INTERN REVISION #1/08 INFÖR ÅRSMÖTET 2008
INTERN REVISION Tidskrift om internrevision utgiven av Internrevisorerna. Material för publicering skickas direkt till tidningens e-mailadress yvonne@internrevisorerna.se. Du kan också kontakta- Peter Strandh, adress se nedan. Redaktionskommittén består av följande personer: PETER STRANDH, REDAKTÖR Ernst & Young AB, Box 7850, 103 99 Stockholm. Tel 08-520 590 00, fax 08-520 516 45, e-post: peter.strandh@se.ey.com YVONNE ALNEBJER KPMG, Box 49, 721 04 Västerås, Tel 021-10 62 82, mobil: 0733-272 104, fax 021-10 62 88, e-post: yvonne@internrevisorerna.se INGA ASTORSDOTTER Uppsala universitet, Box 256, 751 05 Uppsala Tel 018-471 1802, mobil: 070-425 0378 e-post: inga.astorsdotter@uadm.uu.se URBAN EKLUND Ericsson, Torshamnsgatan 23, 164 83 Stockholm Tel 08-568 666 26 GUNILLA LILJEROTH PPM, Box 1605, 111 86 Stockholm Tel 08-406 51 44, mobil 073-326 50 45, e-post: gunilla.liljeroth@ppm.nu LEIF ZETTERBERG, REDIGERING OCH LAYOUT Tel 08-720 18 02, e-post: leif.z@comhem.se NÄSTA NUMMER: Manusstopp den 3 april PRENUMERATION: 300 kronor per år för icke-medlem. ANSVARIG UTGIVARE: Guidon Berggren ISSN: 1401-8950 TRYCK: Westerås Media Produktion, Västerås, 2008 Omslagsfoto: Yvonne Alnebjer INNEHÅLL NR 1 2008 03 Från redaktören 04 Från ordföranden 05 ÅRSMÖTE 2008: Kallelse kandidater till styrelseuppdrag valberedningen informerar 09 Riskvarning för COSO-förenklingar 11 Riskhantering, intern styrning och kontroll 13 CIA-spalten 14 Undvik negativa tidningsrubriker 16 KURSINFORMATION 18 Ett besök i fraudträsket 19 ESV ny revisionsmyndighet för EU-fonder 20 Kompetensutvecklingskommittén informerar 21 Effektivitet i statlig verksamhet 23 Lästips, Internal Auditor 24 Den första globala studien av internrevisionsyrket 25 Yrkesstrategiska kommittén informerar 26 Tematräff: Granskning av stora betalströmmar 27 Tematräff: Extern kvalitetssäkring 28 Nya medlemmar; Ekonomernas dagar 30 Från styrelsen och kansliet INTERNREVISION 2008 Manusstopp Utgivningsdag NR 2/2008 3 april 25 april NR 3/2008 29 maj 19 juni NR 4/2008 22 augusti 12 september NR 5/2008 9 oktober 31 oktober NR 6/2008 27 november 19 december Artiklar för publicering skickas till: yvonne@internrevisorerna.se ANNONSERA I INTERNREVISION Baksida: 15 000 kronor. Helsida: 8 000 kronor Halvsida: 6 000 kronor. Annonserar du flera gånger så bjuder vi på 10 procent rabatt. Alla priser exkl moms. Önskar du annonsera i InternreVision eller på föreningens hemsida, kontakta Yvonne Alnebjer eller Görel Hamilton på kansliet, tel 08-586 107 66. 2 INTERNREVISION 1/2008
FRÅN REDAKTÖREN: OM BEHOVET AV FÖRÄNDRINGAR EN TIDIGARE CHEF till mig, en mycket erfaren och välrenommerad börsrevisor menade vid ett slutrevisionsmöte 1991 att en organisation orkar bara med två större omorganisationer sedan är det stopp och inte lönt att försöka igen. Det jag nu kan konstatera är att detta inte längre är en sanning utan förändringar (ibland i form av omorganisationer) måste ske kontinuerligt som en löpande process. De företag, organisationer och medarbetare som inte har förmågan att förändras dukar obönhörligen under. Samma sak gäller för internrevisionen som profession att förändrings- och utvecklingsbenägenheten hela tiden måste vara hög. Redaktionen drar sitt strå till stacken genom att fortsätta att utveckla vår tidning så att den blir än bättre. Resultatet av dessa ansträngningar ser ni mer av i ett senare nummer av tidningen. LÄSARE AV DAGENS INDUSTRI kunde den 7 januari ta del av rubriken Revisorer ut i kylan. Tidningen syftade på den utredning som pågår kring revisionsplikten bland annat för att minska den administrativa bördan för småföretagarna. Det förslag som diskuteras innebär att över 98 procent av de bolag som idag har externrevisor inte längre behöver ha externrevision utförd. Bedömningen är att kostnaden med externrevision överstiger nyttan. Vad kan internrevisorer ta med sig från det som sker? Jo, det gäller för internrevisorer att säkerställa att verksamheten bedrivs på ett sådant sätt att nyttan överstiger kostnaden annars finns en risk för att efterfrågan på internrevision minskar. Det har faktiskt hänt förr. FAR SRS SKAPAR EN SEKTION för affärsrådgivning. Ni som var med på höstkonferensen och lyssnade på dess ordförande Dan Brännström kunde både se och höra hur han sträckte ut handen till ett närmare samarbete med Internrevisorerna. Som ett led i att utveckla FAR SRS och spegla den verksamhet som revisionsbyråerna faktiskt bedriver idag håller FAR SRS på att starta en sektion för affärsrådgivare där bland annat de medarbetare som levererar internrevisionstjänster kan bli medlemmar. Min tro att detta kan bli positivt för internrevisorerna som får ytterligare ett språkrör. ÄNDRINGAR PÅ GÅNG i EG:s fjärde och sjunde bolagsrättsliga direktiv som innebär att noterade bolag ska upprätta en företagsstyrningsrapport som en del i årsredovisningen. Rapporten ska innehålla uppgift om principer för företagsstyrning, den interna kontrollen och riskhanteringen i samband med den finansiella rapporteringen. Företagsstyrningsrapporten ska revideras och i revisionsberättelsen ska den externa revisorn uttala sig om huruvida upplysningarna i företagsstyrningsrapporten om intern kontroll och riskhantering överensstämmer med övriga delar i årsredovisningen. Samtidigt genomförs nu en översyn av bolagsstyrningskoden som har kommit ut på remiss och där framgår att internkontrollrapporten blir lagstadgad när ovanstående ändringar i fjärde och sjunde bolagsrättsliga direktiven genomförs med sannolikt krav på materiell revisorsgranskning. I kollegiets förslag 10.5 framgår att styrelsen skall årligen lämna en beskrivning av de viktigaste inslagen i bolagets system för intern kontroll och riskhantering avseende den finansiella rapporteringen. Detta torde vara positivt för den fortsatta utvecklingen av den interna kontrollen i Sverige och i förlängningen för internrevisorerna. VÄL FUNGERANDE SAMARBETE mellan intern- och externrevisionen är en viktig framgångsfaktor för en effektiv revision. Jag ser att det blir allt vanligare i externrevisionsofferter att bolagen vid val av externrevisor lägger allt större vikt på externrevisorns förmåga att skapa ett effektivt samarbete med internrevisorn. Ett samarbete som bygger på en ömsesidig respekt och förståelse för de olika rollerna och kompetensen hos de interna och externa revisorerna. SIST MEN INTE MINST ett litet tänkvärt citat av James Arthur Baldwin: Not everything that is faced can be changed. But nothing can be changed until it is faced. Peter Strandh CIA och Auktoriserad revisor INTERNREVISION 1/2008 3
FRÅN ORDFÖRANDEN: JAG HOPPAS ATT FÅ SE MÅNGA AV ER PÅ ÅRSMÖTET DET ÄR LIKA SPÄNNANDE inför varje nytt år när man lägger upp planer och tänker igenom allt man vill göra och när det ska göras tills man konstaterar att man redan fyllt almanackan för nästkommande år. Hur ska man hinna med allt detta? Samtidigt är det lite kittlande att planera och försöka prioritera hela året redan nu. I styrelsen pågår ett intensivt planerande: Först ska det gamla året avslutas med bokslut och uppföljningar av förhoppningsvis uppnådda mål. Sedan handlar det om nya riktlinjer och nya mål för detta kommande år, men även att försöka kartlägga hur vi rent praktiskt ska kunna uppnå våra mål och drömmar. Enkäter och undersökningar ger oss ett underlag om medlemmarnas förväntningar på föreningen. Det ger en tydlig förväntansbild att vi tillsammans kan skapa en stark förening med: ett gott varumärke mot marknaden att skapa en bra och ändamålsenlig kompetensutveckling att skapa bra underlag och bra verktyg för medlemmarnas yrkesutövning att vi ger information och kommunicerar med varandra en god service från föreningen DESSA FÖRVÄNTNINGAR blir också föreningens och styrelsens målbild inför 2008. Det blir delvis en ny styrelse som får till uppgift att se till att vi förverkligar denna målbild. Om årsmötet ger sitt samtycke så kommer Yvonne Palm från Försäkringskassan, Anders Erlandsson från Den Danske Bank, Peter Strandh från Ernst & Young samt Michael Bernhardtz från Deloitte att vara nya ledamöter i styrelsen. Jag är övertygad om att dessa nyförvärv har en mycket hög kapacitet och i hög grad kommer att bidra till att vi når våra mål. Vi får ett mycket starkt och slagkraftigt lag inför 2008. Hon kommer dock att vara kvar i IT-kommittén och försäkringsnätverket och när tiden medger kommer hon att vid behov hjälpa styrelsen med olika utredningar. ETT AV VÅRA MÅL är att utveckla kommittéarbetet; det är där det praktiska och jordnära arbetet utförs. Våra kommittéer och nätverk har gjort ett fantastiskt arbete under 2007 och verkligen sett till att vi uppfyllt förväntningar och krav. Men det behövs ännu mer resurser för att vi tillsammans ska klara den expansion som inte bara föreningen utan hela yrkeskåren står inför. Vi fick en hel del anmälningar vid Internrevisionsdagarna men vi behöver ännu fler volunteers om vi ska kunna täcka hela förväntningsbilden. Vi behöver din hjälp, så anmäl dig till kansliet eller någon av kommittéordföranden redan i morgon. ATT INTERNREVISION ÄR på frammarsch visar sig också genom att flera närliggande organisationer som FAR-SRS, Swerma med flera organisationer önskar ett utbyte eller samarbete med oss. Ett exempel är att vi kommer att genomföra vårt årsmöte i samarbete med ISACA för att härigenom få en större bredd och samtidigt få en större kunskap om av våra organisationer. Jag tror och hoppas att ett gemensamt programutbud kommer att attrahera medlemmarna i båda våra organisationer. Jag hoppas att få se många av er på årsmötet den 3 april för det kommer att bli ett mycket givande program även om temat är katastrof. Signerat Guidon SAMTIDIGT ÄR DET med sorg i hjärtat jag tvingas avtacka vice ordförande Ann-Charlotte Klingberg för hennes insatser i styrelsen. Eftersom hon byter arbetsgivare och blir revisionschef på Skandia tvingas hon konstatera att tiden inte räcker till utan tar en time out från styrelsearbetet. 4 INTERNREVISION 1/2008
ÅRSMÖTE 2008 KALLELSE TILL ÅRSMÖTE I INTERNREVISORERNAS FÖRENING Torsdagen den 3 april, kl 14:00 18:30 Skandias lokaler, Sveavägen 44, Stockholm Internrevisorernas förening kallar till årsmöte. Mötet inleds med ett seminarium på temat Katastrof och kontinuitet och anordnas tillsammans med föreningen ISACA en intresseorganisation för IT-revisorer, informationssäkerhetsfolk samt de som arbetar med IT Governance. Detaljerat program utarbetas för närvarande och mer information kommer. Innan respektive årsmötesförhandling inleds så får du tillfälle att mingla och utbyta erfarenheter med medlemmar från Internrevisorerna och ISACA. På årsmötet får du ta del av information om föreningens verksamhet 2007 och 2008 samt möjlighet att vara med och påverka beslut i olika frågor. 14:00 Seminarium Katastrof och kontinuitet mer information och detaljerat program kommer 16:00 Mingel och lättare förtäring 17:00 Årsmöten för respektive förening (se separat dagordning, bilagor distribueras i mars) Deltagandet är kostnadsfritt. Vi ber dig att anmäla dig i god tid, dock senast den 27 mars, så att vi vet hur många som kommer. Om du är medlem i båda föreningarna anmäl ditt deltagande till den förening vars årsmöte du tänker närvara vid. Välkomna! Styrelsen ANMÄLAN TILL SEMINARIUM OCH FÖRENINGSMÖTE Anmälan görs till info@internrevisorerna.se rubricerat Föreningsmöte (alternativt via post till Internrevisorerna, Strandvägen 7 A, 114 56 Stockholm). Glöm inte att ange om du är medlem i båda föreningarna FÖRSLAG TILL DAGORDNING VID ÅRSMÖTE I INTERNREVISORERNAS FÖRENING 2008-04-03 01 Mötets öppnande. 02 Fastställande av dagordning. 03 Val av ordförande och sekreterare för årsmötet. 04 Val av två justeringsmän, tillika rösträknare. 05 Fråga om årsmötet behörigen utlysts. 06 Redogörelse för verksamhet och ekonomisk utfall i förening och bolag. 07 Stämmorepresentantens rapport 08 Etiknämndens rapport 09 Revisionsberättelsen. 10 Fastställande av balans- och resultaträkningar. 11 Beslut om disposition av föreningens resultat. 12 Fråga om ansvarsfrihet för styrelsen för det gångna årets förvaltning. 13 Val av ordförande, vice ordförande samt styrelseledamöter 14 Val av etiknämnd samt fastställande av instruktion för denna 15 Val av revisor och suppleant (16 Val av hedersmedlem inga förslag till nya hedersmedlemmar föreligger) 17 Val av medlem att representera föreningens aktier i Internrevisorernas Service (ISAB) AB på bolagsstämman samt fastställande av instruktion till denne. 18 Val av valberedning 19 Beslut angående arvode till revisor 20 Verksamhetsplan och budget 2008 21 Fastställande av avgifter till IRF och ISAB för verksamhetsåret 2009 Styrelsens förslag Oförändrad avgift jämfört med 2008. 22 Styrelsens ärenden (23 Övriga inkomna motioner Inga motioner har inkommit) 24 Övriga frågor CIA och årsnålar 25 Mötet avslutas. Namn:............................................... Företag:............................................. Jag är medlem i båda föreningarna JA NEJ INTERNREVISION 1/2008 5
ÅRSMÖTE 2008 KANDIDATER TILL STYRELSEN GUIDON BERGGREN: Partner och chefsrevisor i KPMG. Född och uppvuxen på Söder i Stockholm. Började sin yrkesbana som banktjänsteman på Skandinaviska Banken 1965. Blev distriktschef i Sparev (Sparbankernas Revisionsbyrå AB) 1970 och chefsrevisor för internrevisionen i sparbankerna i Mellansverige 1975. VD för Sparev Gävle-Dala mellan åren 1986 90 då företaget såldes till KPMG Bohlins AB. Regionchef i KPMG 1990 1998 med placering i Västerås. Ansvarig inom KPMG för internrevisionen i sparbankerna 1990 till dags dato. Medlem i Internrevisorernas Förening sedan 1982 och ansvarig redaktör för medlemstidningen InternreVision 1998 2006 då han valdes till föreningens ordförande. MICHAEL BERNHARDTZ: Partner på Deloitte och ansvarar för Deloittes internrevisionstjänster i Sverige. Civilekonom från Lunds Universitet och började som sådan på Arthur Andersen med externrevision 1996. Efter relativt kort tid började jag också arbeta med internrevision och riskhantering, och sedan 2000 arbetar jag enbart med det, och har därför tagit mig igenom CIA-proven. Under 2007 har jag varit delaktig i arbetet med hur hemsidan kan utformas för att bli en bättre kommunikationskanal för medlemmarna i föreningen, en intressant och viktig fråga, men inte nödvändigtvis lättlöst. Förhoppningsvis får hemsidan under 2008 en ökad användarvänlighet och med det ett större nyttjande bland medlemmarna som resultat. Att delta i föreningens styrelsearbete ser jag som mycket spännande och intressant, inte minst för att jag tror att internrevision och de frågor internrevisorer arbetar med under de närmaste åren kommer vara föremål för mången diskussion och en viss förändring. Kåren har i och med detta ett gyllene tillfälle att påverka den framtida spelplanen för internrevision. Jag hoppas att mina erfarenheter, vilka inkluderar internrevision inom såväl offentlig som privat sektor, kan vara till nytta i detta avseende och ser med stor tillförsikt fram emot resten av 2008! CARINA PETERSÉN-MALMSTRÖM, Skandia. Jag har arbetat som revisor hela mitt yrkesverksamma liv varav de senaste åtta åren som internrevisor. På If skadeförsäkring jobbade jag i fem roliga och lärorika år innan jag år 2005 tackade ja till tjänsten som chef för Skandia Livs nyinrättade internrevision. Kontakten med föreningen fick jag genom Klas Schöldström, som liksom jag då arbetade på Deloitte, år 2000. Det STYRELSEN ENLIGT VALBEREDNINGEN FÖRSLAG MICHAEL BERNHARDTZ Ledamot PETER STRANDH Informations- och kommunikationskommittén YVONNE PALM Medlemskommittén ULLA-KARI FÄLLMAN Kompetensutvecklingskommittén BERNT GYLLENSWÄRD Vice ordförande, Yrkesstrategiska kommittén GUIDON BERGGREN Ordförande HARALD LÖÖF Audit Director Roundtables ANDERS ERLANDSSON Ledamot CARINA PETERSÉN MALMSTRÖM Marknadskommittén KLAS SCHÖLDSTRÖM GS, VD, Internationella kommittén LOTTA LÖFSTRAND HJELM Styrelsesekreterare 6 INTERNREVISION 1/2008
TVÅ KANDIDATER TILL STYRELSEN: BERNT GYLLENSWÄRD, arbetar på PWC. Är redan ledamot i styrelsen och i Yrkesstrategiska kommittén. Valberedningen föreslår nu att Bernt ska bli Vice ordförande i föreningen. YVONNE PALM, Revisionschef i Försäkringskassan. Valberedningen föreslår att hon ska bli ledamot i styrelsen och Medlemskommittén. Du kan läsa en intervju med Yvonne i Internrevision nr 1 2 2007. Foto: Yvonne Alnebjer och Peter Nordahl behövs folk i Informationskommittén. Orförande i kommittén. Styrelsemedlem. På den vägen är jag ännu. Det behövs fortfarande folk, fast vi numera heter Marknadskommittén. Jag är verkligen glad att jag engagerade mig direkt i föreningen, nätverket, så många engagerade, duktiga, roliga, hjälpsamma och trevliga internrevisorer som jag lärt känna! Ordförande i Marknadskommittén. PETER STRANDH: Partner på Ernst & Young AB med ansvar för Financial Services. Peter sitter i styrelsen för Ernst & Young, är Auktoriserad revisor och Certified Internal Auditor (CIA). Peter är redaktör för tidningen InternreVision. Peter är dessutom ordförande i sektionen för affärsrådgivare inom FAR SRS. Peter har mer än 25 års yrkeserfarenhet av extern- och internrevision. Han har under de senaste åren haft kundansvar för större internkontrollprojekt avseende intern kontroll över finansiell rapportering. Jag tackar för förtroendet att vara föreslagen till att sitta i styrelsen för internrevisorerna. Internrevisorerna som profession har en hel del utmaningar såsom att marknadsföra och positionera intenrevisionens viktiga roll i en väl fungerande corporate governancestruktur. HARALD LÖF, ICA AB: Ansvarar för internrevisionen i ICA-koncernen sedan drygt fem år tillbaka. Har tidigare yrkeserfarenhet från arbete som auktoriserad revisor på Arthur Andersen, redovisningschef på Lexmark Nordic, ekonomichef och VD på Reader s Digest Scandinavia, ekonomichef på Sifo och CityMail, samt som egen konsult inom ekonomiledning. Engagerad i Internrevisorerna för att tillsammans med andra internrevisorer aktivt arbeta med att sätta internrevisionen på kartan på rätt sätt i styrelser och ledningar i näringslivet. Vill få uppleva att det räcker att säga att man har internrevision på företaget och att alla då vet vad det innebär utan att man behöver kolla vad det betyder på just det här företaget. Har tidigare arbetat med utbildningsfrågor inom Internrevisorerna och arbeter nu i styrelsen och med Roundtable för internrevisionschefer i större företag. ANDERS ERLANDSSON, Danske Bank: Jag har cirka 20 års erfarenhet som externrevisor, varav de senaste 15 åren hos KPMG Bohlins AB i Stockholm. Under min tid hos KPMG arbetade jag med revision och ekonomisk rådgivning hos såväl medelstora som noterade bolag och globala koncerner. Under en femårsperiod var jag även avdelningschef för en revisionsavdelning med drygt 20 medarbetare. I april 2006 lämnade jag min auktorisation och påbörjade en ny karriär som Internrevisonschef på Danske Bank i Sverige. I den rollen ansvarar jag för revisionen av banken i Sverige och ingår i den internationella ledningsgruppen för internrevisionen i Danske Bankkoncernen. I min roll som internrevisionschef sitter jag även med i Svenska Bankföreningens Revisionskommitté. Jag vill gärna arbeta för en vital och modern förening som arbetar för medlemmarnas bästa. Vidare är det viktigt att Internrevisorerna verkar för att höja statusen på professionen. PÅ NÄSTA SIDA REDOGÖR VALBEREDNINGEN FÖR SITT ARBETE INTERNREVISION 1/2008 7
ÅRSMÖTE 2008 VALBEREDNINGENS ARBETE 2007 2008 VALBEREDNINGEN har haft fem möten sedan vi tog över arbetet med att nominera styrelsemedlemmar, medlemmar till Etiknämnden och revisorer till föreningen Grundläggande principer för valberedningsarbetet Valberedningen har arbetat för att Internrevisorernas styrelse skall prägla medlemssammansättningen avseende kön, ålder, bransch etc., dock är det viktigt att styrelsemedlemmarna väljs på individuell basis. Även om det är bra att alla branscher (statliga, privata, bank och försäkring, konsulter ) finns representerade i styrelsen har inte detta skett med automatik, utan det har varit de individuellas egenskaper som styrt rekryteringen. Valberedningen har försäkrat sig om att den potentiella styrelsemedlemmen har den tid och det intresse som krävs för att delta i styrelsearbetet. Valberedningen anser att den princip som IIA tillämpar att man jobbar sig upp inom föreningen, det vill säga deltar i nätverk och kommittéer innan man rekryteras till en styrelseplats bör vara vägledande. Vi anser även att en förutsättning för att man skall kvalificera sig som styrelsemedlem, är att man är verksam inom yrket. Valberedningen stödjer inte de personer som vill delta i internationella uppdrag utan att först ha gjort insatser på nationell basis. Möten under 2007 2008 2007.05.23 inläsning av diverse dokument stadgar, styrelsens arbetsordning, organisation etc. 2007.08.14 möte med styrelseordförande Guidon Berggren 2007.10.02 diskussion om potentiella styrelsemedlemmar 2007.12.03 diskussion om potentiella styrelsemedlemmar 2008.01.29 slutgiltigt beslut om nominering till Årsstämman. Övriga aktiviteter Personlig kontakt med avgående styrelseledamöter. Syfte: Diskutera eventuellt återval och om ledamoten inte är intresserad om det finns annat arbete/projekt inom föreningen som kan vara intressant Artikel i Internrevisorernas tidning. Syfte: Väcka intresse för att arbeta för föreningen och framförallt i styrelsen. Utvärdera och analysera styrelsen egen utvärdering av styrelsearbetet samt styrelsens utvärdering av revisorernas arbete. Syfte: Utvärdera eventuella förändringar i styrelsen och vilken typ av profiler som behövs i styrelsearbetet Deltagande i diverse aktiviteter där internrevisorer samlas, till exempel tematräffar, nätverk, internrevisionens årliga konferens med mera. Syfte: Identifiera potentiella kandidater för styrelseuppdrag Besök i styrelsen (den 31:a januari) och förankring av de nominerade styrelsemedlemmarna. Elisabeth Styf Hans Löfgren Håkan Berg Ordförande KALENDARIUM 2008: KURSER Anmälan till våra kurser ska ske senast 4 veckor före kursstart. Läs vidare på www.internrevisorerna.se gå in under rubriken Verksamhet där du hittar alla våra kurser. 6 7 mars INTERVJUTEKNIK, 15 CPE Lärare: Richard Minogue och Helena Sundén 13 14 mars CIA-ENGELSKA, forts Lärare: Barry Siegel 1 3 april GRUNDKURS I INTERNREVISION, 24 CPE Lärare: Hans Löfgren och Mikael Boo 3 4 april CIA-ENGELSKA, forts Lärare: Barry Siegel 17 april WRITING EFFECTIVE AUDIT REPORTS, 8 CPE. Lärare Chris Becker 21 23 april RISK BASED INTERNAL AUDIT, 22 SPE Lärare: Gill Bolton, MIS 7 8 maj APPLIKATIONSGRANSKNING, 16 CPE Lärare: Lars Gyllenswärd och Märta Eklund 23 24 sep OPERATIONELL REVISION, 16 CPE Lärare: Bernt Gyllenswärd och Gunilla Werner Carlsson 14 16 okt QUALITY ASSESSMENT, 24 CPE Lärare: Hans Löfgren och Bernt Gyllenswärd 20 22 okt GRUNDKURS I INTERNREVISION, 24 CPE Lärare: Sven Lindén och Inga Astorsdotter Dec UTVÄRDERA DEN INTERNA KONTROLLEN UTIFRÅN COSO, 15 CPE Tid och plats ännu ej bestämt 1 2 dec INTERNREVISIONSDAGARNA 8 INTERNREVISION 1/2008
Riskvarning för COSO-förenklingar! Torbjörn Wikland reder ut några vanliga missuppfattningar Intern styrning och kontroll och riskhantering börjar bli hett. Både externrevisorer och internrevisorer dras in i hetluften : FAR SRS gick nyligen ut med förslaget att revisorerna bör betygsätta företagens finansiella rapportering, internkontroll med mera. Den amerikanska myndigheten PCAOB har på förslag ett direktiv om hur mindre börsbolag ska revidera den interna styrningen och kontrollen. EU: s bolagsdirektiv med krav på revisionskommittéer börjar ta form. Svenska bolagskoden är under översyn för eventuella förändringar. Statliga myndigheter får nu ett uttryckligt krav på sig att etablera en god intern styrning och kontroll genom en ny förordning som gäller från 1/1 2008. Massmedia visar också intresse. Övervärderingen av Carnegie blev en fråga om internkontroll och revisorernas ansvar. Varningsmissen till Ericssons aktieägare i oktober blev en fråga om finanschefens bristande internkontroll Samtidigt etableras COSO som den vanligaste referenspunkten för intern styrning och kontroll men även riskhantering i övrigt. Det är en trevlig utveckling, inte minst för internrevisorer, som länge hänvisat till COSO som standard. Men som så ofta vid snabba förändringar finns det skäl att varna för både missuppfattningar och förenklingar i hänvisningarna till COSO. Vad är Internal Control? När bolagskoden uttrycker krav på internkontroll och sedan hänvisar till COSO måste vän av ordning hissa röd flagg. Engelskans Control är inte detsamma som svenskans kontroll utan i första hand styrning. Styrning och kontroll är en användbar översättning. När jag därför hör att stora företag överväger att inrätta internkontrollavdelningar anar jag att bolagskodens felskrivning får konsekvenser. Den verkliga betydelsen av control avspeglas tydligt i det ramverk som bolagskoden hänvisar till, COSO Internal Control Integrated Framework. Där betonas att den mest avgörande komponenten är Control Environment. Den handlar om ledningsfilosofi, hur ledningen faktiskt styr, dess etik, kompetens och andra styrningsfrågor. Sådana mjuka faktorer dessutom har prioritet i värderingen Foto: Yvonne Alnebjer av den interna styrningen och kontrollen. Eftersom jag bidragit till att COSO:s Control Environment översatts till kontrollmiljön på svenska kan jag erkänna att det nog borde ha varit miljön för styrning och kontroll i stället. Om någon tvivlar på det möjliga och lämpliga i att göra sådana soft controls åberopar jag auktoriteter som den amerikanska INTERNREVISION 1/2008 9
myndighetens PCAOB:s Audit Statements och vad EU-kommissionen lagt fast om sin interna styrning och kontroll. Om man ska hänvisa till COSO är det bara att kavla upp ärmarna och mjukkolla! Behandlas frågor om mål i COSO Internal Control? Då och då stöter man på resonemang om att det nyare ramverket COSO Enterprise Risk Management från 2004 behandlar frågor om företagets/organisationens mål till skillnad från det gamla ramverket COSO Internal Control från 1992. COSO:s första ramverk säger emellertid något helt annat. I COSO Internal Control, ramverket för intern styrning och kontroll, står det under rubriken Komponenterna och Riskbedömning: En förutsättning för riskbedömningen är att etablerade mål finns knutna till olika nivåer som är internt konsistenta. Riskbedömningen är identifieringen av och analysen av relevanta risker för att uppnå målen. Samtidigt beskrivs komponenten riskbedömning som bestående av fyra faktorer: Hela företagets mål, aktivitetsmål, risker och hantera förändringar. COSO:s nuvarande ordförande Larry Rittenberg betonade vid sitt besök i Sverige förra året att målen är startpunkten för arbetet med den interna styrningen och kontrollen. Larry Rittenberg menade att man startar med målen, sedan gå in på riskerna kopplat till målen och därefter titta på kontrollmiljön och de övriga komponenterna. Han tillade att mål och risk helst bör uttryckas i samma sort. Är målen inte tillräckligt klara ökar riskerna! Går man till källan, ramverket Internal Control kan man inte missa att målen en grundläggande fråga! Är COSO ERM den senaste versionen av COSO:s ramverk? Många vill ha den senaste och trendigaste versionen av prylar, idéer eller synsätt. När därför COSO Enterprise Risk Management ERM kom 2004 så uppfattade många det som en ny version av CO- COSO SO:s Internal Control och alltså dags att arbeta med COSO ERM i stället. Läser man de två ramverken ordentligt förstår man att det är en missuppfattning. I COSO ERM står två frågor i fokus: 1) det strategiska arbetet i företaget samt 2) anpassningen av målen efter dels riskbedömningar i traditionell mening (risker för oönskade händelser, negativa risker) dels möjligheter eller chanser till bättre affärer (positiva risker). Ska man slå sig in på nya marknader eller avstå? Ska man utveckla nya eller förändra sina produkter och tjänster eller göra sig av med verksamheten som inte passar in i den övriga verksamheten? Kan en riskfylld verksamhetsgren skada varumärket? Det är typiska strategiska frågor där det kan finnas plats för en ny funktion i företaget en Chief Risk Officer, CRO, nära företagsledning eller styrelse. Med detta synsätt kan riskanalysen och riskhanteringen behöva utvecklas. Nya begrepp förs in i COSO:s ramverk för ERM såsom riskaptit, risktolerans, sammanvägda risker (portfolio view of risks), själva målformulerandet sätts under lupp och arbetet med risker delas in i flera steg. COSO:s ERM beskriver således ett nytt perspektiv på risker, även om det konstateras att det finns klara samband mellan de två ramverken. En god intern styrning och kontroll är en viktig grund för att utveckla en företagsövergripande riskhantering. Arbetet med COSO ERM förutsätter således arbete utifrån COSO Internal Control. Organisationen COSO har inte heller släppt intresset för Internal Control tvärtom! 2006 kom ett nytt viktigt dokument om hur finansiell rapportering kan hanteras i medelstora företag i perspektivet Internal Control. Ytterligare ett dokument är på väg som borrar i frågan hur komponenten monitoring, det vill säga övervakning, inklusive uppföljning och utvärdering ska hanteras i Internal Control. Finns det då ingenting i COSO ERM som skulle kunna tolkas som en uppdatering av COSO Internal Control? Jo, ett exempel är möjligheten att utvidga målet god finansiell rapportering till att även gälla all intern rapportering. Det kan vara intressant för myndigheter och andra organisationer där vinst/överskott inte är en grundbult och där resultatet inte speglas i den finansiella rapporteringen. Då handlar det egentligen inte om uppdatering utan COSO som inspiration för det som bäst passar de egna behoven. Statliga och kommunala myndigheter bör inte hänvisa till COSO ERM för att förbättra den interna styrningen och kontrollen. Myndigheter kan inte fritt välja vad de ska syssla med. Grunduppdragen är givna av den politiska nivån. Tänk er följande: En ny nitisk Chief Risk Officer på kronofogdemyndigheten vill tillämpa COSO ERM och föreslår därför verksledningen att man lägger ner den riskfyllda indrivningsverksamheten och i stället koncentrerar sig på de lugnare myndighetsuppgifter såsom skuldsanering och tillsyn i konkurser. Skulle det glädja några motorcykelbeväpnade klubbar när de pruttar omkring på sina inkassouppdrag? Men vår nitiske CRO kan oavsett detta inte medverka till sådana myndighetsbeslut! Det kan bara regering och riksdag göra genom ändrade lagar och förordningar. De politiska besluten kan jämföras med de strategiska besluten i företag. Att till exempel sälja ut statliga företag eller begränsa utrymmet för opinionsskapande myndigheter är typiska och aktuella frågor för riksdag och regering. Bakom den politiken kan man gissa att det finns inslag av både traditionella riskbedömningar (negativa risker) och chanstagningar 10 INTERNREVISION 1/2008
(positiva risker) för att uppnå strategiska mål en slags politisk riskhantering. Men då har vi lämnat myndigheternas riskfrågor och är djupt inne i den rena politiken. Innehåller COSO:s ramverk modeller och metoder? När riskhantering nu blivit ett ord på modet kan man frestas att tro att en modern tolkning av ordet är etablerad. Så är det inte. Riskhantering i en mer traditionell mening har funnits länge! Den är väl etablerad inom många branscher och professioner: banker och försäkringsbolag spel och lotteriverksamhet teknisk säkerhet (allt från brand, el, tekniskutrustning till försvaret) med mera. Den traditionella riskhanteringen är full av modeller och metoder och branschspecifika kännetecken och kunskaper. När därför ekonomer, företagsledningar och revisorer börjar prata om riskanalys och riskhantering i generella termer och vill använda riskbegreppen på nya områden är det bäddat för missförstånd. Det som lockar dessa nya riskintressenter är inte det branschspecifika eller särskilda beräkningsmetoder utan riskperspektivet som ett sätt att tackla det generella problemet i all styrning och kontroll - att det blir så som man vill att det ska bli. Då blir den traditionella riskhanteringen en egen del i ett mer övergripande riskarbete. Här snuddar vi vid den viktigaste förklaringen till COSO:s växande popularitet bland större företag och offentliga organisationer. COSO:s ramverk ger inga modeller alls för riskberäkning eller branschspecifika lösningar. De innehåller bara begrepp, synsätt, lite teori och exempel. Det kan uppfattas som en svaghet, men är i själva verket COSO:s styrka. Intresset för att prata om alla slags risker på ett gemensamt sätt växer mycket snabbt. Därför ska en korrekt återgivning av innehållet i COSO:s ramverk inte underskattas. TORBJÖRN WIKLAND torbjorn.wikland@adm.ministry.se Riskhantering, intern styrning och kontroll Revisionschef Susanne Wallmark om fördelen med att lära av andra När jag kom till Lunds Universitet som ny revisonschef blev jag mycket förvånad över att det saknades ett strukturerat arbete med riskhantering inom universitetet. Vi föreslog i revisionsplanen att internrevisionen skulle få ett rådgivningsuppdrag för att få till stånd ett gemensamt utvecklingsprojekt inom riskhantering och intern styrning och kontroll. Grunden för god intern styrning och kontroll är att känna till sina mål, vad som hotar dessa mål och hur vi hanterar de hot, risker eller händelser som kan inträffa. Senter för statlig ökonomistyrning i Norge har gett ut en handledning som bygger på COSO ERM: Risikostyrning i staten, Håndtering av risiko i måloch resultatstyrningen (www.sfso.no). I handledningen ställs fem kontrollfrågor: 1. Vilka faktorer är avgörande för måluppfyllelse av min verksamhet? 2. Hur kan jag identifiera nya och ändrade risker? 3. Vilka av dessa risker är värderade som väsentliga i förhållande till måluppfyllelse för min verksamhet? 4. Hur kan jag etablera ändamålsenliga styrnings- och kontrollåtgärder som balanserar risk, kontroll och kostnad/nytta vid olika åtgärder och kontrollaktiviteter? 5. Hur kan jag veta att dessa styrnings- och kontrollmekanismer fungerar effektivt och som förutsatt? Har du som ledare svar på ovanstående frågor har du styrningen, ledningen och uppföljningen av verksamheten i din hand, säger Carina Eggum revisionschefen vid Chalmers Tekniska Högskola, som har ett förflutet som internrevisor i Norge och den som rekommenderade handledningen från Norges ekonomistyrningsverk. Internrevisionen vid Lunds universitet konstaterade tidigt att universiteten i England har en välfungerande riskmanagement och att de har stöd från Hefce (Higher education founding council of England), med exempelvis handledningar, best practise och scenarier med eller utan riskmanagement. Öppenheten är stor och många universitet publicerar sin riskanalys på hemsidan, vilket är helt otänkbart för företag i den privata sektorn. Strax före jul gjorde hela internrevisionsgruppen ett studiebesök i England. Forts på nästa sida INTERNREVISION 1/2008 11
Jag koordinerar riskarbetet vid Universitetet i Cambridge på ungefär 15 procent av min tjänst, berättade Ian Troupe. Vi har varit angelägna att ansvaret skall ligga hos den som äger risken. Vi har en kommitté som två gånger per år reviderar universitetets strategiska risker och som rapporterar vidare till universitetsstyrelsen. När den första riskanalysen genomfördes 2002 användes konsulter för att utbilda, göra den första riskinventeringen och ta fram en struktur för arbetet. Ett stort antal intervjuer genomfördes och 75 risker identifierades. Vi har fortsatt utveckla arbetet och sammanfört risker så att vi idag har 15 strategiska risker, sa Andrew Reid, ekonomichef och ordförande i riskstyrningskommittén. Vi rangordnar riskerna och bedömer om nya förutsättningar gör att nettorisken har ökat eller minskat. I den senaste mätningen var risken forskningsfinansiering rankad högst. Vi har presenterat allt vårt material på hemsidan www.admin.cam.ac.uk/offices/secretariat/risk så det är möjligt för andra att hämta goda idéer, avslutade Ian Troupe sin föredragning. University College of London, UCL, startade sitt arbete i slutet av nittiotalet och det har också valt att betona linjeansvaret för hantering och bedömning av riskerna. Risk- och effektivitetskommittén bedömer slutligen UCL topprisker och bevakar om olika händelser skall medföra nya risker eller en förändrad bedömning av nuvarande 13 topprisker. Vi gjorde en benchmarking med ett av de brittiska järnvägsbolagen och det visade sig att vi hade åtta gemensamma topprisker, berättade Peter McCaroll revisionschef och sekreterare i risk- och effektivitetskommittén. Jag har varit revisionschef i 25 år vid UCL och jag anser att det är ett tilllåtet rådgivningsuppdrag, kommenterade Peter uppdraget som sekreterare. Jag beslutar inte om riskbedömningarna men jag kan tillföra kommittén mina och internrevisionens erfarenheter. UCL har valt att inte rangordna toppriskerna och vi är angelägna att samma arbetssätt genomsyrar hela universitetet men än så länge har vi inte nått ut på institutionsnivå, sa Peter. Internrevisionen har nu övergått till att ha en helt riskbaserad revision där vi utgår från styrelsens behov av säkringstjänster för att kunna veta att riskerna hanteras på avsett sätt. Revisionskommittén har inte helt vant sig vid en riskbaserad revision så vi har fått lägga till en årlig revision av viktiga finansiella system. Flera medarbetare har också haft svårt att ställa om. Från tydliga granskningsprogram där kontroll för kontroll kan prickas av till en ökad analytisk granskning där det i vissa fall, efter en två timmar lång intervju, slutar med en bedömning att det inte är nödvändigt att göra en fortsatt granskning. Vi tyckte efter vårt studiebesök i England att arbetet vid UCL var så intressant att vi har bjudit in revisionschefen till vårt årliga nätverksmöte mellan internrevisorerna vid universiteten i norden i maj. Vi kan lära mycket av varandra! SUSANNE WALLMARK usanne.wallmark@irev.lu.se Bilden: University College of London. Foto: Inga Astorsdotter 12 INTERNREVISION 1/2008
CIA-SPALTEN HEJ ALLA INTERNREVISORSVÄNNER! Till de allra flesta av er kan jag säga Gott Nytt revisionsår och visst känns det lite spännande att ha en alldeles oprövad revisionsplan framför sig! När man klurar på planen så målar man upp en viss bild och när sedan planen är konsumerad och man funderar tillbaka på vilken bild som egentligen blev resultatet av våra ansträngningar så kan man ibland upptäcka en helt annan bild. Den där nya bilden kan vara väl så korrekt men också lite spännande eftersom den ju är en produkt av den verklighet som man trodde att man förstod så väl. En bra anledning att fundera kring behovet av ödmjukhet i vårt jobb, eller hur? DET ÄR MED stor glädje och tillfredställelse som jag kan konstatera att det rekordartade antalet tentander i november också ledde till den största enskilda kullen av nycertifierade CIArevisorer. Detta i galornas tid det verkar som om det är en svensk tradition att dela ut priser i januari; Grammis, revisorer idrottsgalan, guldbaggar med mera. Alltså, vinnarna är : Anders Rainer, Vägverket; Anders Widegren, AB SKF; Andreas Hällbrant, Vägverket; Bo Pettersson, AB SKF; Charlotta Löfstrand Hjelm, AFA Försäkring; Elisabeth Larsson, Akzo Nobel AB; Fredrik Söder, Pricewaterhouse- Coopers; Helen Tufvesson, Vattenfall AB; Martin Malm, Transcendent Group; Mats Johansson, Volvo Cars Corp; Michael Andersson, AB SKF; Monika Bandi, AB SKF; Stina Nilsson Kristiansson, Försäkringskassan och Susann Lindqvist, Pricewaterhouse- Coopers. Ett stort grattis till er allihopa! Gunilla Werner- Carlsson noterar nytt rekord i antal tentander och nycertifierade CIA- JAG NOTERAR ATT SKF nu har fyra CIA på sin internrevisionsfunktion här i Sverige och att den statliga sektorn har fått tillskott både på Vägverket, Vattenfall AB och Försäkringskassan. För mig personligen känns det väldigt trevligt att kunna konstatera att CIA-examen nu är en angelägenhet för hela professionen och inte bara för den finansiella sektorn eller konsulterna, även om vi ska ge bankerna en stor eloge för deras insatser att bana väg för CIAintresset i Sverige. Vad gäller Computer Based Testing (CBT) hoppas jag att ni har tagit del av den information om förseningar i införandet som finns på hemsidan. Det är naturligtvis alltid tråkigt när förseningar uppstår, men med starten nu planerad/utlovad till 1 maj så har vi ändå en situation som inte är sämre än den vi levt i tidigare, med tentamina i maj och november. Vid den månatliga telekonferensen i slutet av januari meddelade IIA att man räknar med att anmälningar enligt den nya systemet ska börja kunna tas emot den 1 april och att första möjliga tentamensdag, för alla delar och alla typer av examina, ska vara den 5 maj. Jag kommer via denna spalt och hemsidan att hålla er underrättade om den vidare utvecklingen. NYHETERNA ÄR ATT de tidigare aviserade examensfönstrena försvinner och att tentamina nu kan avläggas året runt. Det kommer att införas en spärrtid innebärande att om du misslyckas på en del måste du vänta 90 dagar innan du får gå upp igen på samma del. Anmälan till en del kommer att vara giltig i sex månader därefter förfaller anmälan och några pengar kommer inte att betalas tillbaka. Man har också bestämt att CIAdelarna kommer att innehålla 100 multiple-choice-frågor och examenstiden, inklusive 15 minuter datorintroduktion, kommer att vara tre timmar. Specialexamina kommer att innehålla 125 multiple-choice-frågor och där är examenstiden tre timmar och 15 minuter. Om det är någon som deltar i examensprogrammet och som redan nu har fått två olika ID-nummer från IIA eller Internrevisorerna ber jag er vänligen att OMGÅENDE ta kontakt med mig. Detta ger oss problem varje gång resultaten meddelas och kommer att vara en omöjlighet i det nya systemet, så fundera på om du har två nummer och hör av dig till mig isåfall. Tack för hjälpen! HAR NI TITTAT UT genom fönstret på sistone? Då har ni sett att ljuset sakta håller på att återvända man ser det tydligast de dagar när det inte ösregnar. Så det finns hopp om att det blir en vår i år också det är bara att hålla ut lite till! Vänliga hälsningar GUNILLA tel 08-792 77 05/070-365 77 05 gunilla.wernercarlsson@if.se INTERNREVISION 1/2008 13
Undvik negativa tidningsrubriker Ernst & Youngs FIDS-avdelning om mutor och svart arbetskraft Oegentligheter kostar. Många av nutidens skandaler visar att ett företags goda renommé och starka varumärke snabbt kan erodera. Ledningen kan utsättas för stark press och få minskat fokus på verksamheten. Kunderna sviker och lönsamheten avtar. Risk för oegentligheter är något alla organisationer får leva med, men för att effektivt kunna förebygga den risken måste kunskapen och insikten om den faktiska risken inom företaget för oegentligheter som mutbrott och svart arbetskraft öka för alla aktörer inom organisationen, inte minst för internrevisorn. VARFÖR BRY SIG? Transparency International, TI, är en global organisation som bekämpar korruption. Varje år publicerar TI en global enkätundersökning bland experter om uppfattad korruption i samhället. Sverige ligger bra till, vi har alltså en mycket låg korruption. Så vad finns det då för anledning att bry sig? Med tanke på att vi i Sverige håller etik och moral högt blir fallet desto högre vid misstanke om mutbrott. Enbart själva misstanken kan få orimliga proportioner i massmedia. Många svenska företag verkar i tillväxtländer som har en annan kultur och en mycket hög korruption enligt TI:s index. Det kan spilla över till hela koncernen och framförallt det svenska moderbolaget. I en blandekonomi som den svenska interagerar privata aktörer med offentliga. Den offentliga sektorn har mycket strängare och snävare gränser enligt rättspraxis för mutbrott än den som råder i den privata sektorn. Även privata entreprenörer kan delvis vara finansierade av offentliga medel och därmed är kraven på etik och moral högre och toleransen i massmedia lägre. Att ett företag otillbörligt påverkar offentligt ägda, kontrollerade eller finansierade verksamheter ses ofta inte med blida ögon i allmänhetens och pressens ögon. Även svenska myndigheter och statliga bolag säljer tjänster utomlands och vill då framstå som goda förebilder. Frånvaron av korruption kan ge konkurrensfördelar. Närvaron av korruption kan snedvrida konkurrensen. Marknadsföring utomlands sker ibland i samarbete med svenska staten. Ett sådant samarbete kan lida allvarlig skada vid misstanke om muta. Lika lite som många svenska företag vill förknippas med barnarbete vill de sammankopplas med att illegala invandrare eller andra utsatta personer städar eller bygger i deras företag och lever under slavliknande förhållanden, arbetar många timmar i sträck och utför farliga arbetsuppgifter utan skyddsutrustning. Vi vill här lyfta fram två områden som 14 INTERNREVISION 1/2008
vi inom FIDS Fraud Investigation & Dispute Service, Ernst & Young har märkt är högaktuella hos våra kunder: muta och svart arbetskraft. MUTA Mutbrott kan den dömas för som tar emot en muta. Straffet är böter eller fängelse i högst två år. Grova brott kan leda till fängelse i högst sex år. Bestickning kallas det brott man kan dömas för om man har lämnat muta till arbetstagare. Samma straff som för mutbrott kan följa. Det är endast individen, alltså den anställde inte företaget, som kan dömas för mutbrott och bestickning. Förutom att misstanke om muta kan skada förtroendet för företaget är det ur andra synvinklar väsentligt för företaget att förhindra mutbrott. En mutad medarbetare är en illojal medarbetare och en irrationell beslutsfattare. Om ledningen inte förebygger risken för att anställda låter sig mutas kan den förlora kontrollen över verksamheten och tyst samtycka till en för företaget olycklig kultur. En säljverksamhet som bygger på otillbörliga försäljningsmetoder med mutinslag kan ge ledningen en inkorrekt bild av försäljningen och medföra att felaktiga strategibeslut fattas. VAD ÄR EN MUTA? Det många tänker på som en självklar muta är en gåva vid enstaka tillfälle i form av en värdefull sak inför en upphandling eller en mycket frikostig middag eller kanske en ren nöjesresa. Muta kan dock vara så mycket annat. Det kan finnas en dold mutkultur på ett företag med ett beteende som är allmänt accepterat så att få reflekterar över att det skulle kunna bli föremål för en utredning om mutbrott. Exempel på detta är frekventa konferenser av nöjeskaraktär, återkommande frikostiga middagar, rabatter för inköpare, sidoleveranser ur projekt till kundens anställda, förmånliga lån, utnämningar utan ekonomiskt värde. En vanlig invänding från åtalade, enligt åklagare på Riksenheten mot korruption, är att jag gjorde bara som man alltid har gjort på företaget och man vill ju hålla sig väl med kunden, det tjänande ju företaget på. Om man vill gå fri från ansvar räcker det inte med att hänvisa till att det är kutym på företaget eller att man bara lydde order. Vid kontakter med åklagare på Riksenheten mot korruption har framkommit att enheten kommer att fokusera mer på mutbrott inom den privata sektorn än tidigare. Skälet är bland annat att man vill få fram en tydligare praxis. För privat sektor gäller som huvudregel att muttagarens arbetsgivare ska anmäla till åklagare eller polis om inte åtal är påkallat ur allmän synpunkt. Ur allmän synpunkt kan vara att mutbrottet är av sådan beskaffenhet eller omfattning att det kan störa den fria konkurrensen eller att frågan av andra skäl är principiellt intressant. SVART ARBETSKRAFT Städ- och byggbranschen är branscher där förekomsten av svarta tjänster är mer förekommande än inom andra sektorer. I spåren av oseriös verksamhet kan även följa annan brottslighet. Risken för det bolag som anlitar en städfirma utan att ha kontrollerat seriositeten är att det bolaget kan komma att förknippas inte bara med det oseriösa städbolaget utan även med annan brottslighet i dess spår. Inom städbranschen finns en stark oro att de oseriösa företagarna dumpar marknaden och därmed utkonkurrerar de vita städbolagen. Kvar att anlita finns då endast oseriösa bolag med kopplingar till den kriminella världen. En annan aspekt är den humana. Vill bolaget medverka till utnyttjande av arbetskraft som är så ofta förekommande i de svarta bolagen? Få vill medge att de anlitat svart arbetskraft. Många är inte ens medvetna om att de faktiskt anlitar svart arbetskraft. Vare sig Regeringskansliet, Skatteverket eller Åklagarmyndigheten var det. Alla har använt sig av svarta städare. Hur kunde det inträffa? En förklaring är att de var omedvetna om problemet och därför hade bristande och otillräckliga interna kontroller. HUR FÖREBYGGA RISKEN? Av undersökningar som 9th Global Fraud Survey Fraud risk in emerging markets, Ernst & Young, framgår att en god intern kontroll i ett företag eller organisation är det bästa sättet att både upptäcka och förhindra oegentligheter. Att kombinera detta med effektiva Anti-Fraud program är allra mest slagkraftigt. Många av våra stora bolag har under senare år arbetat med att ta fram internkontrollramverk för att stärka den interna kontrollen. Detta arbete har främst drivits av lagstiftningskrav som Sarbanes Oxley Act och den svenska Bolagskoden. Fokus har då varit att säkra den finansiella rapporteringen och rena Anti-Fraudkontroller har ofta kommit i skymundan. VANLIGARE ÄN VI TROR Muta och svart arbetskraft är vanligare och mer utbrett i våra svenska bolag än vad vi kanske vill tro. Vi menar att det är hög tid för bolagen att fokusera sitt internkontrollarbete även på dessa områden. Detta behöver inte vara kostsamt och arbetskrävande det finns enkla och effektiva metoder för att minska riskerna för dessa oegentligheter. Framför allt: ta dessa frågor på allvar! Det är bästa sättet att undvika att hamna på löpsedlarna och tvingas driva dyra rättsprocesser med kostsamma investeringar i återbyggnad av varumärket som följd. KRISTINA SJÖDIN INGEGERD EK Författarna är verksamma inom FIDS (Fraud Investigation & Dispute Sevices, Ernst & Young AB. Kristina Sjödin är specialist på internkontroll samt Anti-Fraud och har en bakgrund som auktoriserad revisor. Ingegerd Ek har en bakgrund som biträdande chefsåklagare på Ekobrottsmyndigheten och en initierad kunskap om ekonomiska oegentligheter. INTERNREVISION 1/2008 15
HAR DU ANMÄLT DIG TILL Anmälan till: utbildning@internrevisorerna.s INTERVJUTEKNIK TID: 6 7 mars PLATS: Westmanska Palatset, Holländargatan 17, Stockholm CPE-POÄNG: 15 CPE-poäng vid genomförd kurs PRIS: Medlem 13.200:-, ej medlem 15.200:-. Transport till och från kursgården ingår ej. Internrevisorerna hjälper gärna till att boka hotellrum om din anmälan sker i god tid. ANMÄLAN SKER SNARAST! KURSBESKRIVNING: Målet med kursen är genomgång av olika typer av intervjuer och intervjusituationer planering, genomförande och analys av intervjuer genomgång av etik och policyfrågor i samband med intervjuer för internrevision. Kursen innefattar inventering av olika typer av intervjuer och intervjusituationer, planering av intervjuer samt exempel på genomförande och intervjuteknik. Deltagarna kommer att få träning i genomförande av intervjuer, reflektion och slutsatser från genomförda intervjuer samt efterarbete och analys av intervjumaterial. Kursen avslutas med en diskussion kring etik och policyfrågor i samband med intervjuer för internrevision. MÅLGRUPP: Kursen vänder sig till alla inom internrevision. LÄRARE: Helena Sundén är Senior Consultant på Hibis Scandinavia AB. Helena ansvarar för juridiska frågor inom Hibis och utbildar både ledning och personal inom privata företag och offentliga organisationer. WRITING EFFECTIVE AUDIT REPORTS TID: 17 april 2008 PLATS: Westmanska Palatset, Holländargatan 17, Stockholm PRIS: Medlem 4.900, icke medlem 5.900:- CPE-POÄNG: 8 CPE-poäng för genomförd kurs ANMÄLAN SENAST 17 MARS KURSBESKRIVNING: Kursen är praktiskt inriktad med konkreta tips och verktyg för hur du kan utveckla ditt sätt att skriva rapporter på engelska på ett effektivt sätt. MÅLGRUPP: Kursen vänder sig till dig som idag skriver revisionsrapporter på engelska men behöver utveckla ditt sätt att formulera dig på ett kortfattat och tydligt sätt. LÄRARE: Chris Becker, Meridian, är språkkonsult i ämnen som affärspresentation, affärsengelska och interkulturell kommunikation. ANMÄL DIG NU! RISK BASED INTERNAL AUDITING TID: 21 23 april 2008 PLATS: Ännu ej bestämd PRIS: För medlemmar är priset 1.615,50 pund, vilket är 10 procent lägre än samma kurs i England. CPE-POÄNG: 22 CPE-poäng för genomförd kurs. ANMÄLAN SENAST DEN 20 MARS CONTENT: In this intensive three day seminar you will learn how to use a risk based approach to redefine and refocus your audit activities. You will cover in detail the emergence of risk management, its link with corporate governance and how to audit risk management processes. This course is provided in cooperation with MIS Training Institute and Internrevisorerna. WHO SHOULD ATTEND: Audit Managers and staff who will be involved in carrying out RBIA audit assignements. TEACHER: Gill Bolton is Director of GEB Business Solutions. Gill has worked with Ernst & Young in their Risk Group and for KPMG within their Internal Audit Services Group which she helped to establish. 16 INTERNREVISION 1/2008
VÅRENS KURSER? e GRUNDKURS I INTERN- REVISION TID: 1 3 april 2008 PLATS: Skepparholmen utanför Stockholm PRIS: För medlem 17.900:-, ej medlem 19.500:-. Priset inkluderar kost och logi. Exkl. moms. Transport till och från kursgården ingår ej. CPE-POÄNG: 24 CPE-poäng för genomförd kurs. ANMÄLAN SENAST DEN 20 MARS KURSBESKRIVNING: Målet med kursen är att utveckla en förståelse för internrevisorns roller och ansvar, att introducera och utveckla de nödvändiga kunskaperna för att bli en framgångsrik internrevisor, att ge en möjlighet att träna beteenden och kommunikation. Här ingår kunskaper som till exempel vad internrevision är, internrevisionsstandarder, hur man utvärderar den interna kontrollen, dokumentation och arbetspappersmetodik, hur man får fram och rapporterar revisionsresultat. Kursen tar även upp information kring internrevisorernas egen yrkesorganisation samt den bransch man är verksam inom. MÅLGRUPP: Denna kurs vänder sig till dig som är nybörjare inom internrevision eller till dig som behöver fräscha upp dina kunskaper i internrevision och vad en internrevisor behöver känna till. LÄRARE: Mikael Boo är internrevisor på Domstolsverket. Mikael har lång erfarenhet från revision på Jordbruksverket, Riksrevisionen och Arbetsmarknadsverket. Hans Löfgren är ansvarig för internrevisionstjänster på Öhrlings Pricewaterhouse Coopers. Hans har arbetat med internrevision sedan 1974 och har haft ledande befattningar i privata och statliga företag. Hans har utvecklat flera av våra kurser. OBS! Grundkursen kommer att ges även i oktober 2008. APPLIKATIONSGRANSKNING Kurs för internrevisorer med liten eller ingen erfarenhet av IT-granskningar TID: 7 8 maj 2008, 2 dagar PLATS: Westmanska Palatset, Holländargatan 17, Stockholm PRIS: Medlem 13.200:-, ej medlem 15.200:-. Priset inkluderar kost, men ej logi. Internrevisorerna hjälper gärna till och boka hotellrum. Transport till och från kursgården ingår ej. CPE-POÄNG: 16 CPE-poäng vid genomförd kurs ANMÄLAN SENAST DEN 7 APRIL KURSBESKRIVNING: Enligt IIA finns ett behov av att öka kunskap om IT-revision bland internrevisorer som saknar eller har begränsad kunskap. Detta bedöms vara väsentligt för kvaliteten i framtida internrevisionsgranskningar. Internrevisorerna kan med denna kurs i applikationsgranskning erbjuda en möjlighet att ta ett steg på vägen till ökade kunskaper i ämnet. Kursen är en förkortad version av IIAs (Institute of Internal Auditors) kurs Auditing Automated Applications: The Basics. Under två intensiva dagar går vi igenom grunderna i granskning av applikationer och sätter in applikationsgranskning i sitt sammanhang i den interna revisionen. Kursen syftar till att ge dig kunskap om: IT-revision i allmänhet och applikationsgranskning i synnerhet, skillnaden mellan generella kontroller och specifika applikationskontroller, risker och hot i applikationer, praktiskt angreppssätt för en applikationsgranskning, planering och riskanalys, granskningens genomförande indata, bearbetning, utdata, vanliga kontroller i en applikation. I kursen arbetar vi i gruppövningar med praktikfall. MÅLGRUPP: Kursen riktar sig till alla internrevisorer med liten eller ingen erfarenhet av IT-granskningar, men som för att förbättra samverkan med IT-revisorer vill förstå vad det innebär att granska applikationssystem eller på övergripande nivå själv börja granska applikationssystem. Kursen genomförs med föreläsningar och kursmaterial på svenska. Visst kompletterande undervisningsmaterial kan vara på engelska. Material för grupparbeten är i huvudsak på svenska. Därutöver använder vi Internrevisorernas svenska handledning i granskning av applikationssystem som kompletterande kursdokumentation. LÄRARE: Märta Eklund är internrevisor på Swedbank. Märta har arbetat med internrevision sedan 1979 med inriktning på bland annat ITrevision och Compliance. Lars Gyllenswärd är IT-revisor på Försäkringskassan. Lars har lång erfarenhet som IT-revisor hos KPMG, internrevisionen i Postkoncernen och Landstingsrevisorerna inom Stockholms läns landsting. INTERNREVISION 1/2008 17
Ett besök i fraudträsket Rapport från ett seminarium om fusk och oegentligheter Att ämnet fusk och oegentligheter är ett högaktuellt ämne fick vi bekräftat när trettiotalet förväntansfulla internrevisorer samlades för att lyssna på KPMG:s seminarium om fusk och oegentligheter. Deltagarna kom från alla IRF:s nätverk; det finansiella, det privata samt det statliga. Föreläsare var Martin Krüger, Lennart Elftman och Roger Lindgren från KPMG. Efter den sedvanliga uppvärmningen där vi alla presenterades för varandra, spände vi fast säkerhetsbältena och gav oss ut i fraudträsket. Sammanfattningen nedan bygger på den Powerpoint-presentation som vi fick ta del av. Martin Krüger och Roger Lindgren, två av tre föreläsare på KPMG:s seminarium om fusk och oegentligheter. Omfattning, trender och effekter Transparency International rankar Sverige som det fjärde minst korrupta landet i världen. Trots detta se vi dagligen i media att det förekommer fusk och oegentligheter av olika slag i svenska organisationer. Vissa bedömningar gör gällande att mellan 2 och 5 procent av omsättningen i näringslivet årligen förloras genom stölder och andra oegentligheter. Utöver detta ska läggas den interna och externa badwill som organisationen får på köpet. Trenderna visar att utredningar av ekonomisk brottslighet blir allt svårare, då det planeras mer omsorgsfullt, innnehåller fler aktörer och får ökad internationalisering. Den snabba tekniska utvecklingen utnyttjas oftare. I Sverige är det huvudsakligen följande myndigheter som kraftsamlar via Ekorådet mot fusk och oegentligheter; Ekobrottsmyndigheten, Skattemyndigheten, Kronofogdemyndigheten, Tullverket och Försäkringskassan. Enligt Ekobrottsmyndigheten står bokföringsbrott (cirka 45 procent) och skattebrott (cirka 35 procent) för cirka 80 procent av deras ärenden. Bedrägerier och oegentligheter en definition Enligt International Standard of Auditing 240 (revised) är definitionen av bedrägeri och oegentlighet: En avsiktlig handling av en eller flera individer blandföretagsledningen, de som övervakar företagsledningen, anställda eller tredje man som omfattar bedrägligt beteende för att skapa sig en orättmätig eller olaglig fördel, till exempel bedräglig ekonomisk redovisning/rapportering eller förskingring av tillgångar. En definition och uppdelning gällande avsiktliga fel, presenterades av KPMG, Bedräglig finansiell rapportering kan vara felaktig intäktsredovisning, högt värderade tillgångar eller lågt värderade skulder. Förskingring av tillgångar kan vara förskingring, lönebedrägeri, extern stöld, upphandlingsbedrägeri, upphandlingsbedrägeri, royaltybedrägeri, förfalskning. Oriktig redovisning av intäkter/tillgångar kan vara överfakturerade kunder, bedräglig försäljningspraxis, tilltagande intäkter eller falska intäkter. Verksamhetsfrämmande kostnader/skulder kan vara kommersiell eller offentlig bestickning eller mutor. Oriktig redovisning av kostnader/skulder kan vara ogeentligheter kring löner och timmar, skattefusk eller förvrängd information till myndighet. Övriga avsteg mot regelverk kan vara intressekonflikter, insideraffärer, diskriminering, stöld av konkurrenters affärshemligheter, konnkurrenspraxis eller miljöbrott. Enligt KPMG:s presentation så är det framför allt tre faktorer som svarar på frågan varför bedrägerier och oegentligheter sker; motiv, möjlighet och/eller attityd. Vidare påstår KPMG att den vanligaste bedragaren är en medelålders man med ledande position eller mellanchef, med relativt många anställningsår och välbekant med det interna kontrollsystemet och dess brister. Ofta är mer än en person inblandad. Det vanligaste skälen att oegentligheter upptäcks är anonymt tips eller granskning av ledningen. Förebyggande arbete KPMG beskrev ett effektivt anti-fraud program som bygger på åtgärder kopplade till de tre delarna Förhindra, Upptäcka och Åtgärda/agera. Allt detta hann vi med på tre timmar. Endast en kortare kaffepaus tillät vi oss. Seminariet avslutades med snittar och tid för reflexion, diskussion och erfarenhetsutbyte mellan deltagarna. För de som vill läsa mer i ämnet hänvisar jag gärna till senaste numret av Internal Auditor, December 2007, A Practical Approach to Fraud Risk, av Linda M. Lister eller till Association of Certified Fraud Examiners (ACFE) hemsida www.acfe.com/home.asp, om ACFE:s Report to the Nation on Occupational Fraud & Abuse. WILLIAM STANNERVIK PS. Artikeln i Internal Auditor refereras i Lästips på sidan 23. 18 INTERNREVISION 1/2008
ESV ny revisionsmyndighet för EU-fonder Det är en stor utmaning att möta förväntningarna, säger revisionschefen Ulrika Bergelv Ien artikel i nummer 8 9, 2007 av tidningen Balans uttryckte den svenska ledamoten av Revisionsrätten, Lars Heikensten, en önskan om att medlemsstaterna får ta ett större ansvar gällande hur EU-medlen används samt att en förbättrad nationell internkontroll och uppföljning av dessa medel skulle gynna Revisionsrätten i deras arbete samt minska felfrekvensen i systemet. I Sverige pågår för närvarande en utveckling i just den riktningen. Under hösten 2006 beslutade den svenska regeringen att inrätta en central revisionsmyndighet för den tredje programperioden med ansvar för nationell revision av fondmedel med delat förvaltningsansvar mellan EU och medlemsstaten. Uppgiften att inrätta en sådan myndighet gick till Statens Ekonomistyrningsverk, ESV. Hos ESV på Drottninggatan i Stockholm träffar jag revisionschefen Ulrika Bergelv. Hon har varit i tjänst sedan slutet av september 2007. Dessförinnan var hon internrevisionschef på Riksbanken under sex år. Tiden på Riksbanken föregicks av tio år inom Kooperativa Förbundet. Nu handlar det om att bygga upp en helt ny verksamhet från grunden. Revisionsstrategi Organisationen håller för närvarande på att ta form och rekryteringar av uppdragsledare samt revisorer pågår för fullt. Arbete pågår även med att utarbeta den revisionsstrategi som skall ligga till grund för Ulrika Bergelv. Foto: Ann Ek. verksamheten. Målsättningen är att den nya revisionsmyndigheten skall vara fullt bemannad och etablerad från och med 2009. Antalet anställda beräknas då vara 30 till 40 personer. Under den första programperioden, 1995 1999, var det svenska revisionsarbetet av EU-fonderna centralt knutet till de förvaltande och utbetalande myndigheterna på nationell nivå. Det övergripande revisionsansvaret hade dåvarande Riksrevisionsverket, RRV. Andra programperioden, 2000 2006, innebar en decentralisering av revisionsansvaret när en utökad andel av förvaltning, beslut och uppföljning förlades till myndigheter på regional nivå. Revisionsansvaret förlades till bland annat AMS och Länsstyrelsen i Gävleborg. Den tredje och innevarande programperioden, 2007 2013, markerar nu en återgång till en mer centraliserad och sammanhållen revisionsorganisation där huvudansvaren för förvaltning respektive uppföljning/kontroll tydligt separeras och revisionsansvaret för EUfonder med delat förvaltningsansvar, förläggs till en enda svensk myndighet. Syftet bakom regeringens beslut att etablera en specifik revisionsmyndighet inom ESV är att skapa bästa möjliga förutsättningar för en kostnadseffektiv organisation med hög integritet och uthållig områdeskompetens. ESV kommer därmed att ansvara för revisionen av följande fondprogram: Europeiska socialfonden, Europeiska regionala utvecklingsfonden, Europeiska fiskerifonden, Europeiska Integrationsfonden, Fonden för yttre gränser, Europeiska jordbruksfonden för landsbygdsutveckling samt Europeiska jordbruksfonden för garantistöd. Sammantaget innebär detta att myndigheten under programperioden kommer att ansvara för revisionen av EUmedel som motsvarar cirka 15 miljarder kronor. Minska felfrekvensen Ulrika Bergelv framhåller att ett förväntat resultat av den nya revisionsorganisationen är att den ska bidra till att felfrekvensen i fondprogrammen, för exempelvis projektredovisning och bidragsrekvisitioner, successivt minskar. Men hennes visioner sträcker sig längre än till det revisionella ansvaret. Myndigheten skall även sträva efter att vara en starkt delaktig och påverkande aktör inom EU vad gäller utvecklingen av revisionsarbetets innehåll såsom planering, genomförande, uppföljning, metodik och kunskapsöverföring. Vi ska märkas i internationella sammanhang och flytta fram positionerna, säger Ulrika Bergelv. Engagemang och delaktighet i utvecklingen av ramverket för EU-fonderna INTERNREVISION 1/2008 19
ska alltså vara en naturlig del av myndighetens verksamhet. Verksamheten ska baseras på internationellt etablerade revisionsstandarder. Officiella handledningar och revisionsmanualer som utvecklats av EU-kommissionen kommer att vara vägledande. Men även internationell standard enligt exempelvis INTOSAI, ISA, IFAC och IIA kommer att beaktas. Revisionsteam och kommunikationsplan Myndighetens verksamhet kommer under revisionschefen att vara inordnad i ett antal revisionsteam inom vilka de olika fondprogrammen fördelas. Myndigheten ska även organisera en särskild funktion för metod- och kvalitetsstöd. ESV avser även att, på liknande sätt som externrevision, dra nytta av det arbete som de förvaltande myndigheternas egna internrevisionsenheter utför. För detta krävs bland annat en tidsmässig samordning av årliga revisionsinsatser för att kunna dra bästa nytta av samarbetet. En utmaning som den nya myndigheten står inför är vinna omgivningens respekt för kompetens och yrkesmässig integritet. Vi måste vara professionella på ett sätt som gör att omgivningen uppfattar det, säger Ulrika Bergelv. En av ESV:s åtgärder, med syfte att nå det målet, blir att utforma en kommunikationsplan. Månfacetterad projektflora En annan tydlig utmaning ligger i att rätt kunna hantera den mycket mångfacetterade floran av projekt som programperiodens fonder finansierar. De EU-finansierade projektens karaktär och målsättningar är inte alltid lätta att validera eftersom de ofta handlar om samhällsutvecklande insatser med många komplexa sociala variabler att ta hänsyn till. Dessutom finns inte alltid en tydlig målsättning och styrning av programmen då detta delas mellan EU och medlemsstaten samtidigt som regelverken avser samtliga 27 medlemsstater inom unionen. Det är en stor utmaning att möta förväntningarna på bra EU-revision. Och det gäller att synas i de sammanhang där dessa frågor diskuteras och där utvecklingen drivs framåt, sammanfattar Ulrika Bergelv. URBAN EKLUND urban.eklund@ericsson.com KOMPETENSUTVECKLINGSKOMMITTÉN ULLA-KARI FÄLLMAN RAPPORTERAR För att uppnå målen i föreningens verksamhetsplan om att tillhandahålla en bra och ändamålsenlig kompetensutveckling för medlemmarna, har Internrevisorerna tagit fram ett förslag till ny struktur för vår organisation för att nå detta mål. Kompetensutvecklingsverksamheten är indelad i fem grupper; akademi, konferenser, kurser, seminarier med mera och certifiering. Akademigruppen ansvarar för akademisk utveckling i samarbete med universitet och högskolor. Konferensgruppen arrangerar konferenser, främst Internrevisionsdagarna. Båda dessa grupper är specialprojekt som hanteras av Ulla-Kari Fällman. Kursgruppen, seminariegruppen och certifieringsgruppen hanteras av Kompetensutvecklingskommittén. Kommittén ansvarar för helheten med ett speciellt ansvar för utveckling av den framtida utbildningsverksamheten. Kommittén består av ordförande Ulla-Kari Fällman, kanslimedarbetare och gruppledarna för de tre grupperna. Se föreningens hemsida där årets verksamhetsplan kommer att läggas ut och där huvudaktiviteterna beskrivs närmare. Kompetensutvecklingskommittén har 6 till 8 möten per år och den 22 januari 2008 ägde årets första möte rum. På mötet diskuterades bland annat vilka resurser som behövs för att kunna arbeta med utvecklingen av våra kurser. Avstämning och uppföljning av budget görs vid varje möte och varje grupp redovisar sitt arbete och planering. Kursgruppen ansvarar för den löpande kursverksamheten och för närvarande ska en utbildningstrappa arbetas fram. Kursgruppen har också bjudit in samtliga lärare till en lärarträff den 14 februari 2008 där erfarenheter ska utbytas och redan nu börjar arbetet med 2009 års kurser då en kurskatalog ska tas fram till hösten. Seminariegruppen ansvarar för nätverken, tematräffar, värt att veta om IT samt engångsseminarier minst två gånger per år i olika ämnen. Ansvarig för gruppen är Helene Strid. Certifieringsgruppen ansvarar för alla typer av certifieringar med koppling till IIA. Gruppens uppgift är att tillhandahålla bland annat CIA examineringen. Ansvarig är Gunilla Werner Carlsson. Läs vidare i varje tidningsutgåva där Gunilla har en egen CIA-spalt hur arbetet fortgår. ULLA-KARI FÄLLMAN Ordförande för Kompetensutvecklingskommittén och styrelseledamot 20 INTERNREVISION 6/2007