coso regluverkið “nýjacoso” 2013fie.is/wp-content/uploads/2016/05/2014_05_07_coso... · sif...

Sif Einarsdóttir endurskoðandi, yfirmaður innri endurskoðunarþjónustu Deloitte ehf.

COSO regluverkið“Nýja COSO” 2013Morgunfundur FIE 7.5.2014

© 2014 Deloitte Touche Tohmatsu Limited

Umfjöllun

• Kröfur um innra eftirlit samkvæmt íslenskum lögum fyrir mismunandi gerðir fyrirtækja

• COSO Internal Control – Integrated Framework 2013• Áherslubreytingar frá fyrstu útgáfu 1992

• Innra eftirlit – COSO teningurinn• Almenn umfjöllun og notagildi fyrir innri endurskoðendur

1


Innra eftirlit – innra eftirlitslíkan COSO

Tilvísanir í innra eftirlitslíkan eru byggðar á COSO (Internal Control - Integrated Framework, The Committee of Sponsoring Organizations of theTreadway Commision (COSO) (útgefið 2013).

2


Kröfur um innra eftirlit samkvæmt íslenskum lögum

Hlutafélög

Einingar tengdar almannahagsmunum

3

„Félagsstjórn skal annast um að nægilegt eftirlit sé haft með bókhaldi og meðferð fjármuna félagsins. Framkvæmdastjóri skal sjá um að bókhald félagsins sé fært í samræmi við lög og venjur og meðferð eigna félagsins sé með tryggilegum hætti. „(68. gr. laga um hlutafélög nr. 2/1995)

“Endurskoðunarnefnd skal meðal annars hafa eftirfarandi hlutverk án tillits til ábyrgðar stjórnar, stjórnenda eða annarra á þessu sviði: 1. Eftirlit með vinnuferli við gerð reikningsskila. 2. Eftirlit með fyrirkomulagi og virkni innra eftirlits einingarinnar, innri endurskoðun, ef við á, og áhættustýringu. 3. Eftirlit með endurskoðun ársreiknings og samstæðureiknings einingarinnar. 4. Mat á óhæði endurskoðanda eða endurskoðunarfyrirtækis og eftirlit með öðrum störfum endurskoðanda eða endurskoðunarfyrirtækis. 5. Setja fram tillögu til stjórnar um val á endurskoðanda eða endurskoðunarfyrirtæki.]“ (108. Gr. b. Laga um ársreikninga nr. 3/2006)


Kröfur um innra eftirlit samkvæmt íslenskum lögum

Fjármálafyrirtæki

Lífeyrissjóðir

4

„Stjórn lífeyrissjóðs ber ábyrgð á starfsemi sjóðsins í samræmi við lög þessi, reglugerðir settar samkvæmt þeim og samþykktir sjóðsins. Stjórn lífeyrissjóðs skal einnig hafa með höndum almennt eftirlit með rekstri, bókhaldi og ráðstöfun eigna sjóðsins. Stjórnin setur sér starfsreglur og gerir tillögur til breytinga á samþykktum sjóðsins á ársfundi.“ (29.gr. l.nr. 129/1997 um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða ) „Stjórn lífeyrissjóðs annast m.a. eftirfarandi verkefni: „ … „8. að móta innra eftirlit lífeyrissjóðsins og skjalfesta eftirlitsferla], 9. að móta eftirlitskerfi sem gerir sjóðnum kleift að greina, vakta, meta og stýra áhættu í starfsemi sjóðsins].“ (29. gr. l. nr. 129/1997 um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða )

Ábyrgð yfirstjórnar. “Yfirstjórn fjármálafyrirtækis ber ábyrgð á að skyldur þess samkvæmt lögum og reglum séu uppfylltar.

Yfirstjórn skal reglulega meta og endurskoða skilvirkni stefnu, fyrirkomulags og verklags, sem komið hefur verið á til að uppfylla skyldur samkvæmt lögum og reglum og gera viðeigandi ráðstafanir til að ráða bót á hvers konar annmörkum.

(5. gr. Reglugerðar um fjárfestavernd og viðskiptahætti fjármálafyrirtækja.)


Af hverju eru gerðar opinberar kröfur um innra eftirlit?

Meiri kröfur til sumra fyrirtækja en annarra:

Eftirlitsskyldir aðilar Fjármálaeftirlitsins - eða - ekki eftirlitsskyldir aðilar

Einingar tengdar almannahagsmunum - eða - almenn fyrirtæki ekki tengd almannahagsmunum

Innra eftirliti er m.a. ætlað að:

• Koma í veg fyrir að mistök verði sem veldur fyrirtækinu tjóni.

• Verja eignir fyrirtækisins fyrir tjóni.

• Koma í veg fyrir að fyrirtækið verði fyrir tjóni af völdum sviksemi.

- Innra eftirlit er hluti af eðlilegri starfsemi fyrirtækja.

- Innra eftirlit er ekki bara íþyngjandi formkröfur eftirlitsaðila.

- Innra eftirliti er ætlað að gera fyrirtækinu gagn.

5


Tjón fyrirtækja af völdum sviksemikoma oftar í fréttir en tjón vegna mistaka starfsmanna

En það þýðir ekki að slík tjón geti ekki verið alvarleg líka.

Dæmi um tjón sem innra eftirlit hefði getað komið í veg fyrir:

6




7




8


COSO Internal Control – Integrated Framework - nýja regluverkið

COSO Internal Control – Integrated Framework

(May 2013)

COSO Internal Control - Integrated Framework:

Turning Principles Into Positive Action

9


COSO Internal control – Integrated framework 2013Hvað hefur breyst frá fyrri útgáfu?

Kemur fram í inngangskafla að regluverkinu.

Árið 1992 gaf the Committee of Sponsoring Organizations of the Treadway Commission (COSO) út: Internal Control—Integrated Framework (the original framework).

Síðan hafa liðið rúm 20 ár og ýmislegt breyst:

Ytra og innra umhverfi fyrirtækja, alþjóðavæðing, aukin tækni, væntingar hagsmunaaðila, kröfur um gegnsæi, upplýsingagjöf, kröfur til virks innra eftirlits.

Hvað er óbreytt í regluverkinu frá fyrri útgáfu:

• Skilgreining á innra eftirliti

• 5 þættir innra eftirlits, Eftirlitsumhverfi, áhættumat, eftirlitsaðgerðir, upplýsingar og samskipti, stjórnendaeftirlit.

• Áfram áhersla á að stjórnendur leggi mat á hvort innra eftirlit sé nægjanlegt og ábati umfram kostnað (e. Management judgment).

Helstu breytingar frá fyrri útgáfu:

• Hugtök hafa verið mótuð og settar 17 svokallaðar „meginreglur“ (e. Principles) sem tengjast hinum 5 þáttum innra eftirlitsins.

• Markmið um fjárhagsupplýsingar (e.financial reporting) eru nú markmið um upplýsingagjöf almennt, ekki bara fjárhagsupplýsingar.

10


COSO Internal control – Integrated framework 2013Hvað hefur breyst frá fyrri útgáfu? (frh).

Auk þess eru útskýringar og texti regluverksins breyttur, sem tengist atriðum sem hafa breyst á síðustu 20 árum s.s.:

• Áhersla á tengsl milli markmiða, áhættu og innra eftirlits

• Áhersla á að allir 5 þættirnir teningsins tengjast og vinna saman

• Áhersla á hættuna á sviksemi

• Áhersla á markmið tengd fylgni við lög og rekstrartengd markmið

• Alþjóðavæðing í starfsemi og á mörkuðum

• Breytingum í viðskiptum og aukið flækjustig

• Auknar kröfur í lögum, reglugerðum og stöðlum

• Notkun aukinnar tækni í starfsemi og viðskitpum

11


Innra eftirlit - skilgreining

Innra eftirlit hefur verið skilgreint þannig:

Internal control is a process, effected by an entity‘s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance.

Lauslega þýtt:

Innra eftirlit er ferli sem mótast af stjórn fyrirtækis, stjórnendum þess og starfsmönnum. Tilgangur þess er að veita hæfilega vissu um að fyrirtækið nái eftirtöldum markmiðum:

• Árangur og skilvirkni í starfseminni – rekstrartengd markmið

• Áreiðanleg skýrslugerð - markmið um réttar upplýsingar, bæði fjárhagslegar/aðrar, innri/ytri upplýsingar.

• Fylgni við lög og reglur – markmið um að starfsemin sé í samræmi við lög og reglur

12


Innra eftirlit – innra eftirlitslíkan COSOMarkmið - dæmi um fyrirtæki A

Samkvæmt COSO er hægt að heimfæra markmið fyrirtækisins á þessa flokka:

• Rekstrartengd markmið.

• T.d. Góð framlegð, EBITDA, hagnaður, eða ávöxtun ákveðinna eignasafna eða nýting á hráefni.

• Markmið um áreiðanlega skýrslugjöf.

• T.d. stjórn fær réttar upplýsingar um afkomu, eða um magn mengunar/úrgangs, eða um fylgni við jafnlaunastefnu.

• Markmið um fylgni við lög og reglur.

• T.d. fyrirtækið fylgir heilbrigðisreglugerðum eða fjárfestingar eru í samræmi við fjárfestingarstefnu (hjá lífeyrissjóði).

Tilvísanir í innra eftirlitslíkan eru byggðar á COSO (Internal Control - Integrated Framework, The Committee of Sponsoring Organizations of the Treadway Commision (COSO) (útgefið 2013)

13


Áhættumat og innra eftirlit - val á eftirlitsþáttumÁvinningur umfram kostnað

Við val á eftirlitsþáttum, þ.m.t. eftirlitsaðgerðum, þarf að hafa í huga að ávinningur við eftirlitið sé umfram kostnaður við eftirlitið.

Mikil áhrif og miklar líkur á að áhættan verði að veruleika: Dýrari eftirlitsþættir / vélrænir / innbyggðir í upplýsingakerfi og fyrirbyggjandi.

Lítil áhrif og litlar líkur á að áhættan verði að veruleika: Minni áhersla á innra eftirlit, handvirkir eftirlitsþættir og eftirlitið fer fram eftir á / uppgötvandi eftirlit.

14


Mismunandi tegundir eftirlits – við hönnun innra eftirlitsÁvinningur umfram kostnað

Við val á eftirlitsþáttum, þ.m.t. eftirlitsaðgerðum, þarf að hafa í huga að ávinningur við eftirlitið sé umfram kostnaður við eftirlitið.

Hér eru nokkrar tegundir innra eftirlits,algengt er í fyrirtækjum að innra eftirlitið sé samansett úr öllum þessum þáttum.

15


Eftirlitsumhverfi

Eftirlitsumhverfið felur í sér stjórnarhætti og stjórnskipulag fyrirtækisins og viðhorf, skilning og aðgerðir stjórnenda vegna innra eftirlits og mikilvægi þess fyrir viðkomandi starfsemi.

1. Í fyrirtækismenningunni er lögð áhersla á heiðarleika og siðferðisleg gildi.

2. Stjórn fyrirtækisins er óháð stjórnendum þess og hefur eftirlit með þróun og framkvæmd innra eftirlits í fyrirtækinu.

3. Stjórnendur koma á fót innra stjórnskipulagi, setja upp boðleiðir og úthluta valdi og ábyrgð á viðeigandi hátt í þeim tilgangi að ná markmiðum fyrirtækisins og stjórn hefur eftirlit með framkvæmdinni.

4. Fyrirtækið einsetur sér að laða að hæfa einstaklinga sem starfsmenn, aðstoðar þá við að þróast í starfi og halda þeim í starfi í samræmi við markmið fyrirtækisins.

5. Fyrirtækið fylgir því eftir að einstakir starfsmenn þess beri þá ábyrgð sem þeim hefur verið úthlutað í tengslum við innra eftirlit.

16


Áhættumat

Fyrirtæki þurfa að stjórna þeim áhættum sem ógna markmiðum þeirra á sviði árangurs, skilvirkni, áreiðanlegrar skýrslugjafar og fylgni við lög og reglur. Áhættumat skapar grundvöll að viðeigandi viðbrögðum við áhættum.

6. Fyrirtækið setur sér skýr markmið, sem auðveldar stjórnendum að skilgreina þær áhættur að markmið náist ekki og að meta þessar áhættur á fullnægjandi hátt.

7. Áhættur eru skilgreindar á öllum sviðum starfsemi fyrirtækisins og áhættur eru greindar nægjanlega til að hægt sé að ákvarða hvernig sporna á við áhættum eða stjórna þeim.

8. Við mat á áhættum fyrirtækisins er nægjanlegur gaumur gefinn að þeirri áhættu að sviksemi eigi sér stað.

9. Fyrirtækið bregst við breytingum í starfsemi eða umhverfi sem hafa veruleg áhrif á innra eftirlit hans.

17


Eftirlitsaðgerðir

10. Fyrirtækið velur og þróar eftirlitsaðgerðir sem stuðla að því að draga úr áhættu þannig að áhættan teljist vera viðunandi.

11. Fyrirtækið velur og þróar eftirlitsaðgerðir sem taka mið af þeirri tækni sem það ræður yfir á hverjum tíma. Þessar eftirlitsaðgerðir eiga að koma í veg fyrir þá áhættu að markmið náist ekki.

12. Fyrirtækið kemur eftirlitsaðgerðum fyrir í verkferlum og starfsemi í samræmi við reglur og væntingar fyrirtækisins.

• Val eftirlitsaðgerða byggja á starfsemi og tegund fyrirtækis

• Verkferlar og starfsemi eru auðvitað mjög mismunandi eftir tegund fyrirtækis.

• Tæknin í dag býður upp á fyrirbyggjandi eftirlit með starfaaðgreiningu í kerfum.

Allar þær aðgerðir sem tilheyra daglegri starfsemi og er ætlað að mæta áhættu á því að fyrirtækið nái ekki markmiðum sínum, svo sem aðgreining starfa, viðeigandi verklagsreglur og verkferlar.

Þessi hluti COSO teningsins er mjög ólíkur á milli mismunandi tegunda fyrirtækja.

18


Upplýsingar og samskipti

Viðeigandi og tímanleg upplýsingagjöf er nauðsynleg í starfsemi fyrirtækja til að styðja við innra eftirlit þeirra. Stjórnendur afla upplýsinga og nota þær til að taka mikilvægar ákvarðanir, þeir vinna líka upplýsingar til að veita starfsmönnum, stjórn og hagsmunaaðilum.

13.Fyrirtækið aflar, notar eða býr til viðeigandi upplýsingar til að styðja við virkni annarra þátta innra eftirlits.

14.Fyrirtækið miðlar upplýsingum innanhúss, þar á meðal er komið á framfæri markmiðum innra eftirlits og hvernig ábyrgð starfsmanna og stjórnenda er háttað til að styðja við virkni annarra þátta í innra eftirliti.

15.Fyrirtækið miðlar upplýsingum til ytri aðila um atriði sem skipta máli varðandi virkni innra eftirlits.

19


Stjórnendaeftirlit

Viðvarandi vöktun, einstakar prófanir á virkni eða sambland þessara aðferða eru notaðar til að hafa eftirlit með því að allir fimm þættir innra eftirlits séu til staðar og virkir.

16. Fyrirtækið tryggir að til staðar sé viðvarandi vöktun þar sem það á við og lætur einnig gera sérstakar prófanir á virkni innra eftirlits.

17. Fyrirtækið leggur mat á frávik innra eftirlitsaðgerða og miðlar upplýsingum tímanlega til viðkomandi ábyrgðaraðila svo þeir geti brugðist við, þar með taldir eru stjórnendur og stjórn, eins og þykir viðeigandi hverju sinni.

20


“Deloitte” is the brand under which tens of thousands of dedicated professionals in independent firms throughout the world collaborate to provide audit, consulting, financial advisory, risk management, and tax services to selected clients. These firms are members of Deloitte Touche Tohmatsu Limited (DTTL), a UK private company limited by guarantee. Each member firm provides services in a particular geographic area and is subject to the laws and professional regulations of the particular country or countries in which it operates. DTTL does not itself provide services to clients. DTTL and each DTTL member firm are separate and distinct legal entities, which cannot obligate each other. DTTL and each DTTL member firm are liable only for their own acts or omissions and not those of each other. Each DTTL member firm is structured differently in accordance with national laws, regulations, customary practice, and other factors, and may secure the provision of professional services in its territory through subsidiaries, affiliates, and/or other entities.

Deloitte provides audit, tax, consulting, and financial advisory services to public and private clients spanning multiple industries. With a globally connected network of member firms in more than 150 countries, Deloitte brings world-class capabilities and deep local expertise to help clients succeed wherever they operate. Deloitte's approximately 200,000 professionals are committed to becoming the standard of excellence.

This publication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entitites(collectively, the “Deloitte Network”) is, by means of this publication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this publication.

Copyright © 2014 Deloitte ehf.

coso regluverkið “nýjacoso” 2013fie.is/wp-content/uploads/2016/05/2014_05_07_coso... · sif...

Documents