Principer och fokusområden

COSO Ramverket för Intern Styrning och Kontroll - uppdateringen Seminarium II 11 Juni 2013 Principer och fokusområden

Agenda Genomgång ramverk o Principer o Fokusområden o Utvärderingsstöd o Extern finansiell rapportering Reflektioner och kommentarer 1

Sammanfattning av nytt ramverk Mycket kvarstår i ungefär samma form Fem komponenter som måste fungera effektivt Introducerar dock principer och fokusområden Komponenter och principer måste vara integrerade Klargörande av krav för effektiv intern styrning och kontroll Anpassad efter nya affärsförhållanden (IT/komplexitet) Utökad omfattning (rapportering) 2

Definitionen kvarstår i allt väsentligt Internal control is a process, effected by an entity s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance Geared to the achievement of objectives in one or more separate but overlapping categories A process consisting of ongoing tasks and activities it is a means to an end, not an end in itself Effected by people it is not merely about policy and procedure manuals, systems, and forms, but about people and the actions they take at every level of an organization to effect internal control Able to provide reasonable assurance, not absolute assurance, to an entity s senior management and board of directors Adaptable to the entity structure flexible in application for the entire entity or for a particular subsidiary, division, operating unit, or business process 3

Vilka mål gäller det? Operativa mål These pertain to effectiveness and efficiency of the entity s operations, including operational and financial performance goals, and safeguarding assets against loss Mål som rör rapportering These pertain to internal and external financial and non-financial reporting and may encompass reliability, timeliness, transparency, or other terms as set forth by regulators, standard setters, or the entity s policies Mål som rör regelefterlevnad These pertain to adherence to laws and regulations to which the entity is subject 4

Ramverket utgörs fortfarande av samma fem komponenter Kontrollmiljö (eg. styr- och kontrollmiljö) Riskbedömning Kontrollaktiviteter Information och Kommunikation Uppföljning/Övervakning Alla komponenter måste finnas (vara närvarande) och fungera för att en effektiv intern styrning och kontroll skall föreligga 5

Om de fem komponenterna Ej en linjär process De måste integreras (ömsesidighet) De måste anpassas och därför vara dynamiska Utformning varierar mellan industrier och bolag Inga företag skall ha identiska kontrollstrukturer 6

Om relationen till målen Målen är utgångspunkten för en god intern styrning och kontroll men granskningen av mål är INTE en del av den interna styrningen och kontrollen och den.. kan inte säkerställa bra mål enligt COSO Att sätta mål är således en del av ledningsprocessen Tre kategorier av målsättningar förekommer: o Operativa (performance etc.) o Rapportering (finansiell/icke-finansiell) o Compliance (regelefterlevnad) 7

Om begränsningar i intern styrning och kontroll Målsättningar är sällan perfekta Människor fattar dåliga beslut ibland Processer och system är inte ofelbara Ledningen kan kringgå kontroller Bedrägerier genom maskopi [Reasonable assurance]. 8

Principer för god intern styrning och kontroll 17 principer fördelade över 5 komponenter Principer relaterade till specifika komponenter Principerna är relevanta för alla organisationer Principer relaterar till alla målkategorier 9

Effektivitet i intern styrning och kontroll Ett effektivt system reducerar, till en acceptabel nivå, risken att ej uppnå mål inom någon kategori Förutsättningar för att systemet skall vara effektivt: o Alla komponenter och principer skall vara närvarande och fungera effektivt o Alla komponenter skall vara ömsesidigt anpassade och integrerade Det är dock en fråga om grad av uppfyllnad 10

Effektivitet i intern styrning och kontroll (2) Ramverket föreskriver vilka förutsättningar som gäller för att systemet skall kunna betraktas som effektivt Ramverket föreskriver inte processen för hur styrelse och ledning kommer fram till och bedömer huruvida systemet är effektivt (även om verktyg finns..) 11

Effektivitet i intern styrning och kontroll (3) Komponenter och principer finns [present] Komponenter och principer fungerar [functioning] o Organisationen förstår hur principer tillämpas i praktiken o o Organisationen hjälper medarbetare med att utveckla och tillämpa principer Avvikelser i komponenter och principer triggar organisationen till åtgärder När fungerar intern styrning och kontrollen effektivt: När intern styrning och kontroll bedöms vara effektiv så vet styrelse och verkställande ledning med rimlig säkerhet att organisationen: o o o o Uppnår operativa målsättningar när standarder och kriterier är etablerade av lagstiftare, tillsynsmyndigheter och normgivare Förstår i hur hög grad verksamheten drivs på ett effektivt och ändamålsenligt sätt när externa standarder ej existerar Upprättar rapporter i enlighet med regelverk, lagar och standarder etablerade av lagstiftare, tillsynsmyndigheter och normgivare, eller med verksamhetens specifika mål och policyer Efterlever lagar och förordningar 12

Om brister i intern styrning och kontroll Svaghet i komponent eller princip, som på ett väsentligt sätt kan hindra måluppfyllnad = brist i intern kontroll [internal control deficiency] Svaghet, eller kombination av svagheter, som är tillräckligt allvarliga så att de negativt påverkar sannolikheten för måluppfyllnad = väsentlig brist i intern kontroll [major deficiency] 13

Kontrollmiljö Kontrollmiljön är en uppsättning standarder, processer och strukturer som utgör grunden för att utföra intern styrning och kontroll inom organisationen. Det är styrelsen och verkställande ledning som etablerar ledningssstilen i ord och handling, samt klargör vikten av intern kontroll och förväntningar rörande etiskt uppförande Ramverket anger 5 principer för organisationens kontrollmiljö: 1. The organization demonstrates a commitment to integrity and ethical values. 2. The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control. 3. Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives. 4. The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives. 5. The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives. 14

Riskbedömning Riskbedömning är en dynamisk process för att identifiera och analysera risker i relation till företagets målsättningar. Riskbedömning utgör basen för hur risker skall behandlas och hanteras Ramverket anger 4 principer för organisationens riskbedömning: 1. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives. 2. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed 3. The organization considers the potential for fraud in assessing risks to the achievement of objectives. 4. The organization identifies and assesses changes that could significantly impact the system of internal control. 15

Kontrollaktiviteter Kontrollaktiviteter är de aktiviteter som etableras av policyer och rutiner och som bidrar till att säkerställa att ledningens direktiv för att hantera risker verkställs. Kontrollaktiviteter utförs på alla nivåer inom organisationen, inom affärsprocesser och i relation till IT Ramverket anger 3 principer för organisationens kontrollaktiviter: 1. The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels. 2. The organization selects and develops general control activities over technology to support the achievement of objectives. 3. The organization deploys control activities through policies that establish what is expected and procedures that put policies into action. 16

Information och Kommunikation Information är nödvändig för att organisationen skall kunna ta sitt ansvar för intern styrning och kontroll, i relation till dess målsättningar. Kommunikation utförs både externt och internt, och förser organisationen med nödvändig information för att kunna utforma och utföra intern styrning och kontroll. Kommunikation möjliggör att organisation och personal förstår ansvar rörande intern styrning och kontroll, och dess betydelse i relation till risker och målsättningar. Ramverket anger 3 principer för organisationens information och kommunikation: 1. The organization obtains or generates and uses relevant, quality information to support the functioning of other components of internal control. 2. The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of other components of internal control. 3. The organization communicates with external parties regarding matters affecting the functioning of other components of internal control. 17

Uppföljning och Övervakning Uppföljning och övervakning sker i syfte att över tid säkerställa att den interna styrningen och kontrollen förblir relevant och fungerande. Uppföljning sker på olika nivåer och med olika frekvens, och möjliggör att kontroller anpassas samt att avvikelser snabbt identifieras och adresseras inom organisationen. Uppföljning av intern styrning och kontroll är en del av företagets naturliga förbättringsarbete Ramverket anger 2 principer för organisationens uppföljning: 1. The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning 2. The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate. 18

Principernas roll Alla principer är relevanta för alla organisationer En princip har en väsentlig påverkan på hur den specifika komponenten fungerar En princip som ej är närvarande eller fungerar väl = väsentlig brist Bedömning av grad av uppfyllnad, det är alltså inte en fråga om uppfyllnad eller avsaknad av uppfyllnad.. 19

Intern styrning och kontroll en bedömningsaktivitet Krävs professionellt omdöme för att utforma, tillämpa och följa upp systemet för intern styrning och kontroll, såsom vid att: o Välja, utforma och tillämpa kontroller i relation till komponenter och principer o Bedöma huruvida komponenter och principer fungerar tillfredställande o Bedöma kontrollbrister i relation till påverkan på målsättningar 20

Ramverket introducerar Fokusområden Ramverket introducerar fokusområden Utgör typiskt sett viktiga attribut hos principer Utgör stöd för att bedöma principer Utgör stöd för att underbygga bedömningar Dock, möjligt att välja andra fokusområden 21

Ramverket om Cost/Benefit-analysen Trygghet i relation till måluppfyllnad (+) Onödiga brister och incidenter undviks (+) Företagsexterna fördelar (+) Kostnader för kompetent personal (-) Kostnader för kontroller (-) Bedömning av cost/benefit väsentlig Upp till varje företag och ledning att bedöma Att enbart beakta kostnader = otillräckligt 22

Ramverket om dokumentation Skapar tydlighet kring förhållningsätt Ger stöd vid träning och utveckling Utgör bevis Ledningen bedömer formaliseringsbehov Detta är beroende av företagets art, komplexitet och storlek Viss nivå av formalisering nödvändig..får dock ej leda till onödig och kostsam byråkratisering som tynger organisationen 23

Kontrollmiljö 5 principer 1. Hantera frågor om integritet och etik 2. Följa upp och övervaka av styrelse 3. Etablera strukturer, roller och ansvar av ledningen 4. Attrahera och behålla kompetens 5. Utkräva ansvar inom organisationen [accountability] 24

Princip 1: Integritet och etik 4 Fokusområden I. Ange tonen vid toppen II. Etablera uppförandekoder III. Utvärdera efterlevnad av uppförandekoder IV. Adressera avvikelser 25

Princip 2: Styrelsens uppföljning 4 Fokusområden I. Etablera ansvar för uppföljning av intern kontroll II. Använd relevant kompetens III. Fungera oberoende (i relation till ledning) IV. Aktivt övervaka systemet för intern styrning och kontroll 26

Princip 3: Struktur, mandat och ansvar 3 Fokusområden I. Beakta all verksamhet i organisationen II. Etablera rapporteringsvägar III. Definiera, fördela och begränsa mandat och ansvar 27

Princip 4: Attrahera och behålla kompetens 4 Fokusområden I. Etablera policyer och rutiner II. Utvärdera kompetens och hantera gap III. Attrahera, utveckla och behålla personal IV. Planera och hantera HR-kontinuitet (succession) 28

Princip 5: Utkräva ansvar 5 Fokusområden I. Utkräva ansvar genom struktur, mandat och ansvar II. III. IV. Etablera mål och mätetal, incentiv och belöningssystem Utvärdera mål och mätetal, incentiv och belöningssystem löpande Beakta konflikterande drivkrafter V. Utvärdera performance (prestationer) och belöna personal, samt hantera och följ upp undermålig prestation 29

Riskbedömning 4 principer 1. Specificera lämpliga mål 2. Identifiera och analysera risker 3. Analysera risker för oegentligheter 4. Identifiera och analysera väsentliga förändringar 30

Princip 1: Specificera lämpliga mål Fokusområden - operativa målsättningar I. Besluta om mål som reflekterar medvetna beslut om vägval II. III. IV. Beakta tolerans för risk Beakta både finansiella/icke-finansiella mål Allokera resurser baserat på mål 31

Princip 1: Specificera lämpliga mål Fokusområden - extern finansiell rapportering I. Efterleva god redovisningssed II. Beakta matrialitet III. Rapportering ska reflektera underliggande transaktionsflöden 32

Princip 1: Specificera lämpliga mål Fokusområden - extern icke-finansiell rapportering I. Efterleva externa standarder och ramverk II. III. Beakta nödvändig och efterfrågad precisionsnivå i rapportering Rapportering ska reflektera underliggande transaktionsflöden och aktiviteter 33

Princip 1: Specificera lämpliga mål Fokusområden - intern rapportering I. Skall reflektera ledningens vägval och beslut II. Beakta nödvändig och krävd precisionsnivå i rapportering III. Skall reflektera organisationens aktiviteter 34

Princip 1: Specificera lämpliga mål Fokusområden - regelefterlevnad (compliance) I. Skall reflektera externa lagar och regler II. Beakta organisationens toleransnivå för risk 35

Princip 2: Identifiera och analysera risk 5 Fokusområden I. Identifiera alla relevanta enheter II. Analysera interna och externa faktorer III. Involvera ledningen på alla relevanta nivåer IV. Bedöma riskernas väsentlighet V. Besluta om riskbehandling 36

Princip 3: Bedöma risk för oegentligheter 4 Fokusområden I. Beakta olika typer av oegentligheter II. Bedöm belöningsssystem och drivkrafter III. Bedöm möjligheterna för oegentligheter IV. Utvärdera attityder 37

Princip 4: Identifiera och analysera förändring 3 Fokusområden I. Bedöm extern förändring i omgivning II. Bedöm förändringar i affärsmodell III. Bedöm förändringar i ledningen 38

Kontrollaktiviteter 3 principer 1. Välja och utveckla kontrollaktiviteter i relation till väsentliga risker 2. Välja och utveckla kontroller över IT i relation till väsentliga risker 3. Utveckla och implementera policyer som beskriver kontrollens utformning, och rutiner som beskriver kontrollens utförande 39

Princip 1: Välja och utveckla kontrollaktiviteter 6 Fokusområden I. Integrera med riskbedömning II. Beakta den specifika organisationens krav III. Fastställa väsentliga affärsprocesser IV. Utvärdera mix av kontroller V. Beakta nivå på kontroller (företagsövergripande vs process) VI. Beakta uppdelning av ansvar (SoD) 40

Princip 2: Välja och utveckla kontrollaktiviteter över IT 4 Fokusområden I. Fastställ beroende mellan IT i processer och generella kontroller över IT II. III. IV. Etablera relevanta kontroller över infrastrukturens IT Etablera relevanta kontroller över säkerhet Etablera relevanta livscykel-kontroller över IT (införskaffa, utveckla, underhålla etc) 41

Princip 3: Utveckla och implementera policyer och rutiner 6 Fokusområden I. Etablera policyer och rutiner som stöd för ledningens beslut II. III. IV. Etablera ansvar och ansvarsutkrävande rörande utförandet av kontroller Utföra kontroller enligt policy och rutin Vidta relevanta åtgärder vid avvikelser V. Använd kompetent personal för olika kontroller VI. Löpande omvärdera befintliga policyer och rutiner 42

Information och kommunikation 3 principer 1. Skaffa och använd relevant information med hög kvalitet för att stöjda de övriga komponenternas funktion 2. Kommunicera information internt om roller och ansvar samt hur kontroller skall hanteras, i syfte att säkerställa att övriga komponenter fungerar 3. Kommunicera med externa parter i syfte att säkeställa att övriga komponenter fungerar (ex. koppling till koncernextern utkontraktering) 43

Princip 1: Använd relevant information 5 Fokusområden I. Identifera behov av information II. Identifera externa och interna källor till data III. "Processa" relevant data till information IV. Bibehåll kvalitet i "processandet" av data V. Beakta kostnader och fördelar 44

Princip 2: Kommunicera internt 4 Fokusområden I. Kommunicera information rörande intern kontroll II. Kommunicera med styrelsen III. Säkerställ separata kommunikationsvägar IV. Välj relevanta metoder för kommunikation 45

Princip 3: Kommunicera externt 5 Fokusområden I. Kommunicera med externa parter II. Säkerställ information från externa parter III. Kommunicera med styrelsen IV. Säkerställ separata kommunikationsvägar V. Välj relevanta metoder för kommunikation 46

Uppföljning 2 principer 1. Organisationen väljer, utformar och implementerar löpande och separat uppföljning i syfte att säkerställa att komponenter fungerar 2. Organisationen kommunicerar avvikelser till berörda parter (de som är ansvariga för att åtgärda avvikelser), samt vid behov till styrelse och ledning 47

Princip 1: Löpande och separat uppföljning 7 Fokusområden I. Etablera mix mellan löpande och separat uppföljning II. III. IV. Beakta förändringshastighet i omgivning och verksamhet Etablera utgångspunkt/baslinje för kontroll Använd kompetent personal V. Integrera med affärsprocesser VI. Justera omfattning och frekvens VII. Utvärdera objektivt 48

Princip 2: Utvärdera och kommunicera avvikelser 3 Fokusområden I. Utvärdera resultat II. Kommunicera avvikelser III. Övervaka och följ upp beslutade åtgärder 49

Om utvärdering och bedömning av effektiviteten i intern styrning och kontroll Kompendiet ger stöd för 2 huvudsakliga frågeställningar: Fungerar varje komponent och princip för sig? Fungerar komponenterna ihop? 50

Om utvärdering och bedömning av effektiviteten i intern styrning och kontroll Verktyg för att bedöma effektivitet i intern styrning och kontroll: Mallar: Används för att kunna bedöma effektiviten i systemet för intern styrning och kontroll, samt dokumentera denna bedömning. Scenarier: Illustrerar hur mallarna kan används för att stödja en bedömning av effektiviteten i systemet för intern styrning och kontroll. 51

Om mallarna för bedömning av Intern styrning och kontroll Indikerar en form för bedömningssätt Ej integrerad med ramverket (stand-alone) Följer dock kraven utifrån ramverket Mallar är inget stöd för utvärdering på kontrollnivå..enbart på komponent- och principnivå Stödjer en top-down riskbaserad ansats Följande mallar finns: o Överordnat bedömning av ISK o Bedömning av komponent o Bedömning av princip o Sammanfattning av brister i ISK 52

Föreslagen bedömningsprocess 53

Övergripande bedömning 54

Bedömning av komponent 55

Bedömning av principer 56

Sammanfattning av brister 57

Extern finansiell rapportering (kompendiet) 1. Exemplifieringar 2. Ramverket är utgångspunkten 58

Tack och verkställ 59