Guidance Part II on the 8th EU Company Law Directive article 41 for Senior Management utgiven av ECIIA och Ferma i december 2011. Monitoring the effectiveness of internal control, internal audit and risk management systems 2011-04-19 1
1. The 8th EU Company Law Directive (article 41) Syfte: Harmonisering av lagstadgad revision och intern kontroll inom EU. 2. Den svenska aktiebolagslagen (ABL) 8 kapitlet uppdaterades i juni 2009 med bl.a krav på A. ett revisionsutskott till styrelsen B. vilka uppgifter utskottet ansvarar för. 3. Guidance Part I av ECIIA och Ferma till det 8 direktivet artikel 41 avseende styrelsens roll och ansvar. Part II av ECIIA och Ferma till det 8 direktivet artikel 41 avseende uppgifter för företagsledning, riskhantering, internrevision och intern kontroll samt inbördes ansvarsfördelning. 2011-04-19 2
Syfte med dagens genomgång: 1. Kort om förra mötet inkl Guidance Part I avs Revisionsutskottet 2. Gå igenom innehållet i Guidance Part II för företagsledningen 3. Genomgång av gemensam rapport från IIA och RIMS Forging a Collaborative Alliance 4. Erfarenhetsutbyte och nätverka 2011-04-19 3
Uppdatering 1. Huvuddrag Guidance Part I 2. Slutsatser från förra mötet 3. Swermaenkät om ERM hösten 2011. Observationer. 2011-04-19 4
Huvuddrag Guidance Part I 1. Avser styrelsen och revisionsutskottet (RU) 2. Uppgiften: Monitoring the effectiveness of internal control, internal audit and risk management systems enl direktivet 3. Guidance föreslår vad som är RU:s uppgifter. Vad som skall övervakas och hur det skall övervakas! Guidance rekommenderar vad som 1. utmärker en effektiv övervakning, 2. klargör vad som är en bra ansvarsfördelning mellan olika riskfunktioner och 3. föreslår goda rutiner för RM-processen, internkontrollsystemet och internrevisionsfunktionen 2011-04-19 5
Revisionsutskottets uppgifter* är att: 1. övervaka den finansiella rapporteringen 2. övervaka effektiviteten i bolagets interna kontroll, internrevision och riskhantering (med avseende på den finansiella rapporteringen, enl ABL enbart) 3. hålla sig informerat om års- och koncernredovisning 4. granska och övervaka den lagstadgade revisorns oberoende och opartiskhet * enligt direktivet och ABL 2011-04-19 6
Slutsatser från förra mötet Deltagarna vid förra mötet var i huvudsak från börsnoterade industriföretag, och i huvudsak internrevisorer 1. En klar majoritet hade ett RU 2. En majoritet ansåg att RU inte hade en effektiv övervakning i praktiken. Undantag var finansiella bolag. 3. En känsla av osäkerhet om RM funktionen levererade bra tjänster och var effektiv. 4. Samarbetet mellan IR och RM var i sin linda. Nästan alla IR befann sig i granskningsrollen. 2011-04-19 7
Slutsatser från förra mötet Resultat av grupparbeten. Fråga 1. Hur fungerar relationerna och samarbetet mellan RM och IR? Bra. Det är bra att det finns en gemensam definition och ett gemensamt språk. Försvarslinjerna börjar bli tydliga. Professionerna befinner sig i olika utvecklingsfaser. RM blir mer och mer professionellt. Information börjar att delas RM processen börjar utvecklas tillsammans på vissa håll Problem. Oberoendefrågorna, om RM finns för långt ned i organisationen eller om IR inte har streckad linje till styrelsen. Filtreringsrisken att risker inte rapporteras. Interaktionen kan förbättras. En konkurrenssituation finns på många håll. 2011-04-19 8
Slutsatser från förra mötet Resultat av grupparbeten. Fråga 2. Hur ser den optimale RM eller internrevisorn ut? Alla var ense om att det i stort sett är samma egenskaper som krävs för bägge tjänsterna: Hög etik. Hög integritet. Modig. Diplomatisk God lärare Nyskapande inte bara titta i backspegeln Kan organisationen och affären Har respekt i organisationen Ihärdig och uthållig. 2011-04-19 9
Tankar om den optimale RM. Av Lori Widmer, Risk Management Makeover. Bakgrund Image som nej-sägare, bromskloss Ovilja att ta karriärrisker Detaljmänniskor, teknisk jargong Orsaker Saknar mjuka kompetenser kommunikationsförmåga Fel språk för företagsledningar Långsamma för företagsledningar Väg framåt Bli partner till strategi, ao-chefer Bryt upp från att vara försäkringsexpert Var med tidigt i projekt och initiativ Tala pengar, tänk på intäkter inte bara lägre kostnader. Skapa värde! 2011-04-19 10
About the Survey 41 respondents from all four Nordic Countries Majority are listed companies Different sized companies, with average size of 20 000 employees. Sufficient feedback from all except Norway Benchmarking scale has been applied (with disclaimer for objectivity)
Overall findings Finnish companies are in the front Top 6 2 Finnish (among top 4) 2 Swedish 1 Danish 1 Norwegian No 1 is Swedish (highest score) Big gap between the best and the rest Nordic companies are catching up. T Bogärde
Key Outcomes - Nordic Companies cont d Governance/organisation: well under way Management (62%) is the primary driver of ERM. Roles and responsibilities are clearly defined (75%) Around 50% of companies have a dedicated risk executive Risk managers usually report to CFO Over 60% have adopted a specific ERM standard. ISO 31000 is the most common standard today, 21%!
Key Outcomes - Nordic Companies cont d Risk Communication/Coordination: in good progress Gratifying results!
Key Outcomes - Nordic Companies cont d Risk Communication/Coordination: in good progress Potential!
Key Outcomes - Nordic Companies cont d Trend: increased maturity 45% is mature. Improvement!
Key Outcomes - Nordic Companies cont d Comparison to rest of Europe Drivers different More report to CEO and Board in Europe IA more involved in Europe More use ISO 31000 in Nordic countries
Key Outcomes - Nordic Companies cont d Features of top 6 ranked companies Strong coordination/cooperation with both risk oversight function (5) and internal audit function (4). Except one company, the relationship with IA is regarded as excellent and IA s role is partner or consultant.
Key Outcomes - Nordic Companies Conclusions Nordic companies are climbing on the maturity scale and have continued ambitions Well embedded with ordinary governance or business planning a complementary tool Coordination/cooperation with governance and assurance processes makes the difference between top and medium performance!!
NORDIC ERM SURVEY 2011 - SUMMARY Q A B C D E F G H I J K L M N O P Q R S T V W X Y Z AA AB AC AD AE AF AG AH AI AJ 1 2 3 ERM ERM ERM ERM ERM ERM ERM ERM O O O ERM ERM O O ERM O ERM O ERM O O O O O O O O O O O O - O O 4-5 - 6 - - 7 8-9 - - 10-11 XL XL XL XL XL XL XL XL XL XL XL XL XL XL XL XL XL XL XL XL - XL 12-13 - - 14 CEO RM CFO RM CFO CFO CFO RM IA CFO CFO CFO CFO CEO CFO RM CFO RM Leg IA RM IA CFO RM RM O - Tr CFO RM RM - - Tr O 15 S,W,O W S All S,W S, I S W S,W S,W O S,W W O S,W,I All S,W,I W,I O S,W S,W S,O I, Q S,W Q S,Q,O All O I,O S,W O S,O - S O 16-17 - - 18 - - - - - - - - - - - - - - - - - - - 19 - - 20 - - - - - - - - - 21 - - - - 22 - - - - - - - 23 COSO ISO Own Comb ISO ISO ISO Own Comb COSO Own Comb Own Own Comb Own COSO Comb Comb - Own - - 24 4 Cont 12 4 4 2 2 2 2 2 Cont 2 1 4 1 2 1 4 1 1 4 2 1 N/A 1 Cont 4 1 N/A 2 - N/A - - N/A 25 - - - - - - - - N/A - - - - - N/A 26 - - - - - - - - - 27 - - - - - - - - - - - - - - - 28 - - - - - 29 - - - - - - - - - - - - - - 30 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - LEGEND: - Question not answered For YES/NO - questions: YES For questions with graded answers: Excellent Medium NO Good Could be better Not so good / bad
Background What does ERM mean? Who should lead it? How do both IA and RM fit into the equation? How can internal audit both assist and independently evaluate risk management activities? The fact that these questions continue to be asked highlights an apparent role confusion which, in some organizations, has hindered the collaboration between the IA and RM functions.
Stronger, more efficient risk practices The IIA and RIMS believe that collaboration between the disciplines of internal audit and risk management, can lead to stronger risk practices in meeting stakeholder expectations. It is clear that leading organizations have discovered efficiencies, better decision-making and improved results by forming strong alliances between the risk management and internal audit functions.
ERM, Audit Plan, Critical Risks There is tremendous value in sharing ERM results with internal audit so that these considerations can be factored into the audit plan. Discussing the risk-based audit plan with the risk management team provides insights garnered from different perspectives on organizational governance and enterprise oversight. Over time, this approach adds value by eliminating redundancies in identifying critical risks to the organization, produces a common and aligned view of the organization s risk profile, and helps to instill a consistent risk management vocabulary.
The Roles and Responsibilities of Risk Management
Informed decisions about uncertainties ERM focuses on how to make informed decisions about uncertainties that affect the organization s future The ERM-function provides the process and methods to manage unwanted variations from expectations, which are linked directly to the overall corporate strategy.
Case Studies Organizations have structured their internal audit and risk management functions differently, but certain common and effective collaborative practices emerges, resulting in recognizable value: Link the audit plan and the enterprise risk assessment, and share other work products. Provides assurance that critical risks are being identified effectively. Share available resources wherever and whenever possible. Allows for efficient use of scarce resources, such as financial, staff and time. Cross-leverage each function s respective competencies, roles and responsibilities. Provides communication depth and consistency, especially at the board and management levels. Assess and monitor strategic risks. Allows for deeper understanding and focused action on the most significant risks.
Internal Audit s Role The internal auditor s expertise in considering risks, in understanding the connections between risks and governance, and in facilitation means the internal audit activity is well qualified to act as champion and even project manager for ERM, especially in the early stages of its introduction. The Role of Internal Auditing in Enterprise-wide Risk Management.
The Roles and Responsibilities of Internal Audit Related to Risk Management
Case Studies The report highlights four organizations that have benefited from coordination between their internal audit and risk management functions with respect to enterprise risk management: Cisco Hospital Corporation of America (HCA) TD Ameritrade Whirlpool
Cisco Systems The executive sponsors of the ERM process meet quarterly to review the process and discuss emerging risks and new initiatives. ERM updates are provided at each of Cisco s six yearly audit committee meetings and covered in depth at two of them. ERM activities are on the full board agenda on a periodic basis, but risk-related activity by management is included in the briefing material for all board meetings.
Whirlpool Corporation Both functions report functionally to the audit committee CAE reports to the CFO ERM reports to vp Corporate Treasury Monthly joint meetings At the end of the day, collaborating with ERM has made our audits that much more meaningful for the business and for our senior leaders.
Whirlpool Whirlpool confirms that both internal audit and risk management learn new things and provide a wealth of risk- and control-related information that increases the effectiveness of both functions when they leverage each other s roles with open communications. Each reviews and learns from the other s reports. Together, they spend time with Whirlpool s executives and the executives teams on risk-related issues. By working jointly with risk management, a much larger risk portfolio emerges. Risk areas may be uncovered in the white spaces that do not have a readily identifiable owner or associated control function.
CONCLUSIONS The IIA and RIMS believe that collaboration between the risk-related disciplines of internal audit and risk management can lead to stronger risk practices in meeting stakeholder expectations. The two functions make a powerful team when they collaborate and leverage one another s resources, skill sets and experiences to build robust risk capabilities across their organizations.
Conclusions Link the audit plan and the enterprise risk assessment, and share other work products Share available resources wherever and whenever possible Cross-leverage each function s respective competencies, roles and responsibilities Assess and monitor strategic risks We believe that effective collaboration and open dialogue results in a more robust view of the entire risk portfolio.
If an enterprise has the ability to manage important strategic and operating risks, then its management plays a positive role in determining its operational success.
Rating Criteria Background The term "management and governance" encompasses the broad range of oversight and direction conducted by an enterprise's owners, board representatives, executives, and functional managers. Their strategic competence, operational effectiveness, and ability to manage risks shape an enterprise's competitiveness in the marketplace and the strength of its "business risk profile" (as our criteria define the term). If an enterprise has the ability to manage important strategic and operating risks, then its management plays a positive role in determining its operational success. Alternatively, weak management with a flawed operating strategy or an inability to execute its business plan effectively is likely to substantially weaken an enterprise's business risk profile.
Analysis of Management & Governance The proposed analysis of management and governance consists of a review of: Strategic positioning, Risk management/financial management, Organizational effectiveness, and Governance.
Guidance on the 8th EU Company Law Directive Article 41 Syftet med del 2 Att ge ledningen en handledning i hur man anpassar företaget till kraven enligt 8:e direktivet. Styrelsen är ytterst ansvarig för företagets riskhantering och interna kontroll men även företagets högsta ledning (CEO och CFO) har ett stort ansvar. För att kunna uppnå ett tydligt ansvar och tydliga roller hänvisar man till Three Lines of Defence Model. 2011-03-08 40
Guidance on the 8th EU Company Law Directive Article 41 The Three Lines of Defense Model Board / Audit Committee Shareholders Senior Management 1 st Line of Defense 2 nd Line of Defense 3 rd Line of Defense Operational Management Internal Controls Risk Management Compliance Others 2011-03-08 41
Guidance on the 8th EU Company Law Directive Article 41 Ett antal frågor och påståenden som syftar till att uppmärksamma företagens ledningar om sitt ansvar. Ställs företagets strategi, risknivå och riskaptit mot företags viktigaste mål? Innehåller affärsplanen en beskrivning av hur företaget hanterar och kontrollerar sina risker (inte eliminerar dem)? Är RM, IK och IR är tillräckligt oberoende för att ledningen ska få en fullständig bild av företagets risker? Identifierar ledningen kritiska processer och oförutsägbara kostnader? 2011-03-08 42
Guidance on the 8th EU Company Law Directive Article 41 Fortsättning Disponeras tillräckligt mycket tid åt RM, IK och IR vid ledningsmötena? IPPF Internrevisionschefen ska kommunicera internrevisionsverksamhetens planer. och resursbehov inklusive viktiga löpande förändringar till ledning och styrelse för granskning och godkännande. Hänvisar till IIA och FERMAS s lokala föreningar avseende frågor om vilka krav som finns på redovisning av risker/kontrollfrågor i ÅR 2012-04-19 43
Guidance on the 8th EU Company Law Directive Article 41 Företagets riskanalys och internrevisionens revisionsplan Viktigt att samtliga väsentliga risker finns med i företagets riskanalys Viktigt att det finns en regelbunden koordinering mellan RM, IK och IR? IPPF - Samordning Internrevisionschefen ska informera om och samordna verksamheten med andra interna och externa leverantörer av säkrings- och rådgivningstjänster av betydelse för att säkerställa lämplig täckning och minimera dubbelarbete. Förslag till grupparbete: Hur kan en koordinering ske på ett optimalt sätt? 2011-03-08 44
Guidance on the 8th EU Company Law Directive Article 41 Frågor om internrevisonens ansvar och roll Är internrevisionen tillräckligt oberoende och vem rapporterar den till? Vem utser internrevisionschefen? Vem bedömer/utvärderar internrevisionen IPPF : Internrevisionsverksamheten ska vara oberoende och internrevisor ska vara objektiv vid utförandet av sitt arbete. 2011-03-08 45
Guidance on the 8th EU Company Law Directive Article 41 Hur prioriteras internrevisionens granskningar? IPPF Internrevisionschefen ska upprätta riskbaserade planer för att fastställa internrevisionsverksamhetens prioriteringar och deras överensstämmelse med organisationens mål.
Guidance on the 8th EU Company Law Directive Article 41 Finns effektiva uppföljningsprocesser som säkerställer att stora förändringar i risker och kontrollmiljön beaktas? IPPF Riskhanteringsprocessen bör övervakas genom löpande uppföljning, separata utvärderingar eller bägge delarna. 2011-03-08 47
Guidance on the 8th EU Company Law Directive Article 41 Finns en koppling mellan företagets egen riskanalys och IR:s riskanalys? Viktigt att väsentliga risker och nyckelprocesser beaktas i revisionsplanen.. Viktigt att det finns en koppling mellan företagets mest kritiska risker och revisionsplanen. IPPF: Internrevisionschefen är ansvarig för att utarbeta en riskbaserad plan. Internrevisionschefen ska ta hänsyn till organisationens ramverk för riskhantering. I de fall det inte finns ett sådant ramverk ska internrevisionschefen använda sig av hans/hennes egen bedömning efter avstämning med ledning och styrelse.
Guidance on the 8th EU Company Law Directive Article 41 Gör internrevisionen en årlig utvärdering av företagets riskhantering och interna kontroll? IPPF IR:s ska systematiskt och strukturerat värdera och öka effektiviteten i riskhantering, styrning och kontroll samt ledningsprocesserna. IPPF IR:s Slutrapport ska när så är lämpligt innefatta internrevisorns omdöme och/eller slutsatser. Utvärderar internrevisionen första och andra linjens försvar? Grupparbete? Hur görs detta och i så fall hur? Finns förbättringsmöjligheter? 2011-03-08 49