Upload File

veiledning i eus åttende selskapsdirektiv · 2014. 10. 21. · ferma / eciia 3 veiledning for...

  • Home
  • Documents
  • Veiledning i EUs åttende selskapsdirektiv · 2014. 10. 21. · FERMA / ECIIA 3 Veiledning for styrer og revisjonsutvalg. Peter den Dekker, ... nødvendig og har økt folks forventninger
20
Veiledning i EUs åttende selskapsdirektiv artikkel 41

Upload: others

Post on 01-Feb-2021

0 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Veiledning i EUs åttende selskapsdirektivartikkel 41

  • aa

  • "Oppfølging av effektiviteten oghensiktsmessigheten i systemene for internkontroll, internrevisjon og risikostyring”

    Veiledning for styrer og revisjonsutvalg

    Det åttende europeiske selskapsdirektiv om lovfestet revisjon

    DIREKTIV 2006/43/EF – art. 41-2b

    21. september 2010

    FERMA / ECIIAVeiledning for styrer og revisjonsutvalg3

  • Peter den Dekker, styreleder FERMA

    Det å drive en virksomhet har alltid handlet om å ta risiko.Finanskrisen nå nylig har gjort risikostyring enda mernødvendig og har økt folks forventninger til at de økonomiskeaktørene er proaktive i risikokontrollen.Det som er nytt med EUs åttende selskapsdirektiv, er atstyrene og deres revisjonsutvalg nå gis et tydelig ansvar.Toppledelsen forventes å involvere seg i risikostyring ogrisikotaging. Styret skal angi retningen med utgangspunkt i

    aksjonærenes risikoappetitt.Et godt risikostyringssystem er som styringssystemene i en racerbil – de gjør at mankan kjøre raskere, lenger og sikrere.

    Claude Cargou, styreleder ECIIA

    Når artikkel 41 i det åttende direktivet gir styret og detsrevisjonsutvalg i oppgave å følge opp hensiktsmessigheten av systemene for risikostyring og kontroll, er det bare enformalisering av forventningene fra deltagerne i kapital-markedene om å motta transparent og pålitelig informasjonom betydelige nåværende og framvoksende risikoer fororganisasjonen og måten disse risikoene håndteres på.Dette kravet til styrer og revisjonsutvalg er ikke lenger

    begrenset til risikoer knyttet til finansiell rapportering slik det ofte var før. I dag må de også føre tilsyn med håndteringen av selskapets strategiske risiko,operasjonelle risiko og etterlevelsesrisiko (compliance).Det er her styrer og revisjonsutvalg kan benytte internrevisjonen for objektive oguavhengige bekreftelser av hensiktsmessigheten ved risiko- og kontrollsystemer ihele organisasjonen.Som sådan blir internrevisjonen en av hjørnesteinene i god virksomhetsstyring(governance) og støtter styrer og revisjonsutvalg med å oppfylle sine plikter ogansvar overfor selskapets interessenter og publikum generelt.

    Dette åttende selskapsdirektivet fra EU gir organisasjoner trygghet til å dra fordelerav forretningsmulighetene.

    Peter den Dekker Claude Cargoustyreleder av FERMA styreleder av ECIIA

    FERMA / ECIIAVeiledning for styrer og revisjonsutvalg 4

  • FERMA / ECIIAVeiledning for styrer og revisjonsutvalg5

    INNHOLD

    Formålet med denne veiledningen 6

    Roller og ansvar vedrørende hensiktsmessig risikostyring og kontroll 7

    Roller og ansvar 7Oppfølging av risiko og bekreftelsesfunksjoner 8Samhandling mellom de ulike aktørene innen risikostyring og internkontroll 9

    Agenda for revisjonsutvalget 10

    Hensiktsmessig risikostyring 10Hensiktsmessig internkontroll 11Hensiktsmessig internrevisjon 12Revisjonsutvalg 13

    Vedlegg 14

    Risikostyring 14Internkontroll 15Internrevisjon 16Ekstern revisjon 16FERMA og ECIIA 18Bidragsytere 18

    Des

    ign:

    gree

    npep

    per.b

    2010

  • (1) I dette dokumentet defineres;• Med styre menes “styret” i en struktur med ett nivås struktur og “tilsynsstyret” (supervisory board) i en struktur med to nivåer• Toppledelse som toppledergruppen i en struktur med ett nivås struktur og “ledelsesstyret"/direksjonen (management board) i

    en struktur med to nivåer

    FORMÅLET med denne VEILEDNINGEN

    Formålet med denne FERMA/ECIIA-veiledningen er å bistå styremedlemmer, og særlig medlemmer av revisjonsutvalg, med gjennomføringen av art. 41 i EUs åttendeselskapsdirektiv.

    I avsnitt 2b slår direktivet fast at

    Utsagnet er tilsynelatende enkelt, men spørsmålene om “hva man skal følge opp”, og“hvordan man skal følge opp”, er betydelig mer kompliserte. For å kaste lys over “hva”og “hvordan” man skal følge opp, vil denne veiledningen:

    1. Gi en oversikt over roller og ansvar vedrørende sikring av hensiktsmessig risikostyring og kontrollbekreftelser for:

    • styret/revisjonsutvalget (1)

    • administrerende direktør og toppledelse (1)

    • linjeledelse• oppfølgings- og bekreftelsesfunksjoner

    2. Klargjøre anbefalt samspill mellom internkontroll, risikostyring og internrevisjon3. Foreslå beste praksis for hvordan styret og styrets revisjonsutvalg kan føre tilsyn

    med:• risikostyringsprosessen• internkontrollsystemet• internrevisjonsfunksjonen

    Merknad:• Selv om det åttende direktivet gir dette tilsynsansvaret til organisasjonens

    revisjonsutvalg, er det til syvende og sist hele styrets ansvar og denne veiledningen skal forstås i lys av det.

    • Gjennomføringen av det åttende direktivet i de nasjonale lovverkene kan kreveytterligere tiltak utover det som foreslås i denne veiledningen.

    FERMA / ECIIAVeiledning for styrer og revisjonsutvalg

    “[...] revisjonsutvalget skal blant annet følge opp effektiviteten og hensiktsmessigheten av

    selskapets systemer for internkontroll, eventuell internrevisjon og risikostyring [...].”

    6

  • Styret

    Styret fører tilsyn med og veileder toppledelsen ved:• Å fastsette (i samarbeid med toppledelsen) organisasjonens risiko-

    appetitt (= den risikoen organisasjonen er villig til å akseptere i forbindelse med generering av lønnsomhet og avkastning).

    • Å holde seg underrettet om de mest vesentlige risikoene for organisasjonen og om hvorvidt toppledelsen reagerer på riktig måte (i lys av den avtalte risikoappetitten).

    Administrerende direktør og toppledelse

    Administrerende direktør og dennes ledergruppe har det endelige ansvaret for ogeierskapet til organisasjonens risikostyring og kontrollrammeverk.Administrerende direktør:

    • Sørger for at det er et positivt internt miljø og en positiv risikokultur iorganisasjonen (“tonen på toppen”).

    • Leder linjeledelsen og følger opp organisasjonens samlede risiko-aktiviteter i relasjon til organisasjonens samlede risikoappetitt.

    • Setter i verk de tiltakene som skal bringe risikoen i samsvar medfastsatt risikoappetitt, når endrede omstendigheter og nytilkomnerisikoer indikerer et mulig misforhold mellom dagens situasjon ogrisikoappetitten.

    Medlemmer av toppledelsen har ansvar for å styre risikoer innen sine ansvars-områder ut ifra sine enheters målsetninger ved:

    • Å gjøre strategi om til operative målsetninger.• Å identifisere og vurdere risikoer som hindrer oppnåelsen av disse

    målsetningene.

    • Å iverksette tiltak for å endre risikobildet i samsvar med risiko-toleransen.

    Linjeledelse

    Toppledelsen delegerer ansvar, også for risikostyringsprosedyrer, til ledere ibestemte prosesser, funksjoner eller avdelinger ("risikoeierne"). Dermed spillerdisse lederne en mer praktisk rolle i utførelsen av bestemte daglige risikostyrings-prosedyrer. De identifiserer og vurderer risiko og bestemmer hvordan risikoenskal følges opp gjennom utvikling av hensiktsmessige internkontrolltiltak (f.eks. etablering av rutiner for utvikling av nye produkter).

    Merknad: Mens prinsipper og rutiner for internkontroll er en integrert del av etrisikostyringsrammeverk som omfatter hele organisasjonen (dvs. er etablert somhjelpemiddel for å sikre at risikoene blir håndtert på en hensiktsmessig måte), har noen organisasjoner, særlig i finanssektoren, etablert en sentralisert intern-kontrollfunksjon som gjennom sitt arbeid legger til rette for og koordinerer slik atdet blir en konsekvent og tilfredsstillende utforming og en effektiv gjennomføringav de internkontrolltiltak linjeledelsen har etablert. Oppfølgingsarbeidet tar imidlertid ikke bort linjeledelsens plikter og ansvar for å styre risikoer innenfor sineansvarsområder.

    FERMA / ECIIAVeiledning for styrer og revisjonsutvalg

    ROLLER OG ANSVAR vedrørende HENSIKTSMESSIG RISIKOSTYRING OG KONTROLL

    Roller og ansvar

    7

  • FERMA / ECIIAVeiledning for styrer og revisjonsutvalg 8

    Oppfølging av risiko og bekreftelsesfunksjoner

    Sentralisert risikostyringsfunksjon (oppfølging av risiko)

    Grunnlaget for en solid risikostyring er at alle deler av organisasjonen er ansvarligefor å håndtere risikoer innenfor sine områder. Men risikostyring skal gjennomføresetter en integrert, holistisk tilnærming slik at man sikrer at den er i samsvar medmålsetninger og strategi i organisasjonen som helhet.

    FERMA/ECIIA støtter derfor etablering av en sentralisert risikostyringsfunksjon somkoordinerer og støtter risikostyring i hele organisasjonen. Beste praksis er at detutnevnes en Chief Risk Officer, men små organisasjoner kan tildele ansvaret til enannen toppleder.

    FERMA/ECIIA mener videre at denne personen skal rapportere gjennomadministrerende direktør til styret. Vedkommende har ansvar for å følge oppframdriften i risikostyringen og for å bistå linjeledere i å rapportere relevantrisikoinformasjon oppover og ut i organisasjonen.

    En Chief Risk Officer (eller en person i en lignende stilling) skal:• Etablere retningslinjer for risikostyring, definere roller og ansvar og fastsette

    mål for gjennomføringen.• Utarbeide et rammeverk for risikostyring for bestemte prosesser, funksjoner

    eller avdelinger i organisasjonen.• Fremme risikostyringskompetanse i hele organisasjonen.• Etablere et felles risikostyringsspråk (f.eks. med hensyn til risikokategorier

    og mål på sannsynlighet og konsekvens).• Bistå ledelsen i utvikling av risikorapportering og følge opp risiko-

    rapporteringsprosessen.• Rapportere til administrerende direktør og styret om framdriften og anbefale

    nødvendige tiltak.

    Internrevisjonsfunksjon (gir bekreftelser relatert til risiko)

    Internrevisjonsfunksjonen skal: • Gi styret og toppledelsen en objektiv bekreftelse på at risikoene er forstått

    og håndtert på en hensiktsmessig måte.• Fungere som en intern rådgiver og foreslå forbedringsløsninger med

    hensyn til organisasjonens virksomhetsstyring (governance), risikostyringog kontrollstruktur.

    Som sådan bidrar internrevisjonen aktivt til en hensiktsmessig og effektivvirksomhetsstyring (governance) under forutsetning av at tiltak som fremmerdens uavhengighet og profesjonalitet er oppfylt.

    FERMA/ECIIA mener derfor at den beste praksisen er å etablere og opprettholde enuavhengig internrevisjonsfunksjon med tilstrekkelig og kompetent bemanning som:

    • Utøver i henhold til “International Professional Practices Framework” (IPPF)fastsatt av det globale Institute of Internal Auditors.(1)

    • Rapporterer til et tilstrekkelig høyt nivå i organisasjonen til å kunne utføresine oppgaver profesjonelt og har en åpen og hensiktsmessig rapporterings-linje til styret (og revisjonsutvalget).

    (1) www.theiia.org/guidance/standards-and-guidance/interactive-ippf

  • 9FERMA / ECIIA

    Guidance for boards and audit committees

    Risk monitoring and assurance functionsCentralised risk management function (risk monitoring)While the basis of sound risk management is that every part of an organisation is responsible for managing risks in its own area of activity, this should be operated in an integrated, holistic approach to ensure alignment with the organisation-wide objectives and strategy.FERMA/ECIIA, therefore, supports the establishment of a centralised risk management function for coordinating and helping effect risk management across

    organisations may assign this responsibility to another senior executive.FERMA/ECIIA is further of the opinion that this individual should report through the CEO to the board. He/she is responsible for monitoring risk management progress and for assisting operational managers in reporting relevant risk information up, and across the organisation.

    and setting goals for implementation;

    functions or departments of the organisation;Promoting risk management competence throughout the organisation;Establishing a common risk management language (e.g. regarding risk categories and measures related to likelihood and impact);Facilitating managers’ development of risk reporting, and monitoring the reporting process;Reporting to the CEO and the board on progress and recommending action as needed.

    Internal audit function (risk assurance)The internal audit function

    Provides objective assurance to the board and senior management that risks are understood and managed appropriately, andServes as an in-house consultant proposing solutions for improving the organisation’s governance, risk management and control structure.

    As such, internal audit actively contributes to effective corporate governance providing however that certain conditions – fostering its independence and professionalism – are met.FERMA/ECIIA therefore recommends that best practice is to establish and maintain an independent, adequately and competently staffed internal auditing function, which

    Acts in accordance with the International Professional Practices Framework – IPPF, set by the global Institute of Internal Auditors(1)

    its duties and that it should have an active and effective reporting line to the board (or its audit committee).

    Establishing a professional internal audit function should be the rule, not only for large and medium size institutions but also for smaller entities. This is the more so because the latter may not be able to deploy a full organisational structure to ensure the effectiveness of its governance and risk management processes. In any case, for small organisations that have not established an “in-house” internal audit function, it should be a requirement to disclose to their stakeholders on an annual basis that they have considered how the necessary assurance on the effectiveness of the organisation’s governance, risk management and control structure is to be obtained (i.e. through internal audit).

    Interaction between the various actors in risk management and internal controlAs mentioned before, the board and the CEO are respectively responsible for providing oversight and monitoring risk management strategies and processes. To effectively assume these duties, they seek assurance from various sources within the organisation.This model, which is rapidly gaining universal recognition, can be illustrated as follows:

    Three Lines of Defence Model

    Operational management has ownership, responsibility and accountability for assessing, controlling and mitigating risks together with maintaining effective internal controls.

    As a second line of defenceThe risk management function facilitates and monitors the implementation of effective risk management practices by operational management and assists the

    information through the organisation. In addition to the centralised risk management function, and as part of this second line of defence, some organisations have established a separate compliance function to monitor compliance risks, i.e. risks of non-conformity with applicable laws and regulations as well as internal regulations (including fraud). In this capacity, the compliance function reports directly to senior management.

    environmental and quality functions.(1) www.theiia.org/guidance/standards-and-guidance/interactive-ippf

    1st Line of Defence

    Senior Management

    Board / Audit Comittee

    2nd Line of Defence

    Risk Management

    External Audit

    Others

    ComplianceOperational

    Management

    Internal Controls

    InternalAudit

    3rd Line of Defence

    FERMA / ECIIAVeiledning for styrer og revisjonsutvalg9

    At det skal etableres en profesjonell internrevisjonsfunksjon bør være regelen, ikkebare for store og mellomstore organisasjoner, men også for mindre enheter. Dette erikke minst aktuelt for mindre enheter fordi disse ofte ikke har anledning til å etablereen omfattende organisasjonsstruktur som skal kunne sikre hensiktsmessige pro-sesser for virksomhets- (governance) og risikostyring. Uansett bør det for småorganisasjoner som ikke har etablert en internrevisjonsfunksjon, være et krav at deårlig rapporterer tilbake til sine interessenter at det er vurdert hvordan det skalinnhentes den nødvendige bekreftelsen på at opplegget for eierstyring, risikostyringog kontroll er effektivt og hensiktsmessig (f.eks. gjennom internrevisjon).

    Samhandling mellom de ulike aktørene innen risikostyringog internkontroll

    Som nevnt er styret og administrerende direktør ansvarlige for å ha tilsyn med og følge opp at strategiene og prosessene for risikostyring. For å oppfylle dissepliktene på en hensiktsmessig måte trenger de bekreftelser fra ulike kilder iorganisasjonen.Denne modellen, som er i ferd med å vinne anerkjennelse på globalt nivå, kanillustreres som følger:

    Modell med tre forsvarslinjer

    Som første forsvarslinje

    Linjeledelsen har eierskap til og ansvar for risikovurdering, risikostyring ogrisikoreduserende tiltak i tillegg til ansvar for å opprettholde en hensiktsmessiginternkontroll.

    Som andre forsvarslinje

    Risikostyringsfunksjonen legger til rette for og følger opp gjennomføringen avhensiktsmessige risikostyringsprinsipper hos linjeledelsen og bistår risikoeiernemed å definere den planlagte risikoeksponeringen og rapportere risikorelatertinformasjon i hele organisasjonen.I tillegg til den sentraliserte risikostyringsfunksjonen og som en del av dette andre-linjeforsvaret har noen organisasjoner etablert en separat etterlevelsesfunksjon(compliance) til å følge opp risiko for brudd på lover, forskrifter og retningslinjer(herunder misligheter). I den egenskapen rapporterer etterlevelsesfunksjonendirekte til toppledelsen.Andre spesifikke oppfølgings- og overvåkingsfunksjoner kan være helse, miljø ogsikkerhets-, innkjøps- og kvalitetsfunksjoner.

    Styre/revisjonsutvalg

    Toppledelse

    Første forsvarslinje Andre forsvarslinje Tredje forsvarslinje

    LinjeledelseInternkontroll

    Risikostyring

    Etterlevelse(Compliance)

    Annet

    Internrevisjon

    Ekstern revisjon

  • Som tredje forsvarslinje

    Internrevisjonsfunksjonen skal gjennom en risikobasert tilnærming blant annet giorganisasjonens styre og toppledelse bekreftelse på hensiktsmessigheten ogeffektiviteten i organisasjonens vurdering og styring av risikoer, herunder hvordan første- og andrelinjeforsvaret fungerer. Denne bekreftelsen vil dekke alle elementer i enorganisasjons rammeverk for risikostyring, dvs. identifisering, vurdering og oppfølgingav risiko og rapportering av risikorelatert informasjon (til hele organisasjonen og tiltoppledelsen og styret).

    Generell kommentar

    Ekstern revisjon kan ses på som et fjerdelinjeforsvar og gir organisasjonens aksjonærer,styre og toppledelse en bekreftelse på at organisasjonens årsregnskap gir et korrektbilde. Gitt den eksterne revisjonens omfang og målsetninger er den risikoinformasjonensom er samlet inn av eksterne revisorer imidlertid begrenset til risiko i forbindelse medfinansiell rapportering. Den omfatter ikke informasjon om hvordan toppledelsen og styretstyrer/følger opp selskapets (strategiske, operasjonelle, etterlevelsesrelaterte) risiko på.På disse områdene står henholdsvis risikostyrings- og internrevisjonsfunksjonen foroppfølging og bekreftelse.

    AGENDAfor REVISJONSUTVALGET

    Hensiktsmessig risikostyring

    Beste praksis

    FERMA/ECIIA mener at risikostyrings-, internkontroll- og revisjonsfunksjoner erpålitelige informasjonskanaler som styret kan bruke til å følge opp om risiko-styrings- og internkontrollsystemene er hensiktsmessige.Når det gjelder risikostyring, må styret (og revisjonsutvalget) minst årlig gjennomgåorganisasjonens største risikoer. Det må vite hvordan forretningsmodellen blirpåvirket av større risikoer og hvordan verdiskapningen kan økes, enten ved å gripemuligheter eller redusere eksponeringer. Om nødvendig må det også få egnetinformasjon om bestemte risikoer i forhold til strategiutvikling, det ytre miljøet og despesifikke iboende risikoer knyttet til selskapets virksomhet.Mens den ovennevnte informasjonen vanligvis blir gjennomgått av hele styret, kanrevisjonsutvalget for å underbygge og støtte opp under styrets behandling, fåinformasjon om risikostyring (underkomiteer, definisjon av akseptable og godkjentegrenser, benchmarking, kontroll og revisjon) for å kunne vurdere om systemene forrisikostyring er hensiktsmessige. Hvis det er en "risikokomité" blant underkomiteenei styret, blir noen aspekter av risikooppfølgingen, -kontrollen og -reduksjonensaksforberedt i denne komiteen. Avslutningsvis vil internrevisjonen rapportere tilstyret og dets revisjonsutvalg om risikostyringssystemenes modenhet, omfang oghensiktsmessighet.

    FERMA / ECIIAVeiledning for styrer og revisjonsutvalg 10

  • FERMA / ECIIAVeiledning for styrer og revisjonsutvalg11

    Hovedpunkter relatert til risikostyring

    • Selskapet definerer sin risikostrategi- og -appetitt. Administrerendedirektør utpeker en Chief Risk Officer eller tilsvarende stilling. Risikoeiereer identifisert for alle vesentlige risikoer.

    • Risikoeierne fastsetter meningsfulle og målbare målsetninger og kontroll-mekanismer som anerkjennes i hele organisasjonen. Risikoeierskap er endel av myndighetsdelegering og godtgjørelsessystemet (bonussystemet)skal omfatte en vurdering av risikotagning.

    • En sentralisert risikostyringsfunksjon har ansvaret for gjennomføringen avrisikostrategien. Den gir selskapet et formelt risikostyringsrammeverk ogtilpassede opplæringsprogrammer til å forbedre risikostyringskulturen ogfremme et felles risikospråk i hele organisasjonen.

    • Toppledelsen gjennomgår jevnlig rapporter om utviklingen i vesentligerisikoer og om gjennomføringen av risikoreduksjonsplanene. Ledelsenforsyner minst én gang i året styret og revisjonsutvalget med en risiko-styringsrapport hvor status med hensyn til nøkkelindikatorer på viktigerisikoer fremgår.

    • Kritiske risikoer og voksende risikoer blir løftet til det rette ledelsesnivåetså snart de er identifisert.

    Hensiktsmessig internkontroll

    Beste praksis

    Når det gjelder internkontroll, må styret og revisjonsutvalget få en bekreftelse på atdet er iverksatt adekvate og hensiktsmessige kontrollmekanismer for å følge opp oghåndtere de kritiske risikoene, og at det finnes en prosedyre for adekvat rapporte-ring om oppfølgingen. Toppledelsen gir sammen med den uavhengige internrevisjo-nen og eksterne revisjonen, styret og revisjonsutvalget bekreftelsen på hvorvidtinternkontrollen er hensiktsmessig og effektiv.

    Hovedpunkter relatert til internkontroll

    • Administrerende direktør og toppledelsen har ansvaret for internkontrollen.Gjennom myndighetsdelegering eier alle linjeledere en del av detteansvaret. Det er viktig for styret og revisjonsutvalget å vite om delegeringav ansvar har blitt kommunisert på en åpen måte til hele organisasjonen,og om linjeledelsen har fått egnede verktøy (budsjett, ressurser) til å tadette ansvaret.

    • Organisasjonens kultur, etiske regler, personalpolitikk og resultatlønns-systemer er avgjørende deler av internkontrollsystemet. Det er viktig atstyret og revisjonsutvalget vurderer om disse komponentene støtterorganisasjonens strategiske målsetninger.

    • Organisasjonens kultur bør oppmuntre den enkelte til å innrapporteremistanke om brudd på lover eller forskrifter eller andre utilbørligheter.Avgjørende for at et slikt system skal fungere, er at varslere beskyttes.Styret og revisjonsutvalget bør være orientert om hvordan varslingsrutinenfungerer, og hvordan organisasjonen behandler rapporterte varsler.

  • FERMA / ECIIAVeiledning for styrer og revisjonsutvalg 12

    • Et internkontrollsystem er bare tilstrekkelig hvis det er gjenstand foroppfølging. Styret og revisjonsutvalget skal følge opp de eksisterendeprosessene og vurdere i hvilken grad finansielle- og andre nøkkelkontrollerer tilstrekkelige. Dette arbeidet omfatter også ledelsens egne oppfølgings-rutiner. Styret og revisjonsutvalget skal i tillegg informeres om alvorligekontrollsvakheter for øvrig. Gjennom myndighetsdelegering blir kontrollalles ansvar i organisasjonen. Noen organisasjoner har implementert enprosess med periodisk egenvurdering der linjen vurderer risikoer forbundetmed sine prosesser, samt kvaliteten på de eksisterende kontrolltiltakene.Samlet kan resultatene fra disse diskusjonene hjelpe revisjonsutvalget til åfølge opp organisasjonens internkontrollsystem.

    Hensiktsmessig internrevisjon

    Beste praksis

    I samsvar med internasjonale standarder skal internrevisorer dokumentere relevantinformasjon som underbygger sine konklusjoner og ledelsens oppfølgingspunktersom følge av gjennomførte revisjoner. Revisjonsutvalget skal, som et saks-forberedende organ for styret, sørge for at periodisk gjennomgang av følgendestår på agendaen:

    • Internrevisjonsfunksjonens instruks og uavhengighet.• Planer for og ressurser tildelt internrevisjon, herunder revisjonens kriterier

    for risikovurdering.• Internrevisjonsfunksjonens kompetanse (gi råd til administrerende direktør

    om evaluering av utførelse, og foreslå for styret endringer i godtgjørelse,ansettelser og avskjedigelse av internrevisjonens leder).

    • Kvalitetsvurderinger i henhold til International Standards for theProfessional Practice of Internal Auditing, herunder periodiske eksterneevalueringer.

    I samsvar med standardene avgir internrevisjonsfunksjonen rapporter til styret,revisjonsutvalget og til administrerende direktør om systemene for risikostyring ogkontroll er hensiktsmessige og effektive samt gir anbefalinger til ledelsen omkontinuerlige forbedringer. Internrevisjonen identifiserer potensielle interesse-konflikter på de ulike nivåene i virksomheten på grunnlag av sin helhetsoversikt ogsin innsikt når det gjelder samsvar mellom strategiske målsetninger og drift medbegrunnelse for eventuell manglende konsistens.

    Hovedpunkter relatert til internrevisjon

    • Internrevisjonens uavhengighet skal formaliseres i en internrevisjons-instruks som fastsettes av styret, men det er enda viktigere for styret ogrevisjonsutvalget å undersøke om denne uavhengigheten også eksisterer ipraksis. Har internrevisjonen faktisk og ubegrenset tilgang til revisjons-utvalget og styret? Gir internrevisjonen uavhengige rapporter omforretningsanliggender uten innblanding fra toppledelsen? Kan objektivrapportering påvirke internrevisorenes framtidige karrieremuligheter?

    • Internrevisjonen har begrensede ressurser. Det er derfor viktig å fordeledisse ressursene til de mest kritiske områdene. Utfordrer styret ogrevisjonsutvalget internrevisjonens plan og budsjett når de presenteres?Hvordan vurderer internrevisjonen organisasjonens risikoer, gjennom-føringen av risikostyringen og risikostyringens modenhet?

  • FERMA / ECIIAVeiledning for styrer og revisjonsutvalg13

    Er det en kobling til organisasjonens egen risikokartlegging? Fokusererinternrevisjonen på det som er lett å revidere, heller enn på det som mårevideres? Når styret og revisjonsutvalget godkjenner revisjonsplanen vetde da hva som ikke vil bli dekket?

    • Det er viktig å følge opp om organisasjonen virkelig tar hensyn til deanbefalinger internrevisjonen kommer med. Hvor fort ledelsen gjennom-fører internrevisjonens anbefalinger, er en indikasjon på hvor høytledelsen verdsetter internrevisjon. Det er ikke alltid best med merkontroll; den beste løsningen er alltid bedre kontroll. Når ledelsen ikke tar hensyn til eller raskt nok implementerer revisjonsanbefalinger, kanrevisjonsutvalget på vegne av styret, invitere ledelsen til sine møter for åfå bekreftet hva som er årsaken til dette. Organisasjonens forsvars-mekanisme omfatter tre forsvarslinjer. Det er derfor avgjørende at denførste og andre forsvarslinjen vurderes på en ordentlig måte av intern-revisjonen, uten at disse andre linjenes arbeid gjentas.

    • I noen organisasjoner forventes det at toppledelsen eller styret utstederog offentliggjør en årlig uttalelse om internkontrollen eller en attestasjons-erklæring. Det er viktig for styret og revisjonsutvalget å vite om intern-revisjonen har foretatt en uavhengig gjennomgang av ledelsensrapporteringsprosess, eller om den har vært delaktig i den.

    Revisjonsutvalg

    Beste praksis

    Risikostyring og internkontroll står på revisjonsutvalgets agenda. Revisjonsutvalgetgir tilbakemelding til styret om sin vurdering relatert til internkontroll- og risiko-styringssystemenes hensiktsmessighet på grunnlag av informasjon den får direkteeller med bistand fra revisjonsfunksjonene. I henhold til god praksis for revisjons-utvalg skal revisjonsutvalget gjennomgå alle forsvarslinjene i organisasjonen, samtsamhandlingen mellom dem.

    Hovedpunkter relatert til revisjonsutvalgets arbeid

    • Oppfølging av risikostyring, internkontroll og internrevisjon krever atrevisjonsutvalget setter av en betydelig mengde tid. Møter alene kanvære utilstrekkelig for en omfattende forståelse og bekreftelse.Revisjonsutvalget må vite hvor stor innsats, ressurser og budsjetter somer nødvendig for at det skal kunne leve opp til forventningene om sittarbeid.

    • For å oppfylle sitt ansvar må revisjonsutvalget vurdere informasjon fratoppledelsen, gjennomgå vesentlige risikoer og kritiske prosesser hvertår, utfordre toppledelsens målsetninger vedrørende disse elementene ogforeta benchmarking av selskapets praksis på de ulike områdene.

    • Arbeidet i revisjonsutvalget kan bare være til nytte hvis styret setter avnok tid på sin agenda til at revisjonsutvalget kan presentere resultateneav sitt arbeid. Revisjonsutvalget skal også føle at styret iverksetteregnede tiltak som følge av rapporteringen.

    • Ledende revisjonsutvalg får derfor sin egen ytelse og effektivitet vurdertårlig.

  • FERMA / ECIIAVeiledning for styrer og revisjonsutvalg 14

    VEDLEGG

    Risikostyring

    Introduksjon til helhetlig risikostyring

    Det å ta en risiko er en iboende del av det å utnytte forretningsmuligheter. Det harimidlertid ofte ikke vært klart uttrykt i beslutningsprosessen. Helhetlig risikostyring(Enterprise Risk Management, ERM) tar sikte på å holde risikoer på et akseptabeltnivå (fastsatt av styret og toppledelsen). ERM innebærer å utvikle selskapet, å skapeog opprettholde verdier og å oppnå målene.Tilnærmingen omfatter metoder og prosesser som brukes av organisasjoner til å styrerisikoer og utnytte muligheter i forbindelse med oppnåelse av selskapsmålsetninger.ERM gir et rammeverk for risikostyring som typisk involverer identifikasjon av bestem-te hendelser eller omstendigheter av betydning for organisasjonens målsetninger (risi-koer og muligheter), vurdering av dem ut ifra sannsynlighet og konsekvens, valg avoppfølgingsstrategi og oppfølging av gjennomføringen. Ved å identifisere og proaktivtvurdere risikoer og muligheter kan bedrifter beskytte og skape verdier for sine interes-senter, herunder eiere, ansatte, kunder, tilsynsmyndigheter og samfunnet generelt.Det omfatter ytre risiko (knyttet til regelverk, omdømme osv.), strategisk risiko (en ibo-ende del av forretningsmodellen), finansiell risiko, etterlevelsesrisiko og operasjonellrisiko. Som følge av globaliseringen av næringslivet, har den gjensidige avhengighe-ten mellom ulike risikoer blitt et viktig element som må håndteres i risikostyringspro-sessen.Som en sentral del av styringsstrukturen i en organisasjon bidrar ERM til å beskytteverdier og til å bedre beslutningsprosessen ved å fastsette akseptable nivåer forrisikoappetitten og ved å forankre risikostyring i forretningsplanleggings- og -ledelses-prosesser. Når risikostyring er forankret, blir den en del av organisasjonens kultur.

    Globale standarder for risikostyring

    De fleste standarder er generelle retningslinjer som gjelder alle slags organisasjoner,men de må tilpasses organisasjonens særtrekk, virksomhet og kultur. Blant denåværende globale standardene finner vi ISO 31000, COSO ERM og denopprinnelig britiske FERMA-standarden.

    Ansvar for risikostyring og rapporteringslinjer

    De fleste organisasjoner har egne ansatte som driver med risikostyring på selskaps-og forretningsområdenivå, og som har ansvar for at risikokulturen blir kjentgjort i heleorganisasjonen, generell rapportering, prosesser og metoder. Dette bør ses på somgod praksis for å forbedre risikostyringen. Ansvaret for styring av forretningsrisiko,sammen med ansvaret for å følge forretningsplaner og måloppnåelse, forblirimidlertid hos ledelsen. De som foretar risikostyringen, rapporterer til toppledelsen ved hjelp av rutine-messige rapporteringsprosesser for risikostyring. De kan være en del av en sentralfunksjon eller en del av avdelingsstrukturene. Risikostyringsfunksjonen rapportererenten til en risikokomité eller til revisjonsutvalget.

  • FERMA / ECIIAVeiledning for styrer og revisjonsutvalg15

    Internkontroll

    Introduksjon til internkontroll

    Internkontroll har eksistert i uminnelige tider. Det hellenistiske Egypt hadde en todeltadministrasjon. Den ene delen besto av byråkrater med ansvar for innsamling avskatter. Den andre delen besto av byråkrater som kontrollerte den første delen. Internkontroll blir definert som en prosess bestående av en organisasjonsstruktur,arbeidsflyt og fullmaktsstruktur, mennesker og ledelsesinformasjonssystemer, ogsom er utformet for å hjelpe organisasjonen med å oppnå definerte målsetninger ogsamtidig minimere sannsynligheten for uønskede hendelser. Den er til hjelp nårman skal lede, overvåke og måle organisasjonens ressurser. Den spiller en viktigrolle når man skal forebygge og avdekke misligheter for å beskytte organisasjonensressurser og redusere sannsynligheten for at man pådrar seg erstatningsansvar.

    Globale internkontrollmodeller

    COSO-rapporten “Internkontroll – et integrert rammeverk” er det mest brukterammeverket. Det definerer internkontroll som en prosess som blir igangsatt oggjennomført av organisasjonens styre, ledelse og andre ansatte, og som er utformetfor å gi en betryggende sikkerhet når det gjelder måloppnåelse innen følgendeområder: (a) Hensiktsmessig og effektiv drift; (b) Pålitelig finansiell rapportering og(c) Overholdelse av lover og forskrifter.

    Ansvar for internkontroll og rapporteringslinjer

    I siste instans ligger ansvaret for internkontrollen hos styret. Gjennom delegeringav myndighet blir linjeledelsen ansvarlig for utvikling og vedlikehold av kontroll-mekanismer på sitt ansvarsområde. For eksempel kan organisasjonen beinternrevisjonen om å gi en overordnet "kontroll-uttalelse" som konkluderer med envurdering/risikogradering av de områdene som er gjennomgått.

    Mange retningslinjer for eierstyring og selskapsledelse (governance) krever attoppledelsen eller styret avgir en rapport om internkontrollsystemet. En slik rapportbør inneholde opplysninger om manglende overholdelse av regler og retningslinjer,vesentlige svakheter i internkontrollen, regnskapsjusteringer og deres betydning forresultatregnskapet og andre risikoer og/eller eksponeringer som krever endringer iinternkontrollen.

  • FERMA / ECIIAVeiledning for styrer og revisjonsutvalg 16

    Internrevisjon

    Introduksjon til internrevisjon

    Institute of Internal Auditors (IIA) definerer internrevisjon som "en uavhengig,objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å tilføre merverdiog forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sinemålsetninger ved å benytte en systematisk og strukturert metode for å evaluere ogforbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser forrisikostyring, kontroll og goverance."Ulike nasjonale institutter for internrevisjonsprofesjonen rundt om i verdensamarbeider om og tilslutter seg til denne definisjonen og følger de standardeneman i fellesskap utvikler.

    Globale standarder for internrevisjon

    Med sine internasjonale standarder for profesjonell utøvelse av internrevisjon(IPPF) gir IIA en global, fellesforståelse av internrevisjonsprofesjonen, herunder deviktige kravene til hvordan man oppfyller de forventingene som stilles til intern-revisjonsfunksjonen og internrevisorene.Standardene består av prinsipielle, obligatoriske og grunnleggende krav til intern-revisjon og til evalueringen av internrevisjonens effektivitet. Standardene brukesglobalt på organisasjons- og individuelt nivå og omfatter definisjoner som klargjørbegrepsbruk.

    Ansvar for internrevisjon og rapporteringslinjer

    Lederen for internrevisjonen rapporterer periodisk til toppledelsen og til styret ellerrevisjonsutvalget om formålet med internrevisjonens arbeid, hvilken myndighet oghvilket ansvar internrevisjonen har, og i hvilken grad arbeidet er i samsvar medrevisjonsplanen. Den viktigste rapporteringslinjen går til styret og revisjonsutvalget.Styret og revisjonsutvalget godkjenner den årlige revisjonsplanen og gjennomgårinternrevisjonens vurdering av systemene for internkontroll og risikostyring.

    Ekstern revisjon

    Ekstern revisors rolle

    Den viktigste oppgaven til den eksterne revisor, er å gi en uttalelse om hvorvidtorganisasjonens årsregnskap ikke inneholder vesentlige feil. For en fullstendigvurdering av årsregnskapet, er det viktig at de eksterne revisorene er uavhengige.Derfor må alle relasjoner mellom eksterne revisorer og organisasjonen, bortsett fraden som oppstår som følge av revisjonen i seg selv, oppgis i beretningen fra deneksterne revisoren.For at man skal kunne gi en bekreftelse med høy sikkerhet for at årsregnskapet eri samsvar med egnede regnskapsstandarder, f.eks. International FinancialReporting Standards (IFRS) eller Generally Accepted Accounting Principles(GAAP), må de eksterne revisorene ha tilstrekkelig revisjonsbevis for å kunne avgirevisjonsberetningen.

  • FERMA / ECIIAVeiledning for styrer og revisjonsutvalg17

    Vurdering av risikostyring og internkontroll

    Den eksterne revisorens forståelse av selskapets systemer for risikostyring oginternkontroll gir et grunnlag for både planlegging av revisjonen og vurdering avkontrollrisiko. Kontrollrisiko defineres som risikoen for at vesentlig feil ikke bliravverget eller oppdaget av kundens internkontroll, og kontrollrisiko er dermed envariabel nøkkelfaktor når de eksterne revisorene skal avgjøre om kundens intern-kontroll er hensiktsmessig og effektiv. Den eksterne revisoren skal for eksempelkjenne til relevante risikoer og utformingen av kontrollstrukturer for å styre risikoersamt kjenne til om kontrollene fungerer i praksis eller ikke.

    Samarbeid med internrevisjonen

    Selv om den eksterne revisjonen og internrevisjonen utfyller hverandre, er sam-ordning en viktig del av deres arbeid. Internrevisjonens evaluering av internkontroll-systemene gir viktig informasjon til den eksterne revisoren når vedkommende skalvurdere kontroll/risiko med innvirkning på årsregnskapet.Ideelt bør de eksterne og interne revisorene møtes jevnlig og diskutere arbeidetsomfang, metode og revisjonsdekning.

  • FERMA / ECIIAVeiledning for styrer og revisjonsutvalg 18

    FERMA: www.ferma.euFederation of European Risk Management Associations (FERMA) er en sammen-slutning av 20 nasjonale risikostyringsforeninger i 18 land. Den representerer et bredtspekter av forretningssektorer fra industri til finanstjenester, veldedige organisasjoner,helseorganisasjoner og kommuner. FERMAs formål er at den skal støtte sinemedlemmer ved koordinering, bevissthetsøkning om og hensiktsmessig bruk avrisikostyring, forsikring og risikofinansiering i Europa. FERMA arrangerer hvert annetår et forum og en benchmarkingundersøkelse av status på risikostyring i Europa.Resultatene av denne undersøkelsen presenteres på et seminar for allemedlemmene.

    ECIIA: www.eciia.euEuropean Confederation of Institutes of Internal Auditing (ECIIA) representerer 33nasjonale internrevisjonsinstitutter (Institutes of Internal Auditors) i Europa. ECIIAsformål er å støtte interne revisorers stilling i EU og i ECIIAs medlemsland og åfremme bruken av standardene til det globale Institute of Internal Auditors og etiskeretningslinjer blant alle internrevisorer i offentlig og privat sektor. ECIIA forsker innenemner vedrørende internrevisjon, forretningskontroll, risikostyring og governance. Det utgis Position Papers, informasjonsrapporter og et kvartalsvis nyhetsbrev.

    Bidragsytere:Michel DENNERY: FERMA Board Member; Risk Management Director GDF SUEZMarie Gemma DEQUAE: FEMA Board Member; Risk Manager- Partena Group;Director of Risk Management Research Platform Vlerick Leuven Gent ManagementSchools Jean-Pierre GARITTE: Former President ECIIA; former Chairman of the Board of theglobal Institute of Internal AuditorsRoland De MEULDER: Advisor to the managing board of ECIIA; former Chairman ofthe Internal Auditing Standards BoardChantal PIERRE: Former Secretary ECIIA; former Secretary of the Board of theglobal Institute of Internal AuditorsMichèle F. RÜDISSER: Senior Lecturer in Organisational Control and Governance –University of St. GallenT. Flemming RUUD: Professor of Business Administration, in particular internalcontrol/internal audit - University of St. GallenPaul TAYLOR: FERMA Board Member; Director of Risk Assurance - Morgan Crucible

    Denne oversettelsen er utgitt med tillatelse fra FERMA og ECIIA. Dersom det skulleoppstå tvil om den norske oversettelsen, vil den engelske ordlyden være dengjeldende.

    Oslo, 19. mai 2011

    Norges Interne Revisorers Forening (NIRF)Institute of Internal Auditors Norway (IIA Norway)Postboks 1417 Vika0115 [email protected]: (+47) 932 37 912

  • aa

  • FERMA

    Federation of European Risk Management AssociationsAvenue Louis Gribaumont, 1 /B4, BE-1150 Brussel, Belgia

    Tlf.: + 32 2 761 94 31Faks: + 32 2 771 87 20E-post: [email protected]

    ECIIA

    European Confederation of Institutes of Internal AuditingKoningsstraat 109-111 bus 5

    BE-1000 BrusselBelgia

    Tlf.: + 32 2 217 33 20Faks: + 32 2 217 33 20E-post: [email protected]


Veiledning om røyk - og kjemikaliedykking

Veiledning: Nedpumping av kuldemedium til utedelen

Veiledning til akademisk skriving ved HiNT

Veiledning student veileder student

Rundskriv Veiledning til etterlevelse av hvitvaskingsregelverket i ... · Veiledning til etterlevelse av hvitvaskingsregelverket i eiendomsmeglingsvirksomhet . Finanstilsynet | 3

Innretningsforskriften Veiledning e

Veiledning for foresatte

Avfallsplan og sluttrapport Veiledning: Kommunens

Veiledning av pasienter etter ... - ldh.brage.unit.no

Veiledning av nyutdannede

Veiledning til gudstjenestens hoveddeler

AftenposAftenpostenstens Veiledning i Flerkulturelt Språk

Hamster - Veiledning OM Hold - Mattilsynet

Støy i nye forskrifter & revidert veiledning

Teknisk Og Operasjonell Forskrift Veiledning e

Endelig veiledning kp_leseferdighet_3_trinn_bokmål

Den ene veiledning ungdom

Veiledning for medlemmer av kirkelig fellesråd

Veiledning til forskrift om industrivern - nso.nonso.no/wp-content/uploads/2016/02/Veiledning2016.pdf · Veiledning til forskrift om industrivern, februar 2016 versjon 2, side 1 Veiledning

Kommunikasjon i veiledning ( analysemodelen )

Veiledning av elever / lærlinger

Merverdiavgift Veiledning til næringsdrivende Hva er ...sknh.no/wp-content/uploads/2013/05/Merverdiavgift-en-veiledning-til... · Merverdiavgift – Veiledning til næringsdrivende

VEILEDNING VED UTARBEIDELSE AV PBLOPPGAVER

Veiledning - tilsynettilsynet.no/wp-content/uploads/2018/12/181220-Veiledning... · 2018-12-21 · Veiledning hvitvaskingsregelverket 6 Tilsynsrådet for advokatvirksomhet Tilsynsrådets

Veiledning til innretningsforskriften - Petroleumstilsynet … Veiledning til innretningsforskriften KAP I INNLEDENDE BESTEMMELSER 5 Til 1 Virkeområde

Veiledning permeabel belegning

Veiledning for a-meldingen for opplysningspliktig …...Veiledning for opplysningspliktige som skal rapportere i a-ordningen 1 Oppdatert 11.1.2018 Veiledning for a-meldingen for opplysningspliktig

Taktisk Evaluering og Veiledning - Sivilforsvaret (2015)

Dalam ECIIA Conference in Stockholm 2016 yang - Dewan …berkas.dpr.go.id/setjen/dokumen/ittama-Laporan-Laporan... · 2016-12-02 · Dalam ECIIA Conference in Stockholm 2016 yang

Veiledning før kjøp aV graVstein

Innlegg om kommunikasjon og veiledning

Veiledning - tilsynettilsynet.no/wp-content/uploads/2019/09/Veiledning...6/2016 – Veiledning til etterlevelse av hvitvaskingsregelverket i eiendomsmeglingsvirksomhet.8 Oversikt over

Veiledning om byggesak - DIBK

og veiledning Tema 5 Instruksjon

Veiledning for maurbekjempelse