IPPF 2013 17 maj 2013 Ann-Katrin Harringer Hans Löfgren
Agenda Har Riktlinjer för yrkesmässig internrevision (Riktlinjerna) någon betydelse för vårt praktiska arbete? Processen för förändringar i Riktlinjerna Hur sker arbetet med att utveckla vägledningar? De viktigaste förändringarna i 2013 års reviderade upplaga Hur påverkar ändringarna det praktiska arbetet?
Har Riktlinjerna någon betydelse för vårt praktiska arbete?
Riktlinjerna Obligatoriska delen av INTERNATIONELLT RAMVERK FÖR UTÖVANDE AV INTERNREVISIONSYRKET (IPPF) IPPF = Obligatorisk Inte obligatorisk Starkt rekommenderad PwC 4
Översikt av IIA:s Riktlinjer Riktlinjer för utmärkande egenskaper: 1000 Syfte, befogenhet och ansvar 1100 Oberoende och objektivitet 1200 Kompetens och yrkesskicklighet 1300 Kvalitetssäkring och kvalitetsförbättringsprogram Riktlinjer för genomförande: 2000 Leda internrevisionsverksamhet 2100 Arbetets beskaffenhet 2200 Uppdragsplanering 2300 Genomföra uppdraget 2400 Rapportera resultat 2500 Övervaka framsteg 2600 Rapportering om ledningens riskacceptans
Standards are Critical Delineate basic principles that represent the practice of internal auditing Framework for performing and promoting a broad range of valueadded internal auditing Establish the basis for the evaluation of internal audit performance Foster improved organizational processes and operations
Processen för förändringar i Riktlinjerna
Varför ändringar? The Standards must remain current, relevant, and timely for the profession The IPPF process requires that the Standards be reviewed at least once every three years Ongoing changes are a key component of the continued development of the IPPF 8
Standards Setting - International Internal Audit Standards Board (IIASB) Initiation IIASB discussed the emerging issues and feedback from various sources for potential topics that impacts the profession and the Standards. Development IIASB researched and discussed the topics, developed the potential changes to the Standards. Global Ethics Committee reviewed the proposed changes to the Standards to ensure its consistency with Code of Ethics. Public Exposure 90 days exposure period to get input from the public (Feb 20 May 20) 9
Standards Exposure Stats Exposure draft was available in 11 languages. Number of responses received: 1,685 in total 1,547 responses from individuals 138 collective responses from organizations 24% of the responses are from North America. 76% of the responses are from outside NA.
Standards Setting - International Internal Audit Standards Board (IIASB) Review & Approval IIASB reviewed the results and comments from the exposure and made final decision on the Standards changes. IPPF Oversight Council, an independent body, reviewed the Standards-setting due process. Issuance IIA Institutes translate the Standards into the local language, prior to the effective date of the new Standards, if possible Promote and educate the members in your country Release Date - Oct 1, 2012 Effective Date Jan 1, 2013 11
Hur sker arbetet med att utveckla vägledningar?
Proffessional Issues Committee Mission To provide thought leadership and timely professional guidance to the members and stakeholders of the internal audit profession on methodologies, techniques, and authoritative positions included in the International Professional Practices Framework (IPPF) and to comment on, or support other matters that impact the internal audit profession. 50+ Members in the Committee 2012 Projects 8 Practice Advisories 3 Exposure Drafts 2 Position Papers 3 Non IPPF Projects 8 Practice Guides 8 Projects not approved 4 GTAGs AVERAGE # OF PIC MEMBERS PER PROJECT = 3.43 AVERAGE # OF PROJECTS PER PIC MEMBER = 3.40
Position Papers Ställningstaganden (Position Paper) hjälper ett brett urval av intressenter, inkluderande de som inte kan anses tillhöra professionen att förstå väsentliga lednings- risk eller kontrollfrågeställningar samt beskriva roller och ansvar som hänför sig till internrevision.
Practice Advisories Praktiska Råd (Practice Advisory) inriktas på tillvägagångssätt, metoder och överväganden, dock inte detaljerade processer och rutiner. De är vägledningar avsedda att stödja internrevisorer i tillämpningen av den Yrkesetiska Koden och Riktlinjerna samt att främja god sed. De inkluderar praxis som hänför sig till: internationella, landsspecifika eller industrispecifika frågeställningar; speciella typer av uppdrag samt legala eller regulatoriska frågeställningar.
Practice Guides Praktisk Vägledning (Practice Guide) är detaljerad vägledning för utförandet av internrevisionsaktiviteter. Dessa inkluderar detaljerade processer och rutiner såsom verktyg och tekniker program samt tillvägagångssätt steg för steg innefattande exempel på slutresultat.
Other Guidance Responses to exposure drafts and regulatory bodies Global Technology Audit Guides (GTAG) Guide on the assessment of IT Risk (GAIT) Topical materials and tools.
De viktigaste förändringarna i 2013 års reviderade upplaga och Hur påverkar ändringarna det praktiska arbetet?
Summering av de viktigaste förändringarna Clarify responsibilities for conforming with the Standards Increased focus on Quality Assurance & Improvement Clarify the CAE s role to communicate unacceptable risk Explicitly require timely audit plan adjustments Emphasize coverage of risks to strategic objectives Changes to Glossary Terms 19
Responsibilities for Conformance Introduktionen till Riktlinjerna har fått följande tillägg: Riktlinjerna är tillämpbara såväl för enskilda internrevisorer som för internrevisionsaktiviteter. Alla internrevisorer har ett ansvar för att följa Riktlinjerna vad avser individuell objektivitet, kompetens och yrkesskicklighet. Dessutom har internrevisorer ett ansvar för att rätta sig efter de Riktlinjer som är relevanta för deras specifika arbetsbeskrivningar. Internrevisionschefer har ett övergripande ansvar för att följa Riktlinjerna. Exposure Results: Yes: 87%, No: 4.1%, No Opinion: 5.8% Standards Board Decision: Adopt the exposed change 20
1110 Organisatoriskt oberoende Revisionschefen ska rapportera till en nivå inom organisationen som gör det möjligt för internrevisionsverksamheten att fullgöra sina skyldigheter. Internrevisionschefen ska åtminstone årligen till styrelsen bekräfta internrevisionsverksamhetens organisatoriska oberoende. Tolkning: Organisatoriskt oberoende uppnås fullt ut när revisionschefen rapporterar funktionellt till styrelsen. Exempel på funktionell rapportering till styrelsen är när styrelsen: Godkänner internrevisionens instruktion; Godkänner den riskbaserade internrevisionsplanen; Godkänner internrevisionsbudgeten och resursplanen; Tar emot internrevisionschefens rapportering avseende internrevisionens genomförande av sin plan och andra frågor; Godkänner beslut om anställning och avsättning av internrevisionschefen; Godkänner internrevisionschefens ersättningar, och Genomför lämpliga förfrågningar hos ledningen och internrevisionschefen om huruvida det finns begränsningar vad avser inriktning eller resurser. Exposure Results: Yes: 85%, No: 9.8%, No Opinion: 5.3% Standards Board Decision: Adopt the exposed change 21
Standard 1110 Best Practices Board or audit committee approve the risk assessment and related audit plans Private meetings with the CAE and audit committee / board chair Frequent interactions with board outside formal board meetings 22
Increased Focus Quality Assurance 1312 - External Assessments External assessments must be conducted at least once every five years by a qualified, independent reviewer assessor or review assessment team from outside the organization. The chief audit executive must discuss with the board: The need for more frequent form and frequency of external assessments; and The qualifications and independence of the external reviewer assessor or review assessment team, including any potential conflict of interest. Interpretation: External assessments can be in the form of a full external assessment, or a selfassessment with independent external validation. Exposure Results: Yes: 86.5%, No: 7.6%, No Opinion: 5.9% Standards Board Decision: Modify the exposed change 23
1312 Interpretation, cont. A qualified reviewerassessor or reviewassessment team demonstrates competence in two areas: the professional practice of internal auditing and the external assessment process. Competence can be demonstrated through a mixture of experience and theoretical learning. Experience gained in organizations of similar size, complexity, sector or industry, and technical issues is more valuable than less relevant experience. In the case of a reviewan assessment team, not all members of the team need to have all the competencies; it is the team as a whole that is qualified. The chief audit executive uses professional judgment when assessing whether a revieweran assessor or reviewassessment team demonstrates sufficient competence to be qualified. An independent reviewerassessor or reviewassessment team means not having either a real or an apparent conflict of interest and not being a part of, or under the control of, the organization to which the internal audit activity belongs.
1312 - Externa bedömningar Externa bedömningar ska genomföras åtminstone en gång vart femte år och ska genomföras av en kvalificerad oberoende utvärderare eller utvärderingsteam fristående från organisationen. Internrevisionschefen ska diskutera med styrelsen: behovet av att genomföra externa kvalitetsgranskningar mer frekvent; den externa utvärderarens eller utvärderingsteamets kvalifikationer och oberoende, även eventuella intressekonflikter. Tolkning: Externa utvärderingar kan antingen utföras som en fullständig extern utvärdering eller som en självutvärdering med oberoende extern validering.
Tolkning till 1312, forts. En kvalificerad utvärderare eller utvärderingsteam uppvisar kompetens inom två områden: det yrkesmässiga utförandet av internrevision samt den externa utvärderingsprocessen. Kompetens kan styrkas genom en blandning av erfarenhet och teoretisk kunskap. Erfarenhet som har inhämtats från organisationer av liknande storlek, komplexitet, sektor eller näringsgren samt tekniska spörsmål är mer värdefull än mindre relevant erfarenhet. För ett utvärderingsteam behöver inte samtliga teammedlemmar uppvisa all kompetens, det är teamet som en helhet som är kvalificerad. Revisionschefen ska använda sitt professionella omdöme vid utvärdering av huruvida utvärderaren eller utvärderingsteamet kan uppvisa tillräcklig kompetens för att kunna anses som kvalificerade. Oberoende utvärderare eller utvärderingsteam innebär att det inte finns någon reell eller synbar intressekonflikt och att inte vara en del av eller vara under kontroll av den organisation där den utvärderande internrevisionsaktiviteten ingår.
Standard 1312 Best Practices Proactive internal quality assessment and improvement program Fully embrace the spirit and the letter of the external quality Standards Have practices to allow execution and delivery of quality work Leverage the external quality assessment to promote internal audit by including a statement of conformance in each audit report 27
Timely Audit Plan Adjustments 2010 Planning The chief audit executive must establish a risk-based plans to determine the priorities of the internal audit activity, consistent with the organization s goals. Interpretation: The chief audit executive is responsible for developing a risk-based plan. The chief audit executive takes into account the organization s risk management framework, including using risk appetite levels set by management for the different activities or parts of the organization. If a framework does not exist, the chief audit executive uses his/her own judgment of risks after consultation with senior management and the board consideration of input from senior management and the board. The chief audit executive must review and adjust the plan, as necessary, in response to changes in the organization s business, risks, operations, programs, systems, and controls. Exposure Results: Yes: 92.5%, No: 4.3%, No Opinion: 3.2% Standards Board Decision: Adopt the exposed change 28
2010 Planering Internrevisionschefen skall upprätta en riskbaserad plan för att fastställa internrevisionsverksamhetens prioriteringar i överensstämmelse med organisationens mål. Tolkning: Internrevisionschefen är ansvarig för att utarbeta en riskbaserad plan. Internrevisionschefen ska ta hänsyn till organisationens ramverk för riskhantering inklusive användande av ledningens uppställda riskacceptansnivåer för olika aktiviteter eller delar av organisationen. I de fall det inte finns ett sådant ramverk ska internrevisionschefen använda sig av sin egen bedömning av risker efter beaktande av information från ledning och styrelse. Revisionschefen måste granska och justera planen om det är nödvändigt i förhållande till förändringar i organisationens affär, risker, verksamhet, program, system och kontroller.
Standard 2010 Best Practices Identify and consider stakeholder input into the internal audit risk assessment process Don t let major risks go uncovered; find a way to address them before they get too big Educate key stakeholders on important areas of risk and on actions needed to address issues Develop an ongoing communications process with management to keep current on changing business and risk issues 30
Inclusion of Strategic Risk 2120.A1 The internal audit activity must evaluate risk exposures relating to the organization s governance, operations, and information systems regarding the: Achievement of the organization s strategic objectives; Reliability and integrity of financial and operational information; Effectiveness and efficiency of operations and programs; Safeguarding of assets; and Compliance with laws, regulations, policies, procedures, and contracts. Exposure Results: Yes: 90.6%, No: 5.9%, No Opinion: 3.5% Standards Board Decision: Adopt the exposed change 31
2120.A1 2120.A1 Internrevisionsverksamheten ska utvärdera riskexponering vad gäller organisationens ledning, verksamhet och informationssystem med avseende på: Uppnåendet av organisationens strategiska mål, Tillförlitlighet och fullständighet i finansiell och verksamhetsrelaterad information, Ändamålsenlighet och effektivitet i verksamhet och program, Skydd av tillgångar, och Efterlevnad av lagar, förordningar, policyer, rutiner och kontrakt.
Inclusion of Strategic Risk 2130.A1 The internal audit activity must evaluate the adequacy and effectiveness of controls responding to risks within the organization s governance, operations, and information systems regarding the: Achievement of the organization s strategic objectives; Reliability and integrity of financial and operational information; Effectiveness and efficiency of operations and programs; Safeguarding of assets; and Compliance with laws, regulations, policies, procedures, and contracts. Exposure Results: Yes: 90.9%, No: 5.7%, No Opinion: 3.4% Standards Board Decision: Adopt the exposed change 33
2130.A1 Internrevisionsverksamheten ska utvärdera lämpligheten och effektiviteten av styrning och kontroll med hänsyn till riskerna inom organisationens ledning, operativa verksamhet och informationssystem med avseende på: Uppnåendet av organisationens strategiska mål, Tillförlitlighet och fullständighet i finansiell och verksamhetsrelaterad information, Ändamålsenlighet och effektivitet i verksamheten och i program, Skydd av tillgångar, och Efterlevnad av lagar, förordningar, policys, rutiner och kontrakt.
Standard 2120.A1 and 2130.A1 Best Practices Internal audit involvement in key strategic initiatives A seat at the table Address the organizations key strategic risks Serve on IT development teams 35
Disseminating Results 2440 Disseminating Results The chief audit executive must communicate results to the appropriate parties. Interpretation: The chief audit executive or designee reviews is responsible for reviewing and approves approving the final engagement communication before issuance and decides for deciding to whom and how it will be disseminated. When the chief audit executive delegates these duties, he or she retains overall responsibility. Exposure Results: Yes: 84.7%, No: 11.8%, No Opinion: 3.5% Standards Board Decision: Modify the exposed change 36
2440 Spridning av resultat IR-chefen ska sprida resultaten till lämpliga parter. Tolkning: Internrevisionschefen är ansvarig för att granska och godkänna slutrapporten innan den avges och besluta om till vilka och på vilket sätt den ska spridas. När internrevisionschefen delegerar dessa uppgifter ska han eller hon behålla det övergripande ansvaret.
Standard 2440 Best Practices Communicate with impact Develop an ongoing communications process with management to keep current on changing business and risk issues Develop systemic and trending information that would be valued by stakeholders Ensure management is attentive to audit issues and that top management and the audit committee are kept aware of management s corrective actions 38
Acceptance of Risk 2600 Resolution of Senior Management's Communicating the Acceptance of Risks When the chief audit executive believes concludes that senior management has accepted a level of residual risk that may be unacceptable to the organization, the chief audit executive must discuss the matter with senior management. If the decision regarding residual risk is chief audit executive determines that the matter has not been resolved, the chief audit executive must report communicate the matter to the board for resolution. Interpretation: The identification of risk accepted by management may be observed through an assurance or consulting engagement, monitoring progress on actions taken by management as a result of prior engagements, or other means. It is not the responsibility of the chief audit executive to resolve the risk. Exposure Results: Yes: 89%, No: 7%, No Opinion: 4% Standards Board Decision: Adopt the exposed change 39
2600 Rapportering om ledningens riskacceptans Om internrevisionschefen kommer till slutsatsen att ledningen accepterat en risknivå (genom otillräckliga kontrollåtgärder eller genom att acceptera risken) som kan vara oacceptabel för organisationen, ska internrevisionschefen ta upp frågan med ledningen. Om internrevisionschefen kommer fram till att frågan inte lösts ska internrevisionschefen rapportera frågan till styrelsen. Tolkning: Den risk som har accepterats av ledningen kan ha observerats genom ett säkringsuppdrag eller genom ett rådgivningsuppdrag, genom revisorns granskning av ledningens vidtagna åtgärder med anledning av tidigare granskningar eller genom andra åtgärder. Det är inte internrevisionschefens ansvar att åtgärda risken.
Standard 2600 Best Practices When you believe the organization is facing unacceptable risk or certain actions are just not right, speak out Use good judgment on what are real issues, but make it clear that internal auditing has a voice and is willing to use it 41
Clarify the Definition of Board Board A board is an organization s governing body, such as a board of directors, supervisory board, head of an agency or legislative body, board of governors or trustees of a non-profit organization, or any other designated body of the organization, including the audit committee to whom the chief audit executive may functionally report. The highest level of governing body charged with the responsibility to direct and/or oversee the activities and management of the organization. Typically, this includes an independent group of directors (e.g., a board of directors, a supervisory board, or a board of governors or trustees). If such a group does not exist, the board may refer to the head of the organization. Board may refer to an audit committee to which the governing body has delegated certain functions. Exposure Results: Yes: 88%, No: 5.7%, No Opinion: 6.3% Standards Board Decision: Modify the exposed change 42
Styrelse Den högsta styrande nivån i organisationen som har ansvar för att leda och/ eller övervaka organisationens ledning och verksamhet. Vanligtvis ingår i denna konstellation oberoende ledamöter (t.ex. en styrelse, ett övervakande organ, direktion eller förtroenderåd). Om en sådan konstellation inte finns så kan styrelse referera till organisationens operativa chef. Styrelse kan också referera till en revisionskommitté/ett revisionsutskott till vilket styrelsen har delegerat vissa uppgifter.
New Definition of Engagement Opinion Engagement Opinion The rating, conclusion, and/or other description of results of an individual internal audit engagement, relating to those aspects within the objectives and scope of the engagement. Uttalande från uppdraget Klassificering, slutsats och/eller annan beskrivning av resultatet från ett enskilt granskningsprojekt som utgår från granskningens fastslagna mål och omfattning. Exposure Results: Yes: 89.1%, No: 4.8%, No Opinion: 6.2% Standards Board Decision: Modify the exposed change 44
New Definition of Overall Opinion Overall Opinion The overall ratings, conclusions, or other descriptions of results provided by the chief audit executive addressing, at a broad level, governance, risk management and control processes of the organization. An overall opinion is based on the results of a number of individual engagements and other activities for a specific time interval. Övergripande omdöme Klassificering, slutsats och/eller andra beskrivningar av slutsatser från granskningen, avgivna av internrevisionschefen och som adresserar på en övergripande nivå en bedömning av organisationens lednings-, riskhanterings-, samt styrning och kontrollprocesser. Ett övergripande omdöme är internrevisionschefens professionella bedömning baserad på ett antal granskningsprojekt samt andra aktiviteter för en specifik tidsperiod. Exposure Results: Yes: 88.2%, No: 5.4%, No Opinion: 6.5% Standards Board Decision: Modify the exposed change 45
Andra ändringar 1311 Internal Assessment 1320 Reporting on the Quality Assurance and Improvement Program 2201 Plan Consideration 2220 Engagement Scope 2210.A3 Control Processes Delete the definition of residual risk Keep the current definition of risk 46 46
www.globaliia.org/standards-guidance 47
Conformance with the Standards is required and essential for the professional practice of internal auditing. 48 48
FRÅGOR Guidance@theiia.org www.globaliia.org/standards-guidance 49 49