra en rigorös självutvärdering följd av att en kvalificerad utvärderare granskar självutvärderingen och testar den. Det här kan vara ett alternativ till en extern QA helt utförd av externa kvalitetssäkrare, men det är inte en rekommenderad metod, av flera skäl. Däremot kan det första rent interna steget vara lämpligt som en förberedelse inför en extern kvalitetssäkring. I Standard 1311 kan man läsa om interna bedömningar som lämpligen föregår en extern kvalitetssäkring. Avslutningsvis vill jag återigen trycka på att extern kvalitetssäkring endast är ett steg på vägen i den långsiktiga kontinuerliga kvalitetsutvecklingen mot nöjdare kunder. Om du har frågor om kvalitetsutveckling och extern kvalitetssäkring så är du välkommen att skicka dem till kansliet på info@internrevisorerna.se, märkt Kvalitet så återkommer vi till dig. Stockholm den 3 februari 2006 Klas Schöldström 16 InternreVision 2006/01

Verva - en ny myndighet Text: Boel Landgren-Nielsen, Regeringskansliet Verket för förvaltningsutveckling är en ny myndighet som startade den 1 januari 2006. Verva är verkets kortnamn. Det uppdrag som myndigheten har fått från regeringen kan sammanfattas i fem punkter: Verva ska vara en expert inom området förvaltningsutveckling genom att följa forskning och analysera utvecklingen i Sverige och utomlands. Verva ska driva på och stödja arbetet med förvaltningsutvecklingen. Bland annat genom att utveckla modeller, metoder och riktlinjer för verksamhetsutveckling och övergripande styrning, samt arbeta med IT-strategiska frågor. Verva ansvarar också för portalerna sverige.se och lagrummet.se Verva ska samordna upphandling och användning av produkter och tjänster inom IT för hela den offentliga sektorn. Lena Jönsson Verva ska ge generella utbildningar för hela statsförvaltningen, inom bland annat ledarskap, förvaltningskunskap och etik. Verva ska också kunna ta fram anpassade utbildningar till myndigheterna, och ta reda på vilka behov av strategisk kompetensförsörjning som finns i statsförvaltningen. Verva ska arbeta för en utvecklad samverkan inom staten, mellan stat och kommun samt mellan stat och näringsliv. På Verva arbetar drygt 80 personer, under ledning av generaldirektör Lena Jönsson. Lena Jönsson är jur.kand. och har senast jobbat som generaldirektör för Lotteriinspektionen. Myndighetens hemsida öppnades den 2 januari och har adress: www.verva.se Internrevisionsrådet Ekonomistyrningsverket har bildat ett särskilt råd för internrevisionsfrågor. Följande ledamöter har utsetts av regeringen: Klas Schöldström, generalsekreterare, IIA Sweden Yvonne Palm, revisionschef, Försäkringskassan Bernt Gyllensvärd, senior advisor, SE-Banken Maria Nikula, vice president, Internal Audit, Volvo, Bryssel Anna Blondell, revisionschef, Riksgäldskontoret Ann-Katrin Harringer, enhetschef för Internrevisionsenheten, Statens jordbruksverk Per Johansson, ämnesråd, Finansdepartementet InternreVision 2006-01 17

COSO COSO för intern styrning, kontroll och riskhantering Text: Torbjörn Wikland, Regeringskansliet Riskhantering och granskning av intern styrning och kontroll är grundläggande arbetsuppgifter för alla internrevisorer. De baseras nästan alltid på COSO:s standards. Alltför sällan går internrevisorer och andra COSO-intressenter till källan. Vad innehåller denna standards och vad står den egentligen för? Jag blev själv förvånad när jag hittade fel och oklarheter om COSO hos pelarhelgon som Riksrevisionen, Förtroendekommissionen och andra som borde veta bättre. Jag ska i två artiklar försöka belysa vad COSO Internal Control och COSO - Enterprise Risk Management står för. Det är två skilda men nära kopplade standards på området. Det blir en översiktlig genomgång som förhoppningsvis gör det lättare för andra att själva gå till källdokumenten. I den första artikeln behandlar jag standarden för Internal Control, det vill säga intern styrning och kontroll. Först definitionen enligt COSO (och min översättning): Intern styrning och kontroll är en process etablerad av företagets styrelse, ledning och annan personal, utformad för att ge rimlig försäkran om att målen uppfylls inom följande områden: Effektivitet och produktivitet i verksamheten tillförlitlig finansiell rapportering efterlevnad av berörda lagar och förordningar. Notera att definitionen är mycket bredare än det vi på svenska kallar intern kontroll. Nyckelfrågor för detta begrepp är enligt COSO Intern styrning och kontroll är en process. Det är ett medel för att nå ett mål, inte ett mål i sig. Intern styrning och kontroll är genomförd av människor. Det är inte bara policydokument och blanketter utan människor på varje nivå inom en organisation. Intern styrning och kontroll kan endast förväntas ge rimlig försäkran, inte absolut säkerhet, till ett företags ledning och styrelse. Intern styrning och kontroll leds in mot uppnåendet av mål inom ett eller flera överlappande områden. COSO:s grundidé är att en god intern styrning och kontroll består av fem grundkomponenter: 1) Kontrollmiljön, 2)riskbedömning, 3) kontrollaktiviteter, 4) information och kommunikation samt 5) uppföljning, utvärdering. Alla fem komponenterna behövs för att etablera en god intern styrning och kontroll. Alla mer konkreta styrnings- och kontrollåtgärder (t.ex. ledningens etik och styrfilosofi, gemensamma rutiner, riskanalysarbete, stickprovskontroller, krav på två eller flera underskrifter vid beslut m.m.) kan sorteras in under någon av de fem komponenterna. Vad de olika komponenterna kan innehålla finns utförligt beskrivet i COSO:s ramverk, men de behandlas inte vidare här. 18 InternreVision 2006/01

COSO COSO är ett ramverk för intern kontroll Men vad är egentligen COSO? COSO - The COmmittee of the Sponsoring Organizations of the Treadway Commission skapades i USA 1985 som ett icke-statligt initiativ för att klarlägga orsakerna bakom bedräglig finansiell rapportering (rapport 1987). Initiativtagarna bakom kommissionen fem professionella organisationer inom ekonomiområdet utgjorde intressenter för näringsliv, extern och intern redovisning, extern och intern revision, investmentföretag och New York börsen, det vill säga New York Stock Exchange. Efter rapporten 1987 gick COSO vidare och gjorde sin hittills mest kända insats, rapporten Internal Control Integrated Framework från 1992. Den ställer frågan: vad utmärker god intern styrning och kontroll. Den är inte en handbok utan en övergripande beskrivning av och ett ramverk för god intern styrning och kontroll. Där finns också definitioner av centrala begrepp och illustrerande exempel på metodik i en bilaga. Riskhantering behandlas i rapporten som en del av den interna styrningen och kontrollen. Rapporten har det uttryckliga syftet att ge rekommendationer till noterade företag, revisorer, börsen och andra regelskapande institutioner samt skolor och universitet. Om rapportens följdverkningar Rapporten från 1992 har efterhand fått mycket stort genomslag. Man kan kanske urskilja tre steg. 1. Tidigast synes effekterna i den anglosaxiska sfären. Med COSO-rapporten som grund skapades standards och handböcker i England (Cadbury-rapporten med dess efterföljare Turnbullrapporten ), i Kanada (bland annat CoCo-rapporten), Australien, Nya Zeeland och Sydafrika. Även om alla dessa initiativ hänvisar till och stödjer sig på COSO-rapporten har de på enskilda punkter kompletteringar av och några avvikande synpunkter på ramverket. Dessutom berör de alla området riskhantering mer utförligt. Inom denna sfär har det också kommit fram handböcker och studiematerial om intern kontroll enligt COSO från professionella organisationer och de stora konsultföretagen. Standarden har påverkat såväl större företag som offentlig förvaltning i dessa länder. COSO-rapporten har särskilt påverkat börsreglerna i dessa länder så att det finns rekommendationer om att följa god sed för intern styrning och kontroll. Dessa har i sin tur spridits vidare till andra börser utanför den anglosaxiska sfären. 2. Internationella och överstatliga organisationer har i växande utsträckning hänvisat till COSO-rapporten som grundläggande standards för revision och intern kontroll. INTOSAI, den internationella organisationen för statlig revision, har helt integrerat COSOrapportens rekommendationer i sina rekommendationer om granskning av intern kontroll. Detsamma gäller IIA, den internationella organisationen för internrevisorer. Inom EU har EUkommissionen stött sig på COSO-rapporten i sin genomgripande satsning på bättre intern kontroll och intern revision. Liknade krav har också ställts på de nya InternreVision 2006-01 19

COSO medlemsländernas offentliga förvaltning (initiativet Public Internal Financial Control ) och beräknas successivt införlivas i kraven på samtliga medlemsländers offentliga förvaltning, således även Sveriges. Idag finns för offentlig förvaltning bara en hänvisning till COSO i instruktionen för statlig internrevision från 1995. 3. Den manipulerade och bedrägliga finansiella rapportering, som låg bakom företagsskandalerna 2001 i USA (Enron, Worldcom m.fl.), ledde till en särskild amerikansk lagstiftning (Sarbanes- Oxley Act, SOX) med ett tydligare straffrättsligt ansvar för företagsledningen att åstadkomma en korrekt finansiell rapportering. Lagen innefattar bl.a. krav på en årlig rapport om den interna kontrollen. Den ska också innehålla en skriftlig försäkran från ledningen att den interna kontrollen fungerar väl avseende den finansiella rapporteringen baserad på etablerade ramverk för intern kontroll, det vill säga COSO men även CoCo eller Turnbull (se ovan). Det medförde ett stort genomslag för COSO:s ramverk för intern kontroll bland företag noterade på amerikanska börser. Kravet inkluderar således även noterade företag med säte i andra delar av världen, till exempel Ericsson. Likartade företagsskandaler utanför USA har bland annat lett till motsvarande regelinitiativ inom EU och dess medlemsländer. I Sverige har det gällt förtroendekommissionen och den särskilda koden för bolagsstyrning knuten till Stockholmsbörsen. Även denna kod har rekommendationer om intyganden om den interna kontrollen. Här har man dock inte uttryckligen hänvisat till etablerade ramverk. Den kraftiga fokuseringen på den finansiella rapporteringen bland världens börser kan emellertid även ha lett till missuppfattningen att den första COSO-rapporten främst handlar om detta, trots att det bara är en av tre tillämpningsområden för COSO-rapporten. De andra två är ju effektiviteten i verksamheten och efterlevnaden av lagar och riktlinjer (se ovan). Några slutsatser om den första COSO-rapporten 1. Den första COSO-rapporten Internal Control Integrated Framework från 1992 gäller fortfarande, påpekar COSO självt. Några har tolkat det faktum att COSO givit ut rapporter därefter i närliggande frågor så att den ursprungliga standarden inte längre gäller. Det är en missuppfattning. Det är i stort sett samma definitioner på de grundläggande begreppen som gäller. De smärre justeringar som gjorts ska jag ta upp i nästa artikel. 2. De utökade kraven på den finansiella rapporteringen är ett uttryck för att frågor om ansvarsutkrävande blivit allt viktigare bland de stora företagen. Det är en orsak till det ökade intresset för intern kontroll och COSO. Den andra orsaken är behovet av öppna, tydliga och gemensamma synsätt och rutiner i stora organisationers arbetssätt (transparens). Både behovet av transparens och ansvarsutkrävande var drivkraften bakom EUkommissionens satsning på intern kontroll och riskhantering baserad på COSO från 1999 och framåt. Dessa frågor börjar så sakta smyga sig in även i diskussionen om svensk statlig förvaltning (se rapporten från 2005 års katastrofkommission). 3. Den starka fokuseringen hos börsbolagen på frågorna om intern kontroll för den finansiella rapporteringen får inte förvilla oss. COSO:s ramverk för intern styrning och kontroll handlar lika mycket om förutsättningar för en effektiv verksamhet och förmåga att följa lagar och riktlinjer. Dessutom bör ramverket tillämpas på all intern rapportering inte bara den finansiella rapporteringen. Varför denna senare utvidgningen bör tas med ska jag också ta upp i nästa artikel. Fotnot: För den som själv vill läsa mer om COSO finns ytterst litet på svenska än så länge. För material på engelska - börja med att titta på hemsidorna: www.coso.org samt www.theiia.org. Till nästa artikel bifogar jag förslag på några dokument som är bra att läsa. 20 InternreVision 2006/01