SIRK 2 - 2012

SIRK
Styring – Internrevisjon
Risiko – Kontroll
Nummer 2, vinter 2012, 20. årgang
Fokus på compliance
Manglende hodelykt,
vernebriller og hørselsvern for å beskytte mot
støy fra passerende fly.
,
elm
j
h
nde er og
e
l
g
ll
n
Ma rnebri sbelte.
ve erhet
sikk
Gaver er ikke
tilbørlig sikret.
Manglende airbag.
Manglende vernesko
med piggsåler.
Kjære julenissen
Vi har identifisert en rekke brudd og mangler etter vår
hms-revisjon. Vennligst korriger disse snarest.
Etikkundersøkelse
Prosjektrevisjon
Informasjonssikkerhet
Samarbeid med
tredjeparter
Risiko – fra budskap
til erkjennelse
Julen nærmer seg med stormskritt, og
nisser, juletrær og pepperkakehus er i
ferd med å innta både kontorlandskap
og hjem. Vi må imidlertid til en annen
del av bibelen for å finne tidenes
første registrerte compliance-brudd;
nemlig scenen der Adam tar en bit av
det forbudte eplet. Avisforskrifter de
siste tiår vitner om at det ikke var det
siste…
REDAKTØRENS
Internrevisjonsstandardene definerer
compliance som ”adherence to
policies, plans, procedures, laws,
regulations, contracts and other
requirements”. Ordet compliance kommer fra det latinske
complere som betyr å fylle opp. Hva rollen fylles med og
ikke minst hvem som fyller rollen som compliance officer
varierer fra virksomhet til virksomhet. Compliance kan
begrense seg til etterlevelse av et utvalg lover og forskrifter,
via fokus på utvalgte risikoområder som korrupsjon til å
dekke etterlevelse av interne og eksterne lover og regler for
alle virksomhetens prosesser.
SPALTE
For noen bransjer krever lovgiver at selskapene har en
compliance-funksjon, mens man i andre bransjer står fritt til å
velge. I dette nummeret ser vi nærmere på bakgrunnen for
utviklingstrekk og trender innenfor compliance, og vi møter
compliance officers fra en rekke ulike bransjer. Intervjuene
viser bredden i både bakgrunn og fokusområder.
WorldCom sett en gryende tendens til å straffeforfølge
virksomheter og individer for handlinger som vurderes
som uetiske og ulovlige først i etterpåklokskapens lys.
Compliance-brudd kan koste virksomhetene dyrt, enten i
form av bøter, tap av omdømme eller til og med fengselsstraff. I tillegg til god risikohåndtering og internkontroll,
trekkes kultur og en felles etisk plattform frem av intervjuobjektene som elementer som bidrar til å redusere risiko
for compliance-brudd. Artikkelen om etikkundersøkelser gir
oss verdifull innsikt i hvordan Oslo Børs i samarbeid med
Ernst & Young har valgt å måle kjennskap til og etterlevelse
av bedriftens etiske retningslinjer, og ansattes oppfatning
av ulike etiske dilemmaer som de kan møte i sin
arbeidshverdag.
Et fellestrekk som er vel verdt å merke seg fra intervjuene er
at compliance-miljøet beskriver samarbeidet med internrevisjonen som godt. I tillegg nevner flere at de savner et
forum for diskusjon og mulighet til å dele erfaringer med
andre compliance-officers. Dette er gode nyheter for et
fremtidig nettverk for compliance, som foreningen arbeider
med i disse dager.
Redaksjonskomiteen ønsker å takke alle bidragsytere til dette
nummeret, og samtidig oppfordre leserne til å ta kontakt
dersom dere har innspill til temaer dere ønsker å lese eller
skrive om.
På vegne av redaksjonskomiteen ønsker jeg dere alle en
fredelig adventstid og et riktig god nytt år.
Virksomheter står i dag overfor et sett av stadig mer
komplekse lover og regler. I tillegg har vi siden Enron og
REDAKSJONS
KOMITEEN
Ansvarlig for
dette nummeret av
SIRK
Mari Vonen
PricewaterhouseCoopers AS
Postboks 748, Sentrum,
0106 Oslo,
M: 95 26 01 60
[email protected]
Reidar Døli
Oslo Børs
Tollbugata 2
0152 Oslo
[email protected]
Esa Leporanta
Forsvarsdepartementet
Glacisgata 1
0151 Oslo
[email protected]
Randi Almås
Norges Bank
Postboks 1179 Sentrum
0107 Oslo
M: 95 76 02 88
[email protected]
Se mer info på www.iia.no
2
SIRK nr 2. 2012
Kristoffer Igdun
C. J. Hambros plass 2
0164 Oslo
[email protected]
Janne Britt Saltkjel
Styrets representant
Deloitte AS
Postboks 347 Skøyen
0213 Oslo
M: 99 12 01 95
[email protected]
Innhold
2
4
6
8
12
16
18
20
22
24
26
29
31
33
34
37
42
46
48
50
51
Redaktørens spalte
Styrets leder har ordet
Fokus på Compliance
Compliance starts at the top
Trender innenfor complianceområdet
Compliance officer for antikorrupsjon i Multiconsult
Intervju med Compliance officer Thales
Intervju med Carine Smith Ihenacho
Intervju med Compliance funksjonen i DNB Markets
Intervju med Frede Aas Rognlien
Opprettelse av et Compliance Forum
Informasjonssikkerhet underbygger god intern kontroll – og motsatt!
Samarbeid med tredjeparter – en helhetlig og praktisk tilnærming der risikoen er størst
Etikkundersøkelse
Øvrig stoff
Nettverk risikostyring
Referat fra halvdagsseminar i regi av Nettverk risikostyring
Prosjektrevisjon
Internrevisjon av utkontrakterte sentrale prosesser
Kvinner i økonomisk kriminalitet
Kritikk av Riksrevisjonen – riktig eller galt?
Bokomtale: Huset Rothschild
Bokomtale: Omgitt av løgnere
Foreningsnytt
52
53
54
58
63
Noen inntrykk fra European Conference i Amsterdam
Noen inntrykk fra The IIA 2012 International Conference i Boston, USA
Tillitsvalgsamlingen 2012
Nyheter fra sekretariatet, IIA og andre samarbeidspartnere
På tampen
NORGES INTERNE REVISORERS FORENING
President
Martin W. Stevens
Gjensidige Forsikring
Postboks 276
1326 Lysaker
M: 95 75 01 92
[email protected]
Programkomitéen
Karl Ludvig Mauland
BDO AS
Postboks 1704 Vika
0121 OSLO
M: 902 40 488
[email protected]
Informasjons- og
promoteringskomitéen
Alf Martin Hanssen
Statsbygg
Postboks 8106 Dep
0032 Oslo
J: 22 95 40 10 M: 92 21 44 66
[email protected]
Redaksjonskomitéen
Mari Vonen
PricewaterhouseCoopers AS
Postboks 748 Sentrum
0106 OSLO
M: 952 60 160
[email protected]
Konferansekomitéen
Carl Gunnar Lunde
SG Finans AS
Postboks 105
1325 Lysaker
M: 416 09 245
[email protected]
Nominasjonskomitéen
Petra Liset
PricewaterhouseCoopers AS
Postboks 748 Sentrum
0106 OSLO
M: 952 60 152
[email protected]
Foreningsekretariat
Ellen M. Brataas
Generalsekretær
M: 97 62 05 65
[email protected]
Svein Stabekk
Foreningssekretær
M: 93 23 79 12
[email protected]
Postadresse:
Norges Interne Revisorers Forening
Postboks 1417 Vika,
0115 Oslo
[email protected]
Besøksadresse:
Munkedamsveien 3 B, 3. etg.
0161 Oslo
SIRK: Publikasjon fra Norges Interne
Revisorers Forening, NIRF
Antall utgivelser pr. år: 2
Opplag: 1.300
Meninger og påstander som fremkommer i artikler eller innlegg er
ikke nødvendigvis sammenfallende
med NIRFs syn.
Neste utgave:
Juni 2013
Har du bidrag til bladet?
Ta kontakt med redaksjonens leder
for frister m.m.
Årsabonnement: Kr. 150
Annonsepriser:
Kr. 5.000 for en helside
Kr. 3.000 for en halvside
(mva. tilkommer)
Grafisk produksjon:
Dalby Grafisk
Forsidebilde: iStockphoto
Styrets leder
HAR ORDET
Lederen har ordet
Jeg hadde gleden av å delta på seminaret Risiko – fra
budskap til erkjennelse som ble arrangert av nettverk
risikostyring. Det var en fornøyelse å skue utover den
fullsatte salen. Det var tydelig at dette var et tema som
fenget både de som har tittel som inneholder ordet
risikostyring og andre av oss som bærer internrevisjonstittel, men er levende opptatt av kvaliteten i virksomhetens risikostyring. Dette er et synlig bevis på vårt
formål om å være en forening som er opptatt av alle
aspekter ved risiko- og virksomhetsstyring. For meg
ville det virket dumt om vi som bor i et relativt lite land
om vi som forening ikke skulle ta i mot utfordringen om
å gi faglig støtte til alle de som arbeider innenfor det
utvidede fagfeltet risiko- og virksomhetsstyring. I tråd
med denne tankegangen opprettet NIRF i fjor nettverk
risikostyring og den har til de grader nettopp vist sin
eksistensberettigelse. Men i tillegg til dette har vi også
hatt et oppstartsmøte med medlemmer som arbeider
innenfor området compliance eller som av andre grunner
er opptatt av videreutvikling av dette fagområdet.
Oppstartsmøtet resulterte i nedsettelse av en arbeidsgruppe som skal fremme forslag til styret om videreutvikling
av nettopp dette fagområdet. Ikke for å foregripe begivenhetene, men det er mitt håp at Generalforsamling i
2013 kan fremme et forslag om å godkjenne opprettelse
av et nettverk compliance innenfor NIRF.
NIRF går foran i utviklingen, men vi ser etter hvert at
andre deler av den internasjonale virksomheten til IIA
også begynner å diskutere i samme baner. Det er klart at
på sikt må en forening som appellerer også til andre viktige kontrollinstanser som risikostyring og compliance, ta
inn over seg konsekvensene dette kan ha for foreningens
struktur og organisering. Dette er også noe vi allerede nå
begynner å diskutere på styrenivå. På den ene siden
kjenner man en viss uro for å endre den gjeldende tilstanden. Man vet hva man har og ikke hva man får.
4
SIRK nr 2. 2012
På den andre siden mener jeg at en forening som
insisterer på å beholde og bevare et snevert interessefelt
risikerer å gå ut på dato på samme måten som middelalderens lauger. Selvfølgelig skal man passe på at man
ikke på veien ødelegger de gode verdier som finnes i
foreningen i dag, men dette er noe jeg personlig ikke er
redd for skal skje når det er kloke internrevisjonshoder
som skal styre og overvåke utviklingen!
For meg er utviklingen et steg videre på veien der internrevisorer trer frem fra skyggene og synliggjør det som
opptar oss, nemlig god risiko- og virksomhetsstyring i de
virksomhetene vi jobber i. Derfor gledet det meg også da
jeg kunne konstatere at både NIRF sin webside og websiden til Styreinstituttet annonserer en felles konferanse i
Brussel om hvordan styremedlemmer kan få nytte av
internrevisjon. På samme konferanse skal det også
presenteres en uttalelse om arbeidet våre respektive europeiske foreninger ECIIA og EcoDa har gjennomført om
nettopp dette temaet. Det neste må være at dette dokumentet skal være mer kjent i Norge og jeg kan love at vi
allerede nå arbeider med planer for dette.
Som President for en høyst levende og fremtidsrettet forening er det min glede å ønske dere alle en god jul og et
godt nyttår!
Hvordan sikre måloppnåelse?
Deloitte Internrevisjon
Helhetlig forretningsforståelse og proaktiv risikostyring er avgjørende for virksomheters
måloppnåelse. Deloitte kobler strategisk innsikt, bransjeerfaring og spisskompetanse innen
risikostyring og internkontroll. Vi vektlegger et fremoverskuende perspektiv og nært samarbeid
med våre klienter.
Ta gjerne kontakt med våre eksperter for å finne ut hva vi kan gjøre for din bedrift.
Kontakt:
Eivind Skaug
partner
+47 915 18 997
[email protected]
Karenslyst allé 20
0213 Oslo
Tlf: 23 27 90 00
www.deloitte.no
© 2012 Deloitte AS
SIRK nr 2. 2012
5
Fokus på Compliance
Compliance starts at the top
ved Izabella Salicath, KPMG
Hvordan ble den såkalte compliance officer så etterspurt og så viktig på så få år?
Det er ikke lenge siden begrepet ”compliance officer” dukket opp i norske stillingsannonser, og fortsatt er det få i samfunnet som vet hva en compliance officer egentlig er.
Ikke minst sliter mange organisasjoner selv med å definere oppgavene til en compliance
officer, og hva en slik funksjon skal ha ansvaret for. Behovet for en compliancefunksjon
er der, spørsmålet er hvordan en compliancefunksjon skal finne sin rolle i en organisasjon. Finnes det en fasit på hvordan en compliance officer bør arbeide, rapportere, og
hvordan samspillet bør være med øvrige funksjoner i organisasjonen?
Historisk tilbakeblikk – FCPA og SOX
I USA har compliancefunksjonen eksistert lenge, gjerne i svært
regulerte industriforetak, for eksempel farmasøytisk industri og
innen finans. For andre bransjer kom funksjonen seilende inn
som en direkte konsekvens av 2000-tallets regnskapsskandaler,
med Enron som muligens det største skrekkeksempelet. For å
forhindre lignende fadeser innførte amerikanske myndigheter
Sarbanes–Oxley Act av 2002 (SOX) og behovet for compliancefolk ble prekært. Som et resultat av SOX, måtte toppledelsen personlig bekrefte nøyaktigheten av finansiell
rapportering. Scott Cohen, redaktør og utgiver av Compliance
Week, daterer starten av utbredelsen av compliancefunksjonen
til år 2002 da en tale ble holdt av SEC (U.S. Securities and
Exchange Commission) kommisjonær Cynthia Glassman. Der
oppfordret hun bedrifter til å utpeke en "offiser for samfunnsansvar." Ansvarsområdene til funksjonen skulle inkludere etterlevelse, design og implementering av interne kontroller,
retningslinjer og prosedyrer for å sikre etterlevelse av lover og
regler. Fra hennes tale kan man lese: ”While the CEO cannot
delegate his or her ultimate responsibility, to fully carry out the
mandate of Sarbanes-Oxley and the Commission's rules, a
company should have an officer with ownership of corporate
compliance and ethics issues, and of what Title III of SarbanesOxley broadly refers to as "Corporate Responsibility."
Sarbanes–Oxley alene er ikke ansvarlig for amerikansk fokus
på compliance. Som nevnt har andre strenge amerikanske
lovreguleringer også vært drivkreftene bak compliancefunksjonene. Som et eksempel kan nevnes Foreign Corrupt
Practices Act av 1977 (FCPA). Som et resultat av US Securities
and Exchange Commission undersøkelser på midten av 1970tallet, innrømmet over 400 amerikanske selskaper å ha utført
tvilsomme eller ulovlige utbetalinger i overkant av $ 300
millioner til utenlandske offentlige tjenestemenn, politikere og
politiske partier. Ett eksempel var bestikkelser foretatt av
Lockheed-ansatte, der tjenestemenn fra luftfartsselskapet
Lockheed betalte utenlandske tjenestemenn for å favorisere
selskapets produkter. Et annet var Bananagate-skandalen der
Chiquita Brands hadde bestukket presidenten i Honduras for å
innføre lavere skatter. Kongressen vedtok FCPA for å hindre
videre bestikkelser av utenlandske tjenestemenn og for å
gjenopprette tilliten til integriteten til amerikanske virksomheter og måten disse virksomhetene drev business på.
6
SIRK nr 2. 2012
Kort fortalt er FCPA et regelverk som sammen med SOXregimet er svært utfordrende å etterleve og som gjelder for alle
selskaper som er børsnotert i USA, samt deres datterselskaper.
Derfor er dette også blitt relevant for norske organisasjoner.
Mange selskaper i Norge er omfattet av regelverkene og har
håndtert disse i mange år, for eksempel legemiddelindustri.
Nå venter man også på implementeringen av UK Bribary Act,
som i stor grad er like utfordrende å etterleve som FCPA, om
ikke mer.
Med blikket mot Europa – først bank så forsikring
Baselkommittén (The Basel Committe on Banking
Supervision) for banktillsyn setter standarder, retningslinjerer
og anbefalinger som er normgivende for de fleste tilsynsmyndigheter. Komitéen utgjør et globalt nettverk for tilsynsmyndigheter og kvalitetssikrer det lokale tilsynssamarbeidet
gjenom regionale kommitéer. 29. april 2005 publiserte
komitèen en veiledning for compliancefunksjonen i banker.
Ved hjelp av et sett med prinsipper, illustrerer veiledningen
hvordan etterlevelse av lover, regler og standarder som styrer
bankvirksomhet bidrar til å opprettholde bankenes tillit hos
aksjonærer, kunder, ansatte og markedet generelt. Dokumentet
inkorporerer god praksis for å kunne bistå banker i designet og
implementeringen av en effektiv compliancefunksjon. Samtidig
understreket komitéen at rammeverket er veiledende og ikke
begrenser den enkelte bank til å selv definere den organisatoriske eller operasjonelle tilnærming. Kravet er dog at enhver
bank må være forberedt på å vise at metoden som ble valgt er
effektiv i arbeidet med bankens særskilte utfordringer.
Professor Arnold Schilder, medlem av komitèen forklarte
bakgrunnen for et veiledende dokument: “When the Basel
Committee issued a first draft of this paper in October 2003, it
made a conscious choice to issue a principles-based rather than
a prescriptive document. Thanks to the many constructive
comments received, we have further refined and clarified this
approach, in particular the operational implications for smaller
banks that cannot – and do not need to – put in place the same
structure and processes necessary in larger or more complex
institutions. The Committee expects continuing evolution in
compliance risk management and will be monitoring future
trends and developments with great interest.”
Fokus på Compliance
På forsikringsområdet har Solvency II Direktivet som beskriver
kommende regler for forsikringsbransjen, presisert rollen til
compliancefunksjonen ytterliggere. Målet med det nye regelverket er økt beskyttelse for forsikringstakerne, samt å bedre
stabiliteten i finansmarkedene. Kravene til styring og kontroll
vil også øke med det nye regelverket, herunder kravene til å
formalisere og dokumentere styrings- og kontrollprosessene.
Direktivets artikkel 46 hjemler kravene til en compliancefunksjon:
Privat sektor
Eier
Ekstern revisjon
Revisjonsutvalget
Styret
Konsernledelsen
Virksomhetsområde
Støttefunksjoner
Intern revisjon
STABER
RISIKOSTYRING
INTERNKONTROLL
Article 46 - Internal control
COMPLIANCE
1. Insurance and reinsurance undertakings shall have in place
an effective internal control system.
That system shall at least include administrative and
accounting procedures, an internal control framework,
appropriate reporting arrangements at all levels of the
undertaking and a compliance function.
2. The compliance function shall include advising the administrative, management or supervisory body on compliance
with the laws, regulations and administrative provisions
adopted pursuant to this Directive. It shall also include an
assessment of the possible impact of any changes in the
legal environment on the operations of the undertaking
concerned and the identification and assessment of
compliance risk.
Compliance i norsk regelverk og funksjonens plass i
forhold til risikohåndtering, overvåkning og internrevisjon
Bortsett fra særskilt lovhjemmel for compliance i verdipapirfondforskriften, er risikostyringsforskriften av 22. september
2008 det nærmeste vi kommer en generell hjemmel for
compliancefunksjon innen finans i Norge. Merk at begrepet
”compliance” ikke nevnes i forskriften. Formålet med forskriften er å bedre foretakenes risikostyring og internkontroll
gjennom å utdype styrets og ledelsens ansvar utover det som
følger av selskapsrettslige regler og regler i særlovgivningen.
Akkurat som Baselkomitèens tilnærming, er forskriften
generelt utformet og presiserer at foretakenes risikostyring og
internkontroll skal tilpasses virksomhetens art, omfang og
kompleksitet, jf. § 2.
Det er lett å se at vi beveger oss mot koblingen mellom risikostyring og internkontroll og compliancefunksjonen. Vi må
heller ikke glemme internrevisjonen. For mange er det en
utfordring å finne compliancefunksjonens plass i et virvar av
ulike funksjoner og finne en hensiktsmessig organisering for å
sikre en effektiv arbeidsfordeling. Tabellen som viser de tre
forsvarslinjene er flittig brukt. Kort oppsummert skal risikoene
selskapet møter håndteres av de operative ansatte.
Støttefunksjonene, deriblant compliance, skal sørge for overvåkning/monitorering. I tillegg kommer internrevisjon på siden
for å sørge for en uavhengig bekreftelse til styret. Det er viktig
å huske på at disse prinsippene er på god vei inn i statlig virksomhet, særlig gjennom implementeringen av rammeverk for
risikostyring. På den måten kan man argumentere for at
”compliance” også finnes i statlig virksomhet.
1
Førstelinje forsvaret
Daglig risikohåndtering
2
Andrelinje forsvaret
Risiko overvåking
3
Tredjelinje forsvaret
Uavhengig bekreftelse
Stat
Stortinget
Riksrevisjonen
Regjeringen
v/dep
Ledelsen i virksomheten
Virksomhetsområder
Støttefunksjoner
Intern revisjon
STABER
RISIKOSTYRING
INTERNKONTROLL
1
Førstelinje forsvaret
Daglig risikohåndtering
2
Andrelinje forsvaret
Risiko overvåking
3
Tredjelinje forsvaret
Uavhengig bekreftelse
Selv om det er fint med billedlige oversikter, viser erfaringene
at mange fortsatt har problemer med å finne en god arbeidsdeling mellom de ulike forsvarslinjene. Et eksempel til illustrasjon kan være Finanstilsynets kommentarer i forbindelse med
tilsyn av et verdipapirforetak: «Finanstilsynet vil presisere at
det er Foretakets Compliance som har ansvaret for kontroll av
etterlevelse. Dette er imidlertid ikke til hinder for at også andre
i Foretaket eller Konsernet selv har et ansvar for å sørge for
etterlevelse av lover og regler. Konsernets internrevisjon kan
bistå Compliance, men internrevisjonens hovedoppgave er bl.a.
å vurdere om Foretakets compliancefunksjon er tilstrekkelig og
effektiv, jf. vpf. § 9-10, og slik at ansvaret for kontroll av etterlevelse ligger hos Compliance og ikke internrevisjon»
Oppsummering - ulike bransjer, ulik fokus, ulik
organisering
Det finnes compliancefunksjoner i ulike bransjer i Norge og
disse funksjonene har ulik fokus og ulik måte å arbeide på.
Noen arbeider med korrupsjon, samfunnsansvar og etikk, andre
med konkurranserett. Fokusområdene deres skyldes utvilsomt
en mer eller mindre bevisst risikoevaluering av hva de største
risikoene for deres bransje er. Det som imidlertid er det aller
viktigste for en compliance officer er:
”Compliance starts at the top. It will be most effective in a
corporate culture that emphasises standards of honesty and
integrity and in which the board of directors and senior
management lead by example.” (Basel Committee on Banking
Supervision).
SIRK nr 2. 2012
7
Fokus på Compliance
Trender innefor complianceområdet
Av Eli Moe-Helgesen, PwC
PwC har de siste to årene gjennomført en studie sammen med tidsskriftet Compliance Week rettet mot
ledere av compliance-funksjoner, primært i USA. I årets undersøkelse deltok compliance-ledere fra 119
selskap. Undersøkelsen har til hensikt å kartlegge trender innenfor compliance-området, og retter fokus mot
temaer som innhold i compliance-funksjonen, hvordan funksjonen legger mål og evaluerer måloppnåelse, bruk
av teknologi og organisering. Selv om undersøkelsen retter seg mot amerikanske foretak, ser vi likevel trekk
og endringer som er av interesse for norsk næringsliv.
I denne artikkelen har vi oppsummert de viktigste funnene fra årets compliance-studie, og snakket med noen
norske ledere for compliance-funksjoner for å høre om de kjenner seg igjen i funnene fra studien.
Compliance-funksjonen er i ferd
med å bli ”fastlege”
Årets undersøkelse viser at compliancefunksjonens rolle stadig mer ligner
fastlegens. Fastlegen gjør helsesjekk,
setter mål sammen med pasienten, overvåker symptomer og indikasjoner på
problemer, og sender deg videre til
spesialist ved behov.
Chief Compliance Officer overvåker
og leder virksomhetens arbeid med å
håndtere etterlevelsesrisikoer, mens det
endelige ansvaret for disse oppgavene
fortsatt ligger - og bør ligge – i de staber
og forretningsenheter som har ressurser
og kompetanse til å løse den aktuelle
risikoen.
veiledning om ulike regulatoriske risikoer
og spørsmål.
Undersøkelsen viser at scopet og omfanget av compliance-ansvarliges
oppgaver utvides. For nesten alle risikoer
vi har spurt om, herunder anti-korrupsjon,
konkurranserett, etikk, import/eksport,
leverandørkjedeutfordringer, bruk av
sosiale medier, etiske retningslinjer er nå
compliancefunksjonen involvert på en
eller annen måte. Compliancefunksjonen
jobber stadig tetter sammen med andre
interne funksjoner som IT, juridisk
avdeling, internrevisjon, finansfunksjon
og helse/miljø/sikkerhetsfunksjon, og gir
Utfordringer for compliancefunksjonene
18
Undersøkelsen viser at det er fortsatt er
hindringer som gjenstår før complianceansvarlig kan sies å lede en effektiv,
proaktiv funksjon. De utfordringene som
oftest nevnes er fragmenterte IT-systemer,
stramme budsjetter, skiftende og økende
regulatoriske krav, og ikke minst utfordringer med løpende å dokumentere
overfor ledelse og styre at complianceområdet er viktig, og at funksjonenes
oppgaver løses på en effektiv måte.
2
17
1
14
4
10 14
15
15
5 0
2 0
19
2
7
11
1
8
SIRK nr 2. 2012
2
3
2 0
Fokus på Compliance
En problemstilling som tydelig fremkommer er utfordringer relatert til
måling av effektiviteten av complianceaktivitetene, eller mer presist, hvordan en
forsikrer seg om at de ansatte i organisasjonen virkelig etterlever viktige lover og
retningslinjer. Undersøkelsen viser at det
er med god grunn – man forventer økt
behov fra interessentene for bekreftelse
for at organisasjonen følger lover og
regler. Man forventer særlig økte forventninger fra regulatører, revisjonsutvalg og
virksomhetens viktigste eksterne
forretningspartnere.
Bruk av teknologi
Undersøkelsen viser en generell utfordring knyttet til bruk av teknologi. Et
overveiende flertall av virksomhetenes
governance/risk/compliance (GRC)relaterte oppgaver løses ved hjelp av desk
top-programmer som Word, Excel og
SharePoint. Bare for en håndfull konkrete
oppgaver, som ved compliance relatert til
finansiell rapportering, etikktrening,
medarbeiderundersøkelser og i saksbehandling sier flertallet at de benytter
teknologi.
Undersøkelsen viser også at de interne
funksjonene som vanligvis samarbeider
om GRC-relaterte oppgaver, i mindre
grad enn forventet deler IT-verktøy.
Eksempelvis svarer 47 prosent av respondentene at internrevisjonen bruker ITverktøy som ikke deles med andre funksjoner. Bare 20 prosent har felles verktøy
med internrevisjonen.
Ad hoc-tilnærming til bruk av teknologi
er foruroligende seg selv, ettersom det
øker risikoen for silotenkning. Manglende
deling kan føre til lite effektiv datafangst,
duplisert informasjon eller inkompatible
data. Mange forteller at de ikke anvender
historiske data eller henter ut effekter fra
allerede gjennomførte IT-investeringer.
Dette, kombinert med nye utfordringer
som cloud computing, bruk av sosiale
medier og større datamengder på mobiltelefoner gjør det utfordrende for
compliancefunksjonene å få tilgang til
relevante data for å evaluere risiko.
Hva er erfaringer fra norske
compliance-funksjoner
Vi har snakket med 6 som jobber med
compliance i norske bedrifter. Et klart
trekk som kommer frem i våre samtaler
er utviklingen mot en mer helhetlig
tenkning. De store selskapene tenker ikke
bare på utfordringer som antikorrupsjon
for seg, hvitvasking for seg, konkurranserett for seg. Stadig flere erkjenner at dette
er temaer som griper i hverandre og at
virkemidlene for å skape en god intern
kultur er å etablere gode ledelseskontroller, god tone fra toppen, robuste etiske
retningslinjer, god opplæring og felles
system for monitorering av etterlevelse.
Noen forteller imidlertid at de fortsatt har
et stykke igjen å gå før man kan si at
interne funksjoner som har ett eller annet
complianceansvar kan sies å jobbe
sammen. Det pekes av noen på at særlig
risikovurderinger kan samordnes bedre,
eksempelvis mellom internrevisjonen og
compliancefunksjonen, og at revisjoner
og monitorering også bør gjøres mer
enhetlig.
Organisering oppleves av noen som utfordrende. Flere peker på utfordringen i at
det i dag ikke er noen definert standard
eller modell for hva som er ”godt
compliance-arbeid”. Alle er enige om at
compliance handler om å skreddersy
organisering, tiltak og prioriteringer til
den enkelte virksomhet, slik man sikrer
etterlevelse og god etisk atferd tilpasset
den enkelte virksomhets rammebetingelser og risiko.
☞
SIRK nr 2. 2012
9
Fokus på Compliance
Ellen-Katrine Thrap-Meyer,
Telenor
Cecilie Wetlesen Borge,
Norske skog
Lene Svenne,
Kongsberg Gruppen
Ellen-Katrine Thrap-Meyer er Group
Compliance Officer i Telenor
Cecilie Wetlesen Borge,
Compliance Officer and Company
Secretary i Norske Skog
Lene Svenne, Corporate Compliance
Officer Kongsberg Gruppen
”Arbeidet med å etablere en Code of
Conduct for Telenor startet i 2003. I starten
handlet dette om å sette en standard for
konsernet, i dag har konsernet kommet langt
i å ha en Code of Conduct som er fullt
integrert i selskapets strategi og daglige
drift”, forteller Ellen-Katrine.
Etter den første implementeringen har
Telenor videreutviklet standarden slik at
den inkluderer flere temaer og er stadig
tydeligere på hva slags etisk atferd som er
viktig for konsernet. Ellen-Katrine forteller
at det i Telenor er flere funksjoner som
jobber med ulike elementer av compliancearbeidet. Governance-ansvaret har gjennom
årene vært forvaltet av juridisk funksjon.
Funksjonene som jobber med ulike deler av
de interne regelsettene har hele veien
jobbet tett, med en felles prosess for ajourhold, publisering og strømlinjeforming. I tillegg har konsernet etter hvert fått på plass et
felles regelsett for hvordan man håndterer
brudd på interne regelsett og reaksjon på
avvik. På konsernnivå er ellers samarbeid på
kryss og tvers nå ett av tre særlig prioriterte
områder, hvor det gjøres evalueringer og
settes opp korresponderende tiltak.
Telenor har vært opptatt av viktigheten av at
de etiske retningslinjene er eid av og forankret i styret, og Ellen-Kathrine mener at
dette er avgjørende for at regelsettet skal få
den oppmerksomhet som kreves for at den
virkelig skal etterleves i organisasjonen.
”Ellers er en klar trend at der Code of
Conduct og etisk atferd tidligere kunne
presenteres som noe spesielt, så forventes det
i dag rett og slett at dette er på plass”, sier
Ellen-Kathrine. ”Det å ha en ansvarlig holdning reflektert gjennom de aksjoner selskapet
iverksetter er i dag en forutsetning. Et godt
etisk regelverk gir selskapene en tydeligere
identitet. For hvem er du hvis du ikke har en
Code of Conduct?” avslutter hun.
10
SIRK nr 2. 2012
Norske Skog det siste halvåret gjort
organisatoriske endringer på området
for internkontroll. Den tidligere internrevisjonen med selvstendig rapportering
til revisjonsutvalget er omdannet til en
Business Control Function (BCF).
Denne skal rapportere til CFO, og dessuten ha rådgivning og beslutningsstøtte
som sentrale oppgaver, til forskjell fra
den mer avgrensede revisjonsrollen
som internrevisjonen tidligere hadde.
Compliancefunksjonen ligger i juridisk
avdeling, og samarbeider med både
BCF, HMS og IT om compliancerelaterte tema innen deres arbeidsområder. ”Organisering er vanskelig,
men det må ikke ta oppmerksomheten
bort fra formålet. Det viktige er at alle
tenker helhetlig og unngår siloer, slik at
vi holder kontroll over våre verdikjeder
og den samlede internkontrollen gjør
konsernet mer robust i prosesser,
beslutninger og aktiviteter. På denne
måten utnytter vi ressursene best
mulig”, sier Cecilie.
Cecilie viser til at compliance er et
område der folks bevissthet har utviklet
og utvidet seg gjennom de siste 10-15
årene, og bruker følgende bilde: ”Dette
er omtrent som når vi kaster aviser og
glassflasker,” sier hun. ”Til å begynne
med var det uvant å kildesortere, men
nå kunne det ikke falle oss inn å kaste
dette i den vanlige søpla. Og nå kildesorterer vi også lignende søppel, som
andre typer glass og papir. På samme
måte er det med compliance. Det som
var kunstig og strengt for noen år siden
er naturlig i dag. Denne økte bevisstheten er selvforsterkende, og kolleger
ser selv nye complianceproblemstillinger i gamle vaner.”
Lene Svenne forteller at Kongsberg
Gruppen etablerte sin Code of Ethics i
2004. I 2009 besluttet konsernet å etablere
en Compliance-funksjon som har fokus på
vedlikehold og implementering av konsernets etiske regler. Compliance-funksjonen
speiler den operative organisasjonen med
en ansvarlig for hvert av konsernets 4
forretningsområder. Corporate Compliance
Officer rapporterer direkte til CEO, og på
hans vegne til revisjonsutvalg og styret.
"Vi er en forholdsvis operativ compliancefunksjon", forteller Lene. Compliancefunksjonen jobber etter en handlingsplan
som baserer seg på en risikovurdering.
Handlingsplanen favner en rekke aktiviteter, som vedlikehold av retningslinjer,
etikk-opplæring for alle ansatte i konsernet, samt spesialtilpasset opplæring ut i fra
risiko og den aktuelle ansattes rolle og
behov. En sentral aktivitet av implementeringen av compliance har vært innføring
av rapportering fra forretningsområdene til
konsernledelsen, hvor den enkelte leder
bekrefter at de etiske retningslinjer er
implementert, beskriver risikoområder og
forbedringsplaner mm. Aggregert statusrapport legges deretter frem for styret.
Dette har vist seg som en effektiv måte å
bevisstgjøre lederne og skape eierskap og
involvering fra hele virksomheten.
Konsernet har ikke en egen internrevisjon,
men compliance-funksjonen gjennomfører
et begrenset omfang av evalueringer og
monitorering for å påse etterlevelse av
interne og eksterne regler. Med bred
erfaring fra internrevisjon har Lene en
gjennomtenkt strategi for hvordan revisjoner
gjennomføres på en effektiv måte, og ser
generelt fordelen med at compliance og
internrevisjon jobber nært hverandre. For å
sikre armlengdes avstand og uavhengighet
benytter compliance-funsjonen eksterne
co-souringspartnere til enkelte av disse
internrevisjonene.
ET BEVISST VALG
BDO har over 40 rådgivere som leverer og utvikler tjenester innen internrevisjon
risikostyring, internkontroll, IT-revisjon, informasjonssikkerhet og gransking.
Lokal forankring og nærhet til kundene er viktig for oss. Kundene våre liker det.
Vi er levende opptatt av faget vårt, og målet er å gi den beste kundeopplevelsen.
For mer informasjon om hva vi kan hjelpe deg med, ta kontakt med:
Anders Lausund
Internrevisjon, risikostyring
og internkontroll
[email protected]
Erling Grimstad
Gransking og forebygging av
misligheter
[email protected]
Rune Waage
Bank og finans
[email protected]
Kent M. E. Kvalvik
IT-revisjon og -sikkerhet
[email protected]
Morten Thuve
Offentlig sektor
[email protected]
Karl-Ludvig Mauland
Tjenesteansvarlig
[email protected]
www.bdo.no
BDO er et av Norges største revisjons- og rådgivningsselskap med 1.200 ansatte ved
kontorer over hele landet. Vi tilbyr tjenester innenfor hovedområdene; revisjon, rådgivning,
skatt og avgift samt foretaksservice som regnskap og lønn.
SIRK nr 2. 2012
11
Fokus på Compliance
Intervju med compliance officer for
antikorrupsjon i Multiconsult
Multiconsult er et av Norges og Nordens ledende miljøer innenfor rådgivning og prosjektering. Selskapet
har mer enn 1400 ansatte som jobber innenfor fagdisiplinene olje og gass, bygg og eiendom, industri,
samferdsel, energi og miljø. I tillegg til oppdrag i samtlige deler av Norge, utfører Multiconsult oppdrag
internasjonalt, bl.a. i utviklingsland. Multiconsults virksomhet stiller store krav til samfunnsansvar og
etisk standard.
Med bakgrunn i skjerpede lovkrav mot
korrupsjon og Multiconsults satsing i
utlandet, har selskapet de siste par årene
jobbet med å styrke selskapets håndtering av korrupsjonsrisiko. Som følge
av dette arbeidet besluttet Multiconsult å
etablere en rendyrket Compliance
officer-funksjon med ansvar for virksomhetens antikorrupsjonsprogram.
Janne Britt Saltkjel har
fra i sommer innehatt
rollen som Compliance
officer, først som innleid
konsulent fra Deloitte og
fra 10. desember som
fast ansatt. Funksjonen er underlagt leder
for Kvalitetsstyring, Trond Kristensen,
som inntil Janne Britt ble ansatt, også
hadde rollen som Compliance manager.
Kan du si litt om bakgrunnen for etablering av denne compliance-funksjonen?
Trond: Korrupsjon er en av
Multiconsults mest alvorlige risikoer.
Vi har oppdrag i regioner med høy
korrupsjonsrisiko, og tilfelle eller
mistanke om korrupsjon kan i verste fall
stenge selskapet ute av markedet. For å
sikre etterlevelse av både skjerpede
internasjonale lovkrav og intern nulltoleranse mot korrupsjon, er det nedlagt
et betydelig arbeid i videreutvikling av
policier og prosedyrer samt opplæring.
Vi erfarte underveis at vi hadde et behov
for både tilførsel av kompetanse og
kapasitet på området. Deloitte ble
januar 2012 engasjert som rådgivere,
representert ved Janne Britt Saltkjel
som prosjektleder og Albert Wolders
som fagspesialist, for å bidra til å
operasjonalisere Multiconsults antikorrupsjonsprogram. Antikorrupsjon er
12
SIRK nr 2. 2012
imidlertid ikke en engangsjobb, men et
kontinuerlig arbeid som innebærer
løpende risikovurderinger, integritetsundersøkelser, dilemmahåndtering,
opplæring m.v. Det ble i løpet av våren
besluttet å etablere en egen compliance
funksjon med ansvar for den videre
implementeringen og forvaltningen av
det nye antikorrupsjonsprogrammet.
Hva er Compliance officers mandat og
hvordan er funksjonen organisert?
Trond: I Multiconsult er compliance en
del av avdeling for Kvalitetsstyring, noe
som ikke er uvanlig i virksomheter innen
rådgivning og prosjektering.
Kvalitetsstyringsfunksjonen forvalter
Multiconsults styringssystem, herunder
system for kvalitetsplaner og usikkerhetsstyring i oppdrag, revisjoner for monitorering av etterlevelse av lover og
forskrifter og interne retnignslinjer inkludert antikorrupsjon. Nyansatt
Compliance officer er gitt mandat å
forvalte Multiconsults antikorrupsjonsprogram, herunder gjennomføre og følge
opp risikovurderinger og implementering
av kontrolltiltak, integritetsundersøkelser
og opplæring, oppfølging og overvåking.
Mandatet er gitt av administrerende
direktør. Arbeidet skal dekke både
Multiconsult og datterselskaper.
I tillegg er Compliance officer leder av
Multiconsults Etikkråd som håndterer
etiske dilemmaer av ulik karakter.
Compliance officer rapporterer både
faglig og administrativt til leder for
Kvalitetsstyring, men har rapporteringslinje til administrerende direktør og til
styret for å sikre uavhengighet.
Hvilke krav stilles til rapporteringsinnholdet og er det foretatt noen revisjon
av compliance-funksjonen?
Trond: Inntil nå har arbeidet vært
organisert som et prosjekt med
rapportering av fremdrift og
risikoer til en styringsgruppe, i
tillegg til løpende rapportering
til leder for Kvalitetsstyring.
Det blir også rapportert fra
prosjektgruppen med Compliance officer
i spissen til administrerende direktør
eller seksjonsledere når det er nødvendig. Den endelige rapporteringsformen
er under utvikling, men det er klart at
fokuset vil være på de områdene der
risikoen er størst. Den rendyrkede
compliance funksjonen er for øvrig
såpass ny at den ikke har vært gjenstand
for egen revisjon.
Hvilken faglig bakgrunn var aktuell for
Compliance officer og hva er de viktigste
kvalifikasjonen?
Trond: Da vi utformet Compliance
officer-stillingen, var vi åpne for at
vedkommende kunne være en ingeniør,
økonom eller jurist. Det var videre en
forutsetning at Compliance officer hadde
minst 10 års fartstid i yrkeslivet etter
masterstudier, hvorav mer enn fem måtte
være fra risikostyring og internkontroll.
De øvrige ansatte i Kvalitetsstyring er
enten ingeniører eller økonomer med
mange års relevant arbeidserfaring.
Compliance officer i denne rollen vil
dessuten ha en stor kontaktflate, og skal
Fokus på Compliance
man lykkes med implementeringsprosjekter som omfatter mange – eller
alle – medarbeiderne, må man kunne
kommunisere på en konstruktiv måte.
For Multiconsult var det viktig med en
løsningsorientert person med gode
kommunikasjonsferdigheter både på
norsk og engelsk.
Janne Britt: Jeg er selv utdannet siviløkonom, og har sertifisering som CIA og
CRMA. Min yrkesbakgrunn er bl.a. fra
kredittrisiko og finans, virksomhetsstyring, internrevisjon samt rådgivning
innen risikostyring og internkontroll.
Det siste året har jeg også jobbet med
antikorrupsjon bl.a. for Multiconsult.
Etter hvert som prosjektet skred frem ble
det tydelig at rollen i Multiconsult ikke
bare ville være en overvåkende funksjon,
men også kreve betydelig operasjonell
involvering med både linjen (oppdragslederne) og andre deler av organisasjonen. Dette passet meg bra og var medvirkende til at jeg meldte min interesse
for stillingen.
Hvilke verktøy og metoder benytter dere
i compliance-arbeidet?
Janne Britt: Compliance-arbeidet i
Multiconsult bruker ulike verktøy for
risikovurdering – et for en overordnet
vurdering av risikoen for korrupsjon i
oppdrag - en slags screening - og et
annet verktøy for et dypdykk dersom den
overordnede risikovurderingen tilsier
dette. Et slikt dypdykk tar for seg ulike
risikoelementer som skal dekkes av et
adekvat antikorrupsjonsprogram, bl.a.
tiltak for å unngå bestikkelser og
smøring, for å håndtere gaver og invitasjoner, innkjøp, tredjeparter osv. Denne
risikovurderingen danner fundamentet
for arbeidet som gjøres for å håndtere
korrupsjonsrisiko i de enkelte oppdragene.
Et annet sentralt element i antikorrupsjonsprogrammet er integritetsundersøkelse av tredjeparter. Vi har her etablert
en metode som identifiserer «røde flagg»
basert på diverse faktaopplysninger om
tredjeparten. I tillegg gis opplæring der
dilemmatrening er et hovedelement.
Risikovurderingene, kontrolltiltak,
integritetsundersøkelsene og hvem
som har gjennomført opplæring, føres i
registre og danner grunnlag for
rapportering og oppfølging.
Kan du si litt mer om hva antikorrupsjonsprogrammet og complianceoppgavene innebærer i praksis?
Janne Britt: I praksis innebærer
antikorrupsjonsprogrammet at
korrupsjonsrisiko vurderes både i salg
og tilbudsfasen og i gjennomføringen av
oppdrag. Tilbudsteamene skal foreta
risikoscreening ved vurdering av om
man skal levere tilbud. Dersom risikoen
for korrupsjon er lav, er Multiconsults
vanlige rutiner for styring av oppdrag
ansett for tilstrekkelige. Hvis vurderinger
konkluderer med moderat eller høy
risiko, skal det foretas en grundigere
vurdering av risiko for korrupsjon og
mulige kontrolltiltak. Hensikten er å
sikre at Multiconsult kan iverksette
nødvendige og egnede tiltak for å få
korrupsjonsrisikoen til et akseptabelt
nivå. Slike tiltak kan for eksempel være
bruk av spesielt erfarne oppdragsledere,
at ansatte og innleide konsulenter i
oppdraget er kjent med og aksepterer
Multiconsults etiske retningslinjer, at
nøkkelpersoner sikres antikorrupsjonsopplæring, at det gjennomføres
integritetsundersøkelser, at det er robuste
rutiner for innkjøp og fakturering i
oppdraget osv. Der det ikke er mulig å
få risikoen ned på et akseptabelt nivå, vil
det være grunn til ikke å gi tilbud.
Det er viktig med tidlige overordnede
risikovurderinger, slik at man kan
bruke ressursene der risikoen er størst
og sette inn forebyggende tiltak tidligst
mulig.
Dersom Multiconsult går videre og
vinner oppdraget, og risikoen anses å
være moderat eller høy, vil Compliance
officer bistå oppdragsteamet med å få
gjennomført en oppdatert og mer
detaljert risikovurdering og implementerte tiltak for å ta «rest»-risikoen
(iboende risiko redusert med kontrolltiltak) ned til et akseptabelt nivå.
For at tilbudsteam og oppdragsteam skal
kunne vurdere korrupsjonsrisiko, skal
Compliance officer gi opplæring i antikorrupsjon for nyansatte og for ledere,
samt innføring i verktøyene som
benyttes.
Compliance officer vil i samarbeid med
Kvalitetsstyring gjennomføre revisjoner
og stikkprøver rettet mot korrupsjonsrisiko, for å påse at verktøyene er riktig
brukt og risikoene fornuftig vurdert og at
egnede internkontrolltiltak er besluttet og
utøves.
Dette innebærer at Compliance Officer
samarbeider med flere funksjoner:
- Linjed, herunder tilbudsteam og
oppdragsteam, for identifisering og
håndtering av risikoer
☞
SIRK nr 2. 2012
13
Fokus på Compliance
- Kvalitetsstyring i etablering av
retningslinjer og oppfølging gjennom
revisjoner
- HR med hensyn til periodisk opplæring, samt særskilt opplæring av
nyansatte og ledere
- Økonomi for overvåking
I sum betyr dette at Compliance officer
vil ha utstrakt kontaktflate i virksomheten.
Hvilke erfaringer har dere gjort dere så
langt, mht utfordringer og suksesskriterier?
Trond: Det tar tid å endre arbeidsvaner
og holdninger. Multiconsult har mer enn
1400 ansatte hvorav flere hundre i
rollene som oppdragsledere og oppdragsansvarlige for krevende oppdrag
innen energi, olje & gass, samferdsel &
infrastruktur, bygg og anlegg.
For en vellykket implementering av
Multiconsults antikorrupsjonsprogram,
er det helt nødvendig med en compliancefunksjon som kan bistå med spiss-
kompetanse på risikostyring og internkontroll rettet mot korrupsjonsrisiko, og
som kan se oppdragsmengden på tvers
og slik bidra til en helhetlig styring av
korrupsjonsrisiko og riktig ressursbruk.
I tillegg til organisatorisk synlighet, er
det avgjørende med klar støtte fra toppledelsen. Det er bred forståelse og
erkjennelse i organisasjonen av at
korrupsjon er en alvorlig risiko som
Multiconsult i høyeste grad må forholde
seg til og håndtere. Det er likevel helt
avgjørende at administrerende direktør
Christian Nørgaard Madsen, som tiltrådte primo september, har vært og er
utvetydig og klar med hensyn til viktigheten av dette arbeidet. I Multiconsult er
det nulltoleranse for korrupsjon.
Janne Britt: Det er jo slik at noen oppfatter min rolle som Compliance officer
som en politi-rolle som først og fremst
skal overvåke andre, eller fange opp
svikt. Rollen er imidlertid mer operativ
og forebyggende. Jeg opplever på mange
måter at jeg jobber i grensesnittet
mellom risikostyring, internkontroll og
internrevisjon. Utfordringen for meg i
tiden fremover blir å utvikle en funksjon
og rolle som gjør det naturlig for medarbeidere å trekke på Compliance
Officer som en rådgiver og naturlig
bidragsyter i tilbuds- og oppdragsprosessen der korrupsjonsrisikoen krever
spesiell håndtering.
Hva kunne dere som jobber med
compliance ønske var mer tilgjengelig
på den faglig siden?
Janne Britt: Jeg skulle gjerne utvekslet
erfaringer med andre complianceenheter, både om antikorrupsjon spesielt
og compliance generelt. Det vil være
interessant å få mer innsikt via kurs,
seminarer, nettverkssamlinger eller
artikler, hvordan den enkelte funksjonen
har strukturert arbeidet, hvilke oppgaver
de definerer innenfor compliancefunksjonen, metoder, opplegg for
rapportering, årshjul og avgrensning mot
andre kontrollfunksjoner.
Vi ønsker våre
lesere en riktig
god jul og et
godt nytt år!
14
SIRK nr 2. 2012
www
.pwc.no/gransking
www.pwc.no/gransking
Hvor
godt
kjenner
du
H
vor go
g
odt kj
enner d
u
egentlig
dine
forretningse
gentlig d
ine ffo
orretnings fforbindelser?
orbindelser?
PwC Gransking er Norrge
ges
ledende ffagmil
agmil
g ljjø innen
inne
foreb
bygging, avdekking og
gransking av økonomisk
kriminalitet
Samfunnet sstiller
tiller sstadig
tadig hø
yere kr
avv ttil
il ttransparens
ransparens og eetikk
tikk i nær
ingslivet. Samt
idig øk
er
Samfunnet
høyere
krav
næringslivet.
Samtidig
øker
sponering ffor
or rrisiko
isiko som følg
ffølge
ølge a
næringslivets ek
ende g
lobalisering, ent
en gjennom
næringslivets
eksponering
avv øk
økende
globalisering,
enten
re
egulatoriske kr
avv el
ler ul
ike ttyper
yper for
fforretningsforbindelser.
orreetningsfforbind
or
elser.
regulatoriske
krav
eller
ulike
PwC tilbyr en strukturert og risik
kobasert tilnærming som gir trygghet til at dinee ffor
orretningsforbindelser har en transpareent strukturr, etisk for
forretningsatferd
erd og at de ikke forbind
forbind
o
es med
ulovlige eller uetisk
sk
ke handlinger.
Vi har lokale og dedikerte eksperter i Norge og tilgang til et verdensomspennende nettverk
k
med nasjonale og regionale team verden over.
Mads
M
ads B
Blomfeldt
lomffeldt
Direktør
952 60 652
[email protected]
eldt@n
no.pw
wc.com
K
Kristian
ristian W
Wey
Weydahl
eydahl Thaysen
ey
Th
Thaysen
Direktør
952 60 172
[email protected]
E
Erik
rik Arvnes
Arvnes
Senior Manager
952 60 551
erik.ar [email protected]
enerett.
denne
© 2012 PwC. Med ener
ett.
e I den
nne sammenheng rrefererer
eferere
er “PwC” seg til PricewaterhouseCoopers AS, Advokatfirmaet PricewaterhouseCoopers AS, PricewaterhouseCoopers
Skatterådgivere
uavhengige
International
Accounting AS og PricewaterhouseCoopers
useCoopers Skatterådgiver
e AS som alle er separate juridiske enheter og uavhengig
e medlemsfirmaer i PricewaterhouseCoopers Inter
national
Limited.
Bård
Foto: Bår
d Gudim
SIRK nr 2. 2012
15
Fokus på Compliance
Intervju med Compliance officer Thales
Thales Group er et fransk forsvar- og elektronikkselskap med 67 000 ansatte i over 50 land.
Selskapet er en sentral aktør innen forsvar, luftfart, transport og sikkerhetssystemer verden over.
Erik Normann Warberg er juridisk direktør og compliance officer i Thales Norge. Han er blant annet
leder for foreningen Bedriftsjuristene under Norges Juristforbund, og er medlem av Fagutvalget for God
Virksomhetsstyring Juristenes Utdanningssenter (tilknyttet Norges Juristforbund og advokatforeningen).
1. Hvem gir mandatet til compliancefunksjonen?
Styret i Thales S.A. (det franske morselskapet) som eier 100 % av Thales
Norge gir mandatet til compliancefunksjonen på globalt og lokalt nivå.
2. Har styret/revisjonsutvalget/ledelsen i
din virksomhet aktivt fokus på
compliance?
Ja – compliance er et viktig fokus helt
ifra toppledelsen i gruppen og gjennom
organisasjonen. Compliance-rollen er
tett knyttet til toppledelsen i selskapene i
gruppen: De største landene har egne
compliance direktører som rapporterer til
juridisk direktør, mens i mellomstore
land dekkes rollen av juridisk direktør
selv. I de minste landene (med mindre
enn 150 ansatte) fyller som regel
administrerende direktør compliancerollen. Det er verdt å merke seg at
Thales S.A. sin administrerende direktør
også er selskapets styreformann i
henhold til mellomeuropeisk praksis.
sikre at selskapet operer trygt og sikkert,
og på betryggende avstand fra gråsoner.
Thales ønsker at alle ansatte skal ha
gode etiske ryggmargsreflekser og
kompetanse. For å sikre dette gjennomføres det omfattende e-læringsprogram,
og obligatorisk samtale med Compliance
Officer. En viktig del av compliancearbeidet er å tilrettelegge for at informasjon tilgjengeliggjøres og kan fremskaffes. Selskapet har utviklet en
plattform med linker til relevant
informasjon, som kontinuerlig holdes
oppdatert. Godt trente ansatte skaper
trygghet for at det tas riktige valg på
alle nivåer i organisasjonen.
Selskapet følger en rekke frivillige
standarder som Common Industry
Standards for European Aerospace and
Defense og IFBEC (International Forum
on Business Ethical Conduct for the
Aerospace and Defence Industry).
4. Hvordan avgrensens compliancefunksjonens oppgaver?
Thales har gått fra et lovperspektiv til et
ERM-perspektiv. Selskapet har definert
”risk owners” som har hovedansvar for
at de ulike prosessene i selskapet er
compliant. Compliance-funkjonen
samarbeider med risikoeierne, og er en
koordinator og tilrettelegger som bidrar
til at risikoeierne - med den spesifikke
3. Hva er mandatet/formålet med
compliance-funksjonen?
Å bidra til at lover/ regler/retningslinjer
etc. overholdes i tråd med vårt samfunnsansvar. I praksis betyr dette å
kjenne til hva vi skal være compliant i
forhold til, ha tett samarbeid med
prosesseiere i de ulike fagområdene,
sørge for at medarbeidere
får opplæring innen området
ormålet til
og for så vidt sentralt ifra
funksjonen
ved internkontroller osv.
eksterne lover, regler og retningslinjer.
Opplæring og kunnskap er alfa og omega
for å forhindre compliance-brudd.
5. Hvem rapporterer compliancefunksjonen til?
Compliance Officer i Norge rapporter til
administrerende direktør for den norske
virksomheten, samt til Corporate
Compliance Director i Paris.
6. Hvilke krav stilles til rapporteringsinnholdet?
En rekke krav til flere dokumenter og
rutiner skal tilfredsstilles, både i dybde
og bredde; compliance medarbeidere
som sådan har sine rapporteringer som i
stor grad ivaretar bredde og så er det en
rekke rapportering og målinger/
kontroller i de ulike fagaksene. Dette for
å ivareta helheten i vårt compliance
regime. Prosesseiernes rapportering
oppsummeres på landnivå av den lokale
compliance-ansvarlig og rapporteres til
Corporate Compliance Director. I tillegg
identifiseres konkrete compliance-mål
på prosessnivå basert på compliancerapporteringen.
7. Hvilke verktøy og metoder benytter
dere i compliance-arbeidet?
En kombinasjon av ”selvangivelse”
innenfor hvert domene, samt felles
gjennomgang av svar på flere nivåer.
Der det passer har vi også
kvantitative målinger.
complianceCompliance-ansvarlig
innebærer derfor
gjennomgår ”selvangivelsen” og stiller spørsmål
å bidra til å skape en kultur
Formålet til compliancetil prosesseier for å sikre
som hensyntar mer enn
funksjonen innebærer
kvalitet i svarene. Videre er
derfor å bidra til å skape
det utstrakt samarbeid med
lover og regler.
en kultur som hensyntar
Corporate i denne fasen.
mer enn lover og regler. For Thales er
kompetansen de besitter innen sine
For å sikre compliance i forhold til lover
etikk et viktig element; det er viktig å
fagfelt – er compliant med interne og
og regler abonnerer vi på Lovdata. Vi
F
16
SIRK nr 2. 2012
Fokus på Compliance
mottar ukentlige oppdatereringer innenfor relevante områder, og oppdaterer
interne prosesser ved behov.
8. Har avdelingen forutsetninger
(kompetanse/ressurser/tilgang til
informasjon) for å tilfredsstille de krav
som stilles i mandatet?
Absolutt – globalt sett er også dette en
funksjon som er styrket de senere år i
forhold til tilføring av ressurser. Som en
aktør i forsvarsindustrien, og med hovedkunder fra offentlig virksomhet er det
viktig for Thales å ha orden i eget hus.
9. Hvilken fagbakgrunn har de ansatte i
compliance-funksjonen?
Ca 80-90 % av Compliance Officers i
Thales har juridisk bakgrunn, resterende
er sivilingeniører og økonomer. Risk
Owners som har ansvar for compliance i
prosessene har fagbakgrunn i forhold til
det angjeldende fagfelt. Compliance
Officers trekker på ulike fageksperter
ved behov.
10. Hva er de viktigste kvalifikasjonene
som trengs for å jobbe med compliance?
Bred og god erfaring med virksomhetens
område, kundens omgivelser og spilleregler. Evne til å se ting på tvers og i
sammenheng, samt vurdere reell risiko.
Hos Thales er compliance integrert i
forretningsprosessene og compliancerollen skal ligge så tett opp mot toppledelsen som mulig, og utføres av enten
administrerende direktør,
finansdirektør eller juridisk
direktør. Det er med andre en
rolle som ikke kan fylles av en
nyutdannet eller personer som
ikke har kjennskap til virksomhetsområdet.
G
11. Hvordan samarbeider man med
andre fagområder i selskapet og spesielt
funksjonene innenfor andre og tredje
forsvarslinje?
Vi har et tett samarbeid både vertikalt og
med andre Thales selskaper om de
forskjellige aspekter som vedrører
Compliance, herunder etikk og samfunnsansvar.
12. Er det noe fagmiljø som man kan
dra nytte av i Norge/internasjonalt?
For Thales har vi et omfattende internasjonalt nettverk med 200 jurister og
advokater som de lokale Compliance
officers benytter seg av. Som Compliance
Officer for Thales Norge benytter jeg
stort sett interne ressurser. Det er viktig å
skille prosess- og fagspørsmål innenfor
hvert domene. Eksempelvis ved nasjonale spørsmål knyttet til selskapsrett
søker jeg råd hos mitt norske nettverk
som har ekspertise innenfor dette
området.
på fokusområder og rapporteringskrav.
Bedriftsjuristene favner bredden av ulike
bransjer og industrier.
14. Hva er de viktigste utviklingstrekkene i compliance-funksjonen de
siste tre årene?
Funksjonen har utviklet seg fra det
selvsagte - ren overholdelse av lover og
forskrifter - til å ta større hensyn til
samfunnsansvar og ta
od governance er god business, inn over seg bedriftens
omdømme. Fokuset
og dette synet reflekteres i
har med andre ord gått
fra shareholder value
virksomhetens fokus.
til stakeholder value.
God governance er
god business, og dette synet reflekteres i
13. Hva kunne dere som jobber med
virksomhetens fokus.
compliance ønske var mer tilgjengelig
på den faglig siden?
15. Har compliance-funksjonen vært
Som leder for Bedriftsjuristene i Norges
gjenstand for revisjon?
Juristforbund, har vi fokusert på dette i
Vi er kontinuerlig gjenstand for revisjon,
flere år, og vi er blant annet ansvarlig for både internt og eksternt. Corporate
fagdelen etikk og antikorrupsjon i neste
Internal Audit fra Paris gjennomfører
ukes store Juristkongress. I tillegg har vi
flere revisjoner, og selskapet gjenstand
omrettet en egen CRS-gruppe på
for ekstern revisjon innenfor flere ISOLinked-in. Sammenlignet med andre
standarder. I tillegg kommer revisjoner
fra forsvaret knyttet til kostnadskontrollland er fagmiljøet i Norge er fremdeles
regimet og nasjonal sikkerhet.
lite og til dels fragmentert.
Compliance-funksjonen påvirkes av
bransje- og industri, både med tanke
SIRK nr 2. 2012
17
Fokus på Compliance
Intervju med Carine Smith Ihenacho
Carine leder Statoils Compliance & Ethics team
1. Hvem gir mandatet til compliancefunksjonen?
Compliance advdelingen i Statoil er en
del av Statoils legal team. Avdelingen
består av ca 20 personer, og ledes av
Statoils Chief Compliance Officer.
Mandatet til funksjonen er forankret i
Statoils styrende dokumentasjon, og
særlig Statoils etiske retningslinjer, som
er godkjent av Statoils styre.
2. Har styret/revisjonsutvalget/ledelsen
i din virksomhet aktivt fokus på
compliance?
Både Statoils styre og ledelse har aktivt
fokus på compliance. Styret har en egen
HSE og etikk-komite som møter jevnlig,
og hvor etikk og compliance er en del av
agendaen. Statoils konsernledelse og de
forskjellige forretningsområdene har i
tillegg egne etikk-komiteer, hvor
compliance og etiske problemstillinger
relatert til Statoils virksomhet blir
diskutert. Etikk og compliance er også
temaer som er sentralt i Statoils
beslutningsprosesser og forretningsvirksomhet.
som blant annet gir rådgivning på
Statoils ansvar i forhold til UNs Guiding
Principles for Business & Human
Rights.
4. Hvordan avgrensens compliancefunksjonens oppgaver?
Compliance arbeidet og ansvar har klare
grensesnitt mot andre funksjoner
innenfor Statoil, som resten av legal,
avdelingen for samfunnsansvar,
internrevisjonen og corporate risk. Rent
formelt er oppgavene til de respektive
avdelingene klart beskrevet og avgrenset
i Statoils styrende dokumentasjon, hvor
compliance har et overordnet ansvar for
etikk og anti-korrupsjonsprogrammet og
5. Hvem rapporterer compliancefunksjonen til?
Lederen for compliance advdelingen,
Statoils Chief Compliance Officer,
rapporterer daglig til Statoils General
Counsel. Chief Compliance Officer
rapporterer i tillegg jevnlig til styrets
HSE og etikk komite og årlig til Statoils
styre. Chief Compliance Officer har i
særlige tilfelle også anledning til å
rapportere direkte til Statoils CEO,
styrets revisjons komite eller styrets
formann.
6. Hvilke krav stilles til rapporteringsinnholdet?
Rapporteringen fra compliance
avdelingen skal både gi en oversikt
over de forskjellige elementene av
Statoils compliance program, som
trening, due diligence , saker fra den
etiske hjelpelinjen og oppdatering av
policies, men den skal også gi innsyn i
viktige eller vanskelige enkeltsaker.
Detaljeringsgraden på rapporteringen vil
være avhengig av om det er til styret
eller annet sted i organisasjonen.
3. Hva er mandatet/formålet med
7. Hvilke verktøy og metoder benytter
compliance-funksjonen?
dere i compliance-arbeidet?
Formålet med compliance avdelingen er
Vårt anti-korrupsjons compliance
først og fremst å arbeide for å redusere
program består av flere elementer.
risikoen for korrupsjon i
Sentrale områder er
Statoils virksomhet. Men vi
kommunikasjon og oppormålet med compliance
har i tillegg til gruppen for
læring, due diligence,
etikk & anti-korrupsjon
risiko-vurderinger,
avdelingen er først og fremst
også to andre grupper i
monitorering, utarbeiå arbeide for å redusere risikoen delse av prosedyrer og
compliance avdelingen.
Den ene er gruppen for
policies, involvering av
for korrupsjon i Statoils
Integrity Due Diligence
ledelsen og aktiv deltavirksomhet
(IDD), hvor formålet er å
gelse i prosjektarbeid.
utføre due diligence på
I tillegg har vi Statoils
Statoils potensielle business partnere,
ellers et rådgivende ansvar, men i
etiske retningslinjer, som gjelder for alle
for å sikre at Statoil ikke inngår forretpraksis er det en flytende overgang hvor
ansatte, og Statoils etiske hjelpelinje,
ningsforhold med selskaper som kan
personer fra de forskjellige avdelingene
hvor ansatte kan ringe eller sende epost
skade Statoils omdømme eller utsette
jobber tett ammen på ulke prosjekter.
for å få råd eller rapportere om
Statoil for annen risiko. Vi har også en
Dette er både en styrke for compliance
eventuelle misligheter eller brudd på de
gruppe som dekker hvitvasking,
arbeidet i Statoil og gjør arbeidet for oss etiske retningslinjene.
sanksjoner og menneskerettigheter, og
i compliance mer interessant.
F
18
SIRK nr 2. 2012
Fokus på Compliance
8. Har avdelingen forutsetninger
(kompetanse/ressurser/tilgang til
informasjon) for å tilfredsstille de krav
som stilles i mandatet?
Ja. Vi har en kvalifisert avdelingen, med
dedikerte ansatte, med ulik bakgrunn,
som til sammen har den kompetanse vi
mener er nødvendig for å sikre et tilfredsstillende compliance-arbeid i
Statoil.
9. Hvilken fagbakgrunn har de ansatte i
compliance-funksjonen?
Det er mange advokater i compliance
avdelingen, som er spesialister innenfor
relevant lovgivning på anti-kosrrupsjon
og andre rettsområder som omfattes av
avdelingens mandat, som sanksjoner,
hvitvasking, konkurranse og menneskerettigheter. Vi har i tillegg analysepersonell innenfor vår IDD
avdeling, med bakgrunn i innkjøp, finans og kontroll. Vi
har også en gruppe av etikk
eksperter, som følger opp våre
etiske retningslinjer og hjelpelinje.
V
10. Hva er de viktigste kvalifikasjonene
som trengs for å jobbe med compliance?
Det er selvsagt viktig å ha en god forståelse av gjeldende lovgivning innenfor
anti-korrupsjon og annen relevant lovgiving. Men det er også utrolig viktig å
ha en god forståelse for den virksomheten selskapet driver, inkludert hele
verdikjeden, og generelt forståelse for
business. I tillegg så er en del av
arbeidet til compliance å gi opplæring og
veiledning, og da er det alltid en fordel å
være tålmodig, lyttende og ha evne til å
omgås andre personer.
11. Hvordan samarbeider man med
andre fagområder i selskapet og spesielt
funksjonene innenfor andre og tredje
forsvarslinje?
Vi samarbeider tett med mange andre
fagområder i Statoil. Vi har blant annet
et nært samarbeid med internrevisjonen
på flere områder, som for eksempel
granskning. Vi har også godt samarbeid
med resten av juridisk avdeling, andre
stabs funksjoner som finans og kontroll,
men ikke minst med de forskjellige
forretningsområdene, og da særlig i de
landene vi opplever som mest risikoutsatt.
Det samme gjelder til dels også publiseringer. Et område som kanskje kan utvikles bedre er tilbudet om ekstern sertifisering av compliance funksjoner.
14. Hva er de viktigste utviklingstrekkene i compliance-funksjonen de
siste tre årene?
Den viktigste utviklingen vi har sett de
tre siste årene er de stadig økende
kravene til hva som skal omfattes av et
12. Er det noe fagmiljø som man kan
«best practice» anti-korrupsjons
dra nytte av i Norge/internasjonalt?
compliance program. For noen år siden
Ja, absolutt. Vi arbeider tett på eksterne
var det kanskje tilstrekkelig for et
rådgivere, og da særlig advokater som er
selskap å vedta en Code of Conduct,
eksperter innenfor anti-korrupsjon. Vår
men vi ser nå at kravene til et godt
erfaring er at de strengeste kravene til et
implementert compliance program
anti-korrupsjons program følger av
inneholder elementer som due diligence
engelsk og amerikansk lovgivning, så vi
av alle potensielle forretningspartnere,
har god kontakt med advokatkontore
systematisk opplæring av ansatte,
compliance som en del
av risikovurdering i alle
i arbeider tett på eksterne
prosjekter, jevnlig
monitorering av
rådgivere, og da særlig
prosesser og ikke
advokater som er eksperter
minst et aktivt
engasjement fra
innenfor anti-korrupsjon.
ledelsen.
som dekker disse områdene. I tillegg så
15. Har compliance-funksjonen vært
ønsker vi å sikre at vi til enhver tid har
en compliance avdeling som følger «best gjenstand for revisjon?
practice» på området, og vi har derfor
Ja, compliance avdelingen var gjenstand
også flere nettverk med compliance
for en intern revisjon i år, hvor formålet
avdelinger til andre selskaper, både i
var å se på effektiviteten til compliance
Norge og internasjonalt. Vi følger i
avdelingen og hvorvidt den opererer i
tillegg opp internasjonale initiativer på
henhold til styrende dokumentasjon. Vi
anti-korrupsjon, som Global Compact
har i tillegg i år hatt en gjennomgang av
og PACI.
hele vårt anti-korrupsjons compliance
program av våre eksterne rådgivere for å
13. Hva kunne dere som jobber med
sikre at det er i overensstemmelse med
compliance ønske var mer tilgjengelig
krav og forventinger ikke bare etter
på den faglig siden?
norsk lov, men også UK Bribery Act og
Vi mener at det i utgangspunktet er mye
US Foreign Corrupt Practices Act.
tilgjengelige ressurser på den faglige
siden. Når det gjelder kurs og seminarer
innenfor anti-korrupsjon, er problemet
heller å velge i skogen av tilbud.
Korreksjon fra forrige nummer:
Det var Jurgita Petkevičiūtė fra SEB Norge som sto for intervjuet i 2012-1 «Audrius Šapola – sikkerhet
og risikostyring i SEB Bank i Litauen. Artikkelforfatterens navn var dessverre falt ut.
SIRK nr 2. 2012
19
Fokus på Compliance
Intervju med Compliance funksjonen i
DNB Markets, Hanne Leirbukt Pedersen
Hanne Leirbukt Pedersen er leder av Compliance i DNB
Markets. DNB Markets er et forretningsområde i DNB Bank
og teller 740 medarbeidere. Compliancefunksjonen
disponerer 9 årsverk inklusive lederen. Verdipapirhandelloven med forskrift setter spesifikke krav til funksjonen.
1. Hvem gir mandatet til compliancefunksjonen?
Konsernpolicy for Compliance og
konsernets utdypende retningslinjer for
Compliance er vedtatt av konsernstyret i
DNB. I tillegg er det utarbeidet en
skriftlig retningslinje for innholdet i
DNB Markets’ compliancefunksjon.
2. Har styret/revisjonsutvalget/ledelsen
i din virksomhet aktivt fokus på
compliance?
Ja. Group Compliance Officer (GCO) i
DNB lager en årlig rapport til styret.
Compliance Officer i DNB Markets
lager en kvartalsvis rapport til ledelsen i
DNB Markets, med kopi til Group
Compliance Officer og til konsernrevisjonen i DNB. Det er lagt til rette for
at alvorlige hendelser skal rapporteres
fortløpende til Group Compliance
Officer, som rapporterer videre til
aktuelle interessenter. Ellers får leder av
Markets løpende informasjon om små og
store hendelser. Compliance i DNB
Markets har opplevd en økt interesse og
fokus de siste årene.
3. Hva er mandatet/formålet med
compliance-funksjonen?
Compliancefunksjonen er en uavhengig
funksjon som identifiserer, vurderer,
gir råd om, tester og rapporterer
compliancerisiko. Dette innebærer i
praksis:
• Rådgivning, veiledning og opplæring
• Overvåking av endringer i rammebetingelser
• Risikovurdering og plan for
compliancearbeidet
• Utarbeidelse av rapporter
• Dokumentasjon
20
SIRK nr 2. 2012
Compliancefunksjonen har i løpet av de
siste årene opplevd en sterkere grad av
formalisering med tiltagende dokumentasjonskrav til det arbeidet som utføres.
Finanstilsynet uttalte i 2010 følgende i
sine endelige merknader etter tilsyn i
DNB Markets:
Foretaket plikter å ha en effektiv og
uavhengig kontrollfunksjon med nødvendig autoritet, ekspertise og ressurser.
Kontrollfunksjonen skal gjennom
løpende kontroll, regelmessige vurderinger og iverksetting av eventuelle tiltak
sikre at foretaket oppfyller sine forpliktelser.
Det forventes fra Finanstilsynets side
gjennomføring av risikovurderinger og
etablering av tiltak, kontroller, logging
av hendelser og formell rapportering av
compliancesituasjonen.
4. Hvordan avgrenses compliancefunksjonens oppgaver i forhold til
andre funksjoner (interne kontroll
funksjoner, intern revisjon)
Compliance sitter nærmere Forretningsområdet enn Internrevisjonen, og
Compliance ønsker også i større grad å
jobbe forebyggende. Når det gjelder
avgrensingen mot andre interne kontrollfunksjoner kan det sies at disse jobber
mer mot kontroll av transaksjoner og
eksponering, mens Compliance jobber
mer mot oppfølging av megleratferd og
etterlevelse av god forretningsskikk.
Avgrensning til andre funksjoner oppleves ikke som en stor utfordring for
Compliance i DNB Markets.
5. Hvem rapporterer compliancefunksjonen til?
I DNB har GCO det overordnede ansvar
for compliancefunksjonen. Det er
etablert en complianceansvarlig i hvert
forretningsområde, hvor Compliance i
DNB Markets er en av disse. Leder for
Compliance i DNB Markets rapporterer
til leder av en stabsdivisjon, som igjen
rapporterer til Konserndirektør. Leder av
Compliance har også en parallell rapporteringslinje til GCO.
6. Hvilke krav stilles til rapportinnholdet?
Den kvartalsvise compliancerapporten
inneholder en vurdering av compliancesituasjonen og beskriver eventuelle
trender. Spesielle hendelser, kontroller
eller aktiviteter omtales, og eventuelle
større klagesaker beskrives nærmere.
Aktiviteter mot DNB Markets’ internasjonale enheter omtales. Videre
kommenteres foreslåtte og vedtatte
endringer i rammebetingelser.
Compliancefunksjonen i DNB Markets
mottar også kopi av rapporteringen fra
de tilsvarende funksjonene i en rekke
utenlandsenheter, som alle har lokale
Compliance Officers.
7. Hvilke verktøy og metoder benytter
dere i compliance-arbeidet?
Compliancefunksjonen gjennomfører
egne, halvårlige risikovurderinger som
ender opp i en tiltaksplan som beskriver
risikoreduserende aktiviteter og kontroller. Forut for risikovurderingene
intervjues ledere for de ulike divisjonene
om utvikling og risiko innenfor eget
ansvarsområde. Vi benytter oss også av
andre kilder når vi vurderer risiko:
Strategidokumenter, forslag til nye
Fokus på Compliance
rammebetingelser, medieoppslag, tilsynsrapporter, revisjonsrapporter, klagesaker,
hendelser, mv. Vi prioriterer tiltak og
aktiviteter etter hvilke områder som har
høyest risiko.
Verktøyene er ellers først og fremst
egenutviklede logger for aktiviteter,
kontroller, hendelser, klagesaker,
operasjonelle feil etc. Compliance har
tilgang til alle relevante systemer, og det
gjennomføres daglige kontroller knyttet
til transaksjoner. Det gjøres også ad hockontroller i tilknytning til enkeltoppdrag.
8. Har avdelingen forutsetninger
(kompetanse/ressurser/tilgang til
informasjon) for å tilfredsstille de krav
som stilles i mandatet?
Ja, avdelingen har de rette forutsetninger.
Sammensetningen av strategisk-, systemog forretningsmessig kompetanse gir
gode forutsetninger for en vellykket
gjennomføring av arbeidet. Evnen til å
forstå risiko og til å prioritere mellom
oppgaver er viktige forutsetninger for å
lykkes.
9. Hvilken fagbakgrunn har de
ansatte i compliance-funksjonen?
De fleste ansatte i avdelingen har økonomi-utdannelse. Noen har revisjonsutdannelse og -bakgrunn. Det er ingen
jurister i avdelingen, men funksjonen
jobber tett sammen med DNBs juridiske
avdeling, som har en gruppe som er
spesielt allokert til forretningsområdet.
Det aller viktigste er at de som jobber
med compliance i DNB Markets forstår
forretningsvirksomheten og de største
risikodriverne.
Compliance må kunne samarbeide og
kommunisere med ledere og ansatte og
må kjenne og forstå virksomheten – det
er det viktigste.
11. Hvordan samarbeider man med
andre fagområder i selskapet og
spesielt intern kontroll funksjoner/
intern revisjon?
Compliancefunksjonen har et godt
samarbeid med Internrevisjonen. Vi
diskuterer risiko, utvikling, risikovurderinger og bruker hverandres arbeid.
Det er også et utstrakt samarbeid med
Konsernjuridisk som har syv jurister som
er dedikert til forretningsområdet.
miljø. Det finnes dog ikke så mange
kursmuligheter. Det finnes mye på faglig
oppdatering og på nye lover og rammebetingelser, men det finnes ikke mye på
fagområdet compliance som sådan. Det
kom imidlertid nye guidelines fra ESMA
nå i sommer som gir mye input på den
faglige siden. Sertifiseringsordninger for
compliance officers finnes ikke i Norge.
I UK er vi kjent med at det er etablert en
form for sertifiseringsordning i regi av
FSA.
14. Hva er de viktigste utviklingstrekkene i compliance-funksjonen de
siste tre årene?
Det har skjedd mye i løpet av de 5 siste
12. Er det noe fagmiljø som man kan
årene. Arbeidet til compliance funkdra nytte av i Norge/internasjonalt?
sjonen har blitt stadig mer formalisert og
Det er etablert et eget nettverk i regi av
kravet til den prosessen som compliance
Norges Fondsmeglerforbund hvor det
følger fra risikovurdering og planarrangeres møter jevnlig. Nettverket er
legging, til gjennomføring og
rapportering med tilhørende
dokumentasjonskrav, nærmer
10. Hva er de viktigste
ompliancefunksjonen i
seg de kravene som gjelder
kvalifikasjonene som
innen
intern revisjon.
DNB Markets nyter godt av
trengs for å jobbe med
Compliancefunksjonen i
compliance?
et relativt stort internt miljø. DnB Markets har økt fra
Det aller viktigste er å
6 til 9 medarbeidere i løpet
holde på integriteten,
først og fremst opptatt av gode rammeav disse årene.
samtidig som compliance må opptre på
betingelser for virksomhetene, og
en slik måte at de blir brukt også som
15. Har compliance-funksjonen vært
compliance er et område som verdirådgivere. En compliance officer må
gjenstand for revisjon?
papirforetakene kan diskutere og
kunne spille på lag samtidig som
samarbeide på.
Ja, compliance funksjonen er revidert av
hun/han må ha evne til klart å si fra der
Konsernrevisjonen i DNB, med tilfredsdet er nødvendig. Compliance må ut i
13. Hva kunne dere som jobber med
stillende resultat! Funksjonen ble også
forretningsområdet og oppsøke de
compliance ønske var mer tilgjengelig
vurdert av Finanstilsynet i et tilsyn i
enkelte miljøene for å holde seg opppå den faglig siden?
2010.
datert. Dette er spesielt viktig i og med
Compliancefunksjonen i DNB Markets
at en av rollene for Compliance er å
nyter godt av et relativt stort internt
jobbe forebyggende.
C
SIRK nr 2. 2012
21
Fokus på Compliance
Intervju med Frede Aas Rognlien
Frede er Head of Group Compliance Norway i SEB Norge
1. Hvem gir mandatet til compliancefunksjonen?
For SEB er dette enkelt: SEB opererer i
Norge som filial og faller inn under
kravene i MiFID som jo er tilsvarende
som lovkravene etter verdipapirhandelloven. Det er således et lovbestemt om
at vi skal ha en compliance-funksjon.
Mandatet til funksjonen er gitt av styret
gjennom instruks.
Den norske filialen har ikke noe eget
styre, men det er fastsatt en lokal
compliance instruks med bakgrunn i en
instruks fastsatt av styret i banken. I tillegg er det inngått diverse konserninterne
avtaler mv angående styring og fordeling
av oppgaver.
2. Har styret/revisjonsutvalget/ledelsen
i din virksomhet aktivt fokus på
compliance?
Ja absolutt. SEB har også en egen Audit
and Compliance Committee som er en
undergruppe i styret. Totalt sett er vi ca
70 stykker som jobber med compliance
på gruppenivå, hvorav 5 i Norge. Jeg
oppfatter at vårt arbeid er etterspurt og
verdsatt av både styret og ledelse sentralt
og lokalt.
3. Hva er mandatet/formålet med
compliance-funksjonen?
Mandatet er i stor grad hjemlet i lov og
forskrift. Hovedoppgaven er å bidra til å
sikre at vi som selskap opererer innenfor
lovens rammer, nærmere bestemt de
regler som er spesifikke for vår virksomhet, så som finanslovgivningsloven,
verdipapirhandelloven, med andre ord
rammene som følger av konsesjonsbelagt
virksomhet. Compliance-funksjonen
fokuserer i all hovedsak på overholdelse
av disse lovene og regelverk/instrukser
utledet av dette. Annen lovgivning som
for eksempel skatteloven og arbeidsmiljølovgivning mv faller etter min oppfatning utenfor mandatet til compliance,
og håndteres av andre i konsernet. Det er
verdt å merke seg at oppfølging av også
konkurranserett og personopplysnings-
22
SIRK nr 2. 2012
loven ligger innenfor ansvarsområdet til
compliance hos SEB. Hvordan dette er i
andre selskaper kjenner jeg ikke til i
detalj.
4. Hvordan avgrensens compliancefunksjonens oppgaver?
Grensene mellom compliancefunksjonen og risk management (første
linje), risk kontroll (herunder operational
risk control) (annen linje), internrevisjonen (tredje linje) og juridisk avdeling
skal være tilpasset virksomhetens art og
omfang. Det som i utgangspunktet kan
ansees som uklare grenser med glidende
overganger basert på kompetanse og
erfaring tydeliggjøres gjennom instruksverk og det årlige planarbeidet.
Det sentrale prinsippet er at compliance
ikke skal ha en aktiv rolle i forretningsmessige beslutninger, men det forhindrer
ikek at vi f eks kan være en premissleverandør (rådgiver) til de kommersielle
prosesser. Vårt fokus er å gi råd og
anbefalinger knyttet til compliancerelaterte forhold, men funksjonen har
ingen vetorett. Eksempelvis vil vi i
kommersielle prosesser fokusere på f eks
den faktiske etterlevelse av informasjonssperrer og interessekonflikter, men
ikke ta stilling til de kommersielle
betingelser i mandater.
Arbeidet til compliance-funksjonen kan
kanskje også sammenlignes med kvalitetskontrollfunksjoner i produksjonsselskap som jo har som en sentral jobb å
bidra til at selskapet oppfyller lov- og
forskriftskrav knyttet til produksjon og
produkter.
5. Hvem rapporterer compliancefunksjonen til?
Compliance-funksjonen rapporterer
kvartalsvis til styret. I tillegg rapporteres
det til leder av virksomheten i Norge og
en gruppe ledere innenfor filialen i Oslo.
6. Hvilke krav stilles til rapporteringsinnholdet?
Tradisjonelt sett hadde compliancefunksjonen fokus på rapportering om nye
eller kommende regler, lovendringer og
korrespondanse med myndigheter. Fra
dette har vi beveget oss mot et mer
operasjonelt fokus der vi rapporterer på
hva vi har gjort med hensyn til monitorering, undersøkelser og kontroll. På
mange måter kan dette sammenlignes
med et comfort/assurance view tilvarende
det internrevisorene gjør. I tillegg rapporterer vi funn fra konkrete undersøkelser,
eksempelvis av rådgivning, transaksjoner,
AML eller markedsmisbruk. Denne
rapporteringen er ment å være et verktøy
for ledelsen å se hva som skjer, forstå
risiko og trender slik at de kan iverksette
de nødvendige tiltak endringer.
7. Hvilke verktøy og metoder benytter
dere i compliance-arbeidet?
Compliance-avdelingen har etablert et
automatisert markedsovervåkningssystem som gir alarmer i forhold til
handler, og et tilsvarende system på
hvitevaskning. Disse systemene benyttes
i stor grad som et alternativ til ansattes
innrapportering av hendelser.
I tillegg benytter vi oss av informasjon
fra front- og back office systemer samt
kommunikasjon (f eks lydlogger).
Per i dag har avdelingen ikke noe eget
støttesystem for compliance funksjonen,
men det arbeides sentralt med dette.
8. Har avdelingen forutsetninger
(kompetanse/ressurser/tilgang til
informasjon) for å tilfredsstille de krav
som stilles i mandatet?
Ja, basert på avdelingens definerte oppgaver har vi det. Vi har tilgang til all
informasjon, noe som også er fastsatt i
Fokus på Compliance
instruksen. Enkelte systemer har vi selv
valgt å ikke ha direkte tilgang til, men
får den nødvendige tilgang til informasjon ved behov.
9. Hvilken fagbakgrunn har de ansatte
i compliance-funksjonen?
I Oslofilialen har vi tre jurister, samt en
person med bankfaglig bakgrunn. I tillegg er den compliance-ansvarlige i SEB
Kort også jurist. Juridisk kompetanse og
forståelse er viktig, da vårt arbeid jo i
veldig stor grad består i å vurdere etterlevelse av regler.
10. Hva er de viktigste kvalifikasjonene som trengs for å jobbe med
compliance?
I tillegg til de kvalifikasjonene som følger med en juridisk bakgrunn er
kompetanse om og forståelse av
virksomheten helt sentralt.
Videre fordrer det en trygghet på
det rammeverket virksomheten
operer innenfor; her en praktisk
og pragmatisk forståelse sentralt
- vi ønsker ikke å bli oppfattet
som paragrafryttere. I tillegg
kreves en god porsjon erfaring,
man må være trygg på seg selv
og ha høy grad av integritet.
derimot bør det være slik at avlønning av
ansatte i compliance-avdelingene skal
være uavhengig av inntjeningen i selskapet, med mindre slike bonusordninger
er helt generelle og ikke knyttet opp til
subjektive vurderinger fra forretningssiden.
11. Hvordan samarbeider man med
andre fagområder i selskapet og
spesielt funksjonene innenfor andre og
tredje forsvarslinje?
Vi samarbeider tett med både andre og
tredje forsvarslinje, i tillegg til juridisk
avdeling. Fysisk sitter vi tett på både risk
control og internrevisjonen. Vi avholder
felles møter med linjen i forbindelse med
risikovurderinger for å redusere belastningen på linjen. Videre søker vi å
13. Hva kunne dere som jobber med
compliance ønske var mer tilgjengelig
på den faglig siden?
Personlig tror jeg ikke at flere seminarer
eller sertifiseringer er løsningen. Det
som derimot gir stor verdi er workshops
der vi kan utveksle erfaringer på et
dypere nivå. Hva gjelder sertifisering
knytter det seg en rekke utfordringer til
slike ordninger, blant annet i forhold til
sanksjonering. Det aller viktigste er å
sikre kompetanse hos de om jobber med
compliance.
14. Hva er de viktigste utviklingstrekkene i compliance-funksjonen de
siste tre årene?
Myndighetene forventer dokumenterte
kontrollaktiviteter, noe som kan
gå på bekostning
av complianceyndighetene forventer
funksjonens rådgivende
dokumenterte kontrolloppgaver. Compliancefunksjonen er, etter min
aktiviteter, noe som kan
oppfatning, mer
gå på bekostning av
verdiskapende i en
pro
aktiv rolle der man
compliance-funksjonenes
bidrar til å sikre
rådgivene oppgaver.
etterlevelse gjennom økt
forståelse av rammene for
hva virksomheten kan og ikke kan gjøre.
fordele oppgaver for å forhindre dobbelt- Vi vil ikke være internpoliti, men ønsker
arbeid, og sikre at vi ikke ser på de
å bli oppfattet som en medspiller.
samme områdene. Planleggingen koordi- For at compliance-funksjonen skal
neres med andre ord slik at vi kan bygge fungere optimalt er vi avhengige av en
på hverandres arbeid og kompetanse.
god og åpen dialog med linjen.
”Compliance by walking around” der vi
12. Er det noe fagmiljø som man kan
bidrar til å bygge en kultur med færre
dra nytte av i Norge/internasjonalt?
negative hendelser, brudd og tap er
Det norske fagmiljøet har vært relativt
derfor en sentral del i vår tilnærming.
spredt. Vi i finansbransjen har tilgang på
15. Har compliance-funksjonen vært
seminarer og informasjon fra
Fondsmeglerforbundet, i tillegg til
gjenstand for revisjon?
seminarer i regi av Finanstilsynet og
Ja, Group Internal Audit har revidert
Børsen. Fagmiljøet har blitt mer aktivt
compliance-funksjonen.
etter innføringen av formelle krav i 2007.
M
Arbeid med compliance krever at man
står opp for sine standpunkter og kan
underbygge disse og man må da også , til
en viss grad, være økonomisk uavhengig
og kunne tåle konsekvenser av en eventuell konflikt. Jeg må skynde meg å
understreke at jeg vil tro at et slikt
konfliktnivå vil høre med til de absolutt
sjeldenheter og jeg har selv ikke vært i
nærheten av å oppleve det. Jeg har sett at
enkelte vil gå så langt som å fastsette
regler om krav til etterlønnsavtaler, men
det tror jeg ikke er noen nødvendig eller
god løsning. Dette er diskutabelt, men
Ny sertifisering – les mer på s. 60
eller www.iia.no
CRMA
Certification in Risk Management Assurance
SIRK nr 2. 2012
23
Fokus på Compliance
Opprettelse av et Compliance Forum
Av Ellen Brataas, generalsekretær
Mange NIRF-medlemmer jobber innen compliance eller reviderer compliance-området og i tråd med foreningens
strategi om å samle forskjellige fagmiljøer, inviterte presidenten og generalsekretæren til diskusjon for å lufte
interessen for å etablere nettverk/forum innen compliance. 26 personer syntes initiativet var bra og selv om ikke
alle hadde anledning til å møte denne dagen, var 12 personer tilstede første gang.
Det finnes flere uformelle compliance-grupper i Norge på
forskjellige nivåer samt bransjespesifikke miljøer, men det
finnes ingen egen forening for compliance. I Sverige har man
til eksempel en ideell, upolitisk og nasjonal yrkesorganisasjon
for Compliance Officers, www.complianceforum.se. Dette
forumet ble opprettet for å gi Compliance Officers muligheten
til å treffes og diskutere utfordringer man møter i hverdagen i
rollen som Compliance Officer. Interessen for nettverket er stor
og utbyttet av å dele erfaringer verdifullt. I Sverige finnes det i
dag 150 medlemmer fra alle typer av finansielle virksomheter,
forsikringsselskaper, kredittinstitusjoner, verdipapirforetak,
betalingsinstitutter og børser. Grunntanken til forumet er at
rollen som Compliance Officer er den samme i ulike
virksomheter, selv om spesifikke regelverk styrer den enkelte
virksomhet.
Mye gjøres på compliance-området internasjonalt. Blant annet
finnes det en global sertifisering «Certified Compliance &
Ethics Professional, CCEP» som kanskje NIRF kunne være
formidler av i Norge. Sertifiseringen administreres av den
amerikanske organisasjonen The Society of Corporate
Compliance and Ethics (SCCE); som er “a non-profit, member
based organization for compliance professionals.”
Vi tok en runde rundt bordet blant de fremmøtte hos NIRF og
ikke overraskende har mange av våre medlemmer de samme
utfordringene knyttet til compliance. Utfordringene har to ulike
vinklinger:
1. Den ene utfordringen kan vinkles mot relasjonen internrevisjon – compliance, eksempelvis: hvordan finne de
riktige kriteriene ved revisjon av compliance-funksjonen,
bedre klarhet av grensesnittet internrevisjon/compliance,
hvordan samkjøre arbeidet mellom forskjellige kontrollfunksjoner.
2. Den andre vinklingen som ble identifisert rundt bordet er et
felles behov for en bedre forståelse av hva som inngår i
compliance-begrepet, eksempelvis: en tydelig definisjon av
compliance, hva omfattes av scopet (compliance dekker
mer enn etikk og antikorrupsjon), ønske om maler, et
rammeverk og beste praksis å se hen til, hva inngår i rollen
som compliance officer og hvordan best organisere funksjonen, konkrete og praktiske kurs og erfaringsutveksling.
Om forumet skal være et generelt nettverk, eller om det er
hensiktsmessig å dele inn i bransjer er pt. et åpent spørsmål.
Kanskje vil det være mulig å fornorske mye av det arbeidet som
24
SIRK nr 2. 2012
er gjort internasjonalt. Under møtet ble det foreslått å gjennomføre en undersøkelse for å kartlegge behov og klargjøre status i
Norge. Hvordan compliance er organisert i ulike bransjer og
hvordan funksjonen arbeider i forhold til internrevisjon og risikostyringsfunksjonen kan også være en oppgave for studenter
på Master of Management studiet i internrevisjon på BI.
Medlemmene må selv konkretiserer nærmere hva forumet/
nettverket skal stå for, så som formål, avgrensning og hva som
skal gjøres videre. Et nettverk skal formelt godkjennes av
generalforsamlingen, men det er ingenting i veien for å
etablere et mer uformelt forum i en oppstartsfase. Under møtet
ble det konstituert et foreløpig arbeidsutvalg som skal
konkretisere struktur og innhold nærmere:
– Anders Lausund, BDO
– Eli Moe-Helgesen, PwC
– Kathrine Stang-Ottersen, Norges Bank
– Erik Andersson, DNB
– Janne Britt Saltkjel, Deloitte (styrets representant)
Det blir spennende å følge med på hva arbeidsutvalget velger å
prioritere og hvilke aktiviteter vi kan se frem i mot i 2013.
Komplekse utfordringer
- tydelige løsninger
Virksomheter står stadig overfor krav til gjennomføring
av nye regulatoriske krav. Økt kompleksitet på dette feltet
tvinger frem endrede bedriftskulturer, organisasjonsstrukturer og ledelsesfokus. KPMG leverer et bredt sett av
tjenester innen for compliance-området som sikrer våre
kunders evne til å navigere fleksibelt i et dynamisk
regulatorisk farvann.
Våre tjenester inkluderer:
• Helsesjekk Compliance- egenevalueringsverktøy
• GAP-analyser i forhold til etterlevelse av spesifikke
lover og regler
• Fasilitere utvikling av og implementering av
prosesser, rutiner og retningslinjer som
reduserer compliance-risiko
• Etablering av compliance-funksjon
For ytterligere informasjon kontakt:
Sverre Lunde, Director
e-post: [email protected]
Helge Brynestad, Senior Manager
e-post: [email protected]
Beate Brovig Auke, Senior Associate
e-post: [email protected]
Les mer om våre tjenester innenfor
Compliance Services på kpmg.no
SIRK nr 2. 2012
25
Fokus på Compliance
Informasjonssikkerhet underbygger god intern
kontroll – og motsatt!
Informasjon er en kritisk viktig, immateriell og uoversiktlig ressurs, og samtidig en
forutsetning for verdiskapning. Flere virksomheter opplever det imidlertid som svært
utfordrende å definere prislappen på informasjonen. Hva er den egentlig verdt?
Informasjonssikkerhet har etter en rekke hendelser de siste årene, fått økt fokus. Det er
nå viktig å se på hvordan fageksperter innen henholdsvis intern revisjon, intern kontroll,
risikostyring og informasjonssikkerhet kan samarbeide om effektive styringsprosesser.
Av Roger Ølstad, PwC
Informasjonssikkerhet handler om å
identifisere og beskytte informasjon som
er av betydning for virksomheten.
Tradisjonelt snakker vi om at informasjon:
- Ikke skal komme uvedkommende i
hende (konfidensialitet)
- Ikke manipuleres av uvedkommende
(integritet)
- Er tilgjengelig på oppfordring (tilgjengelighet)
I dagens marked er Internettsikkerhet
(Cyber security) ett av de hyppigste temaene knyttet til informasjonssikkerhet.
Dette bekreftet blant annet World
Economic Forum (www.weforum.org) i
fjor, da de i sin Global Risks report 20111
trakk Internettrusselen (Cyber threat) frem
som en av de 5 viktigste truslene virksomheter bør ha et øye med. Informasjonssikkerhet ved tjenesteutsetting/offshoring
(cloud computing), eller ved en stadig forventning om å få alle nødvendige tjenester
tilgjengelig på egne enheter (consumerization, bring your own device), anerkjennes
i årets Global Risks report2 som viktige
bidragsytere til et stadig økende trusselbilde. Det å kunne være online overalt til
enhver tid anses i dag som en selvfølge,
og vi forventer på samme måte at sikkerheten er ivaretatt.
Tidligere kunne det se ut som om mange
sidestilte informasjonssikkerhet med ITsikkerhet - hvordan vi kunne få kontroll
over og sikre informasjon i mer komplekse systemer samtidig som at trusselbildet
og angrepsvektorene i IT-verden blir
stadig mer sofistikerte. Stadig flere
virksomheter ser imidlertid ut til å
erkjenne at ikke teknologien eller IT-
avdelingen alene kan sørge for den motstandsdyktighet som er nødvendig for å
beskytte informasjon som er av betydning
for virksomheten. Ofte sporer man sikkerhetsbrudd tilbake til at ansatte har gjort
noe de ikke skulle ha gjort, enten tilsiktet
eller utilsiktet. Det er ikke mulig å konfigurere et IT-system til å forhindre alle
mulige uønskede gjerninger fra våre
betrodde ansatte og samarbeidspartnere.
Hvem har for eksempel fullstendig
kontroll på hva slags informasjon som
fyker ut via e-post daglig? Hvordan vet vi
at sensitiv informasjon ikke lekker til
uvedkommende? Med dette dukker opplæring og bevisstgjøring (awareness) opp
som meget relevante temaer innen informasjonssikkerhet.
Verdien av virksomhetskritisk
informasjon
Informasjonssikkerhetstiltak baseres som
regel på et risikoperspektiv, hvilket innebærer at de bygger på en kartlegging av
både trusler og sårbarheter som kan føre
til brudd på enten konfidensialitet,
integritet eller tilgjengelighet. Informasjonssikkerhetsrisiko formuleres som en
bestemt (uønsket) hendelse og hvilken
konsekvens denne hendelsen har for forretningen. Vi prater gjerne om informasjonsrisikostyring. Hva skjer dersom en
bestemt type informasjon kommer i gale
hender? Hva skjer dersom viktig styringsinformasjon ikke er tilgjengelig når den
trengs? Et helhetlig perspektiv på risikostyring krever at vi involverer forretningssiden, først for å forsikre at akseptansekriterier for risiko er etablert, deretter for
å formulere forretningsmessige konsekvenser ved gitte hendelser, som regel
forbundet med enten økonomisk tap eller
http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2011.pdf
http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2012.pdf
3
http://www.idg.no/computerworld/article258207.ece
1
2
26
SIRK nr 2. 2012
negativt omdømme. Dette er erfaringsmessig kompliserte øvelser. Forretningen
sliter med å estimere hvor stort økonomisk tap en gitt informasjonssikkerhetshendelse kan ha, eller vil få? Det samme
gjelder omdømmerisiko. Hvordan skal
forretningen vite i hvilken grad en
sikkerhetshendelse vil eskalere til
omkringliggende miljø eller media?
Disse utfordringene fører i mange tilfeller
til en symptomatisk umodenhet i risikovurderinger forbundet med informasjonssikkerhet, i form av at de ikke baseres på
en felles plattform av konsistente finansielle betraktninger, eller at de ikke forholder seg til reelle forretningsmessige
akseptansekriterier. I andre omgang kan
dette gjøre risikovurderingen til en kostbar skrivebordsøvelse som ikke tilfører
forventet verdi.
Risikovurderingene ville styrkes dersom
fagekspertise innen både intern revisjon,
intern kontroll, risikostyring og informasjonssikkerhet konsolideres i enda sterkere grad for å trekke frem de forretningsmessige verdiene av virksomhetskritisk
informasjon. Fokus bør rettes mot
sammenhengen mellom forretningsmessig
strategi og målsettinger, og virksomhetens
krav til informasjonssikkerhet.
Infonomi – et springbrett videre?
Med hensyn til verdien av virksomhetskritisk informasjon leser jeg med stor
interesse Peter Hidas’ artikkel i Computerworld fredag 26. oktober3, om forskjellen
mellom hvordan toppledelsen omtaler
virksomhetens informasjon (eller beslutningsgrunnlag), og hvordan informasjonen
faktisk håndteres. Svært ofte mangler
Fokus på Compliance
informasjon både verdsetting og en
bevisst forvaltning og distribusjon som
andre tradisjonelle aktiva.
Gartner er i ferd med å skissere et fag som
heter infonomi. Det sies at vi lever i informasjonsalderen, men informasjon regnes
ikke som aktiva selv om den i mange
sammenhenger omtales som et immaterielt aktivum (som copyrights og patenter).
Hvorfor er ikke dataenes verdi inkludert i
årsberetningen? Hidas begrunner i sin
artikkel dette med at informasjon betraktes som biprodukter av forretningsprosesser og forretningstransaksjoner, og at det
er nettopp her feilen ligger: Informasjon
er ofte hovedproduktet i prosesser og
transaksjoner. Hvorfor tenker ikke regnskapsførere og økonomidirektører på
samme måte? International Accounting
Standards Board definerer et aktivum som
en ressurs som organisasjonen har kontroll
over, som er resultatet av tidligere hendelser, og som høyst sannsynligvis vil
kunne bidra til at økonomiske fordeler vil
tilflyte organisasjonen. Det er vanskelig å
forstå informasjon og datagrunnlag på en
annen måte enn at det faller inn under
denne definisjonen.
I et intervju med Financial Times4 mener
Gartners Doug Laney at infonomi vil
være et godt verktøy for toppledelsen:
- For CEO fordi det vil understøtte
muligheten til å beramme en hensiktsmessig diskusjon om informasjonsverdier og understøtte en kultur som
innebærer økt bevissthet rundt hvordan
informasjon forvaltes som et viktig
element for forretningsmessig ytelse og
transformasjon.
- For CFO vil infonomi kunne gjøre det
enklere å tydeliggjøre dataenes potensiale og faktiske verdi for organisasjonen. I annen rekke vil dette kunne
være meget verdifullt i forbindelse med
investeringer og kontraktering.
- For CIO kan infonomi bidra til å forsterke rollen som forvalter av denne
stadig mer strategisk viktige ressursen.
De fleste initiativer forbundet med IT
handler om å levere informasjon inn til
ulike forretningsprosesser, og ikke om
teknologien i seg selv. Teknologien
representerer en kostnad som må veies
opp mot verdien av informasjonen som
tilgjengeliggjøres for forretningen.
Dette er kritiske betraktninger for plan4
legging og rettferdiggjøring av investeringer innen IT. Med dette som
utgangspunkt kan infonomi føre til
gode argumenter for at CIO bør ha en
fast plass rundt bordet ved etableringen
av virksomhetens overordnede strategi.
I tilfelle informasjonsverdien var inkludert
i balanse og årsberetning ville det åpenbart være enklere å si noe om det konkrete
økonomiske tapet dersom et gitt sett med
data kom på avveie eller ble forringet som
en følge av manipulasjon. Utfordringen
med å vurdere omdømmekonsekvensen
vil sannsynligvis være den samme, men
kanskje ikke lenger like relevant? Dersom
man har et bevisst forhold til hvor mye
informasjonen er verdt, bør det egentlig
ikke være særlig interessant å snakke om
omdømmekonsekvens ved informasjonssikkerhetsbrudd. Dette ville i de fleste
tilfeller ligge implisitt som en følge av
verdien av dataene.
I risikovurderinger knyttet til informasjonssikkerhet kunne vi da ha fokusert
100 % på verdien av informasjon, og forhåpentligvis rapportert et mer konsistent
og anvendelig beslutningsgrunnlag. Også
her tror jeg fagekspertise innen intern
kontroll, intern revisjon, risikostyring og
informasjonssikkerhet kan ha mye å hente
på tettere samarbeid og kommunikasjon.
Hvor er hvilken informasjon?
En informasjonssikkerhetsmessig risikovurdering skal resultere i et beslutningsgrunnlag som muliggjør optimalisert
ressursbruk på beskyttelse av informasjon.
Tradisjonelle IT risikovurderinger retter
ofte oppmerksomheten typisk mot
forretningsmessige sikkerhetskrav i ulike
deler av infrastrukturen; systemer, servere
eller applikasjoner.
En åpenbar fordel ved denne tilnærmingen er at den har klare avgrensninger med
hensyn til prosess eller system. Den gir
imidlertid begrenset kontroll på informasjon fordi den kun belyser risiko i en
enkelt prosess eller et enkelt system.
Dersom den samme informasjonen flyter
igjennom andre prosesser eller systemer,
vil risikoen bare være delvis adressert.
Tatt i betraktning dagsaktuelle temaer som
outsourcing og offshoring vet vi at store
deler av virksomhetens beskyttelsesverdige informasjon befinner seg andre
plasser enn bare innen organisasjonen
eller på organisasjonens IT aktiva. For
eksempel sendes det daglig mengder med
informasjon via e-post, eller mobile
enheter benyttes til overføring eller
lagring.
Bevisst implementering av beskyttelsesmekanismer i teknologien som benyttes er
viktig, men ikke tilstrekkelig. Et mer helhetlig perspektiv på informasjonssikkerhet
oppnås gjennom et bevisst forhold til
informasjonsverdienes fullstendige livssyklus – fra tilvirkning til destruksjon.
Virksomheten bør prioritere å få oversikt
over:
- hvor informasjonen opprettes
- på hvilke måter informasjonen kan
være gjenstand for behandling eller
endring, og hvor
- via hvilke kanaler informasjonen kan
deles/distribueres
- på hvilke måter informasjonen tilintetgjøres
En slik tilnærming handler om erkjennelsen av at informasjonstyper i løpet av
sin levetid kan passere en rekke ulike
systemer, forretningsprosesser eller lagringsmedier. Risikonivået for en bestemt
informasjonstype vil variere avhengig av
både system, prosess og medium.
Økt risiko kan for eksempel forekomme
ved berikelse (verdiøkning) i forbindelse
med behandling, eller når vi velger å lagre
data på en ukryptert minnepinne.
Figur 1. Informasjonslivssyklus
De to tilnærmingene kompletterer hverandre. Livssyklustankegangen følger en
spesifikk informasjonstype fra vugge til
grav, mens system-/prosesstankegangen
kan ta for seg mange informasjonstyper
samtidig, dog kun innenfor et gitt system
eller en gitt prosess. Tilnærming bør
velges ut i fra interesse: Eier av en
☞
http://www.ft.com/intl/cms/s/0/27476ad4-a6a5-11e1-968b-00144feabdc0.html#axzz2BpDuRtbs
SIRK nr 2. 2012
27
Fokus på Compliance
informasjonstype vil høyst sannsynlig
være interessert i livssyklusen, og kan
hente støtte fra risikovurderinger som går
spesifikt på systemene som inngår i
denne. Eier av et system eller en forretningsprosess ønsker antakeligvis først og
fremst et bilde av hvordan systemet er
rustet sikkerhetsmessig for å tilfredsstille
de forretningsmessige krav og målsettinger som nettopp dette systemet er tiltenkt å
skulle oppfylle.
Finansiell rapportering – et eksempel
Figuren nedenfor illustrerer prosessen
hvordan informasjon om virksomhetens
finansielle resultater tilvirkes og behandles, samt hvordan risikoen knyttet til konfidensialitet, integritet eller tilgjengelighet
kan vurderes ulikt underveis.
Informasjonen fanges først opp fra ulike
handelssystemer inn i en database, og
konsolideres deretter i et rapporteringsverktøy. Fra rapporteringsverktøyet kan vi
hente ut rapporter som grunnlag for presentasjoner, skriftlige dokumenter eller for
publisering på web. Resultatene kan frigis
når alt er forberedt og utarbeidet.
administrasjons- og kirkedepartementet
(FAD) meddelt i tildelingsbrev at informasjonssikkerhet skal være høyt prioritert og
en kontinuerlig oppgave med sterk forankring. For å gjøre innrapporteringen på
informasjonssikkerhet fra virksomheter
enhetlig og enklere, forbereder FAD innføring av et rapporteringssystem basert på
ISO/IEC 27001. For effektiv etterlevelse
av føringene fra FAD bør internrevisorer
og informasjonssikkerhetseksperter i det
offentlige etablere et samarbeid som dyrker felles forståelse for hvordan et ISMS
kan integreres med øvrige styringssystemer.
Flere virker å ha en oppfattelse av at et
ISMS er etablert og ivaretatt så lenge
virksomheten har etablert en god struktur
for styringsdokumentasjon. Dette er en
misforståelse som legger betydelige
begrensninger for en vellykket investering. Tidligere var det altså slik at man
anså denne styringsdokumentasjonen som
relevant utelukkende for IT-prosessene,
men her har det som nevnt vært en positiv
utvikling i løpet av de siste årene.
Figur 2. Informasjonssikkerhetsrisiko under finansiell rapportering.
Styringssystem for informasjonssikkerhet (ISMS)
ISO/IEC 27000-serien gir gode føringer
på hvordan man skal etablere et styringssystem for informasjonssikkerhet (ISMS,
Information Security Management
System). ISO/IEC 27001 og standardens
omkringliggende veiledninger og standarder benyttes av virksomheter ofte som en
strategisk tilnærming til informasjonssikkerhet. I offentlig sektor har Fornyings-,
28
SIRK nr 2. 2012
Risikovurderingen er det mest sentrale
elementet i et styringssystem basert på
ISO/IEC 27001. Med utgangspunkt i
denne skal det gjennomføres en bevisst
prosess for etablering av kontrolltiltak og
måleparametere som skal forsikre effektiv
deteksjon og håndtering av avvik. I tillegg
skal det etableres konkrete rutiner for
læring etter et avvik, slik at virksomheten
kan dokumentere kontinuerlig forbedring
av informasjonssikkerhetsinitiativene.
En god operasjonalisering av kontinuerlig
forbedring virker ofte å være en av de
største utfordringene ved å få et ISMS til
å fungere. Mange virksomheter baserer
denne ”kontinuerlig forbedringen” på at
ansatte oppfordres til å melde i fra dersom
de ser forbedringspotensialer. Dette er en
for enkel løsning på et fundamentalt
element i et ISMS, som undergraver
potensialet i styringssystemet. Konkrete
rutiner for kontinuerlig forbedring
kompletterer risikovurderingen. Dette
handler om oppfølging og måling av
veldefinerte kontrollaktiviteter, som en
forsikring om at disse fungerer som de
skal.
Kort fortalt ligger selve gevinstrealiseringen i et ISMS i nettopp disse rutinene.
Dette betyr at den store investeringen det
uansett vil være å implementere, drifte og
vedlikeholde et ISMS, vil være langt fra
optimalisert dersom det ikke legges vekt
på å etablere slike rutiner.
Sentrale karakteristika ved et vellykket
ISMS er dermed:
1. At det finnes en realistisk sammenheng
mellom sikkerhetspolicy, scope for
styringssystemet, bevisst utforming av
kontrollaktiviteter og risikohåndteringsplan
2. At verdien av informasjonen som
forvaltes er definert i den totale livssyklusen for informasjonen
3. At det er etablert gode rutiner for
kontinuerlig forbedring
Informasjonssikkerhet er først og fremst
et forretningsanliggende der eier av
verdiene stiller krav til sikringen av disse.
Videre har de samme eierne ansvar for å
følge opp et effektivt og fungerende
styringssystem for informasjonssikkerhet.
Selve kontrollutførelsen vil fortsatt i stor
grad være realisert gjennom ITavdelingen.
Samarbeid for god styring og kontroll
Etablering av intern kontroll tilknyttet
informasjonssikkerhet, samt revisjon av
dette, handler ikke bare om å utarbeide
eller verifisere dokumentasjon. Minst like
viktig er det å få på plass verdiskapende
prosesser for styring og kontroll over
informasjonsverdier, noe som krever et
nært samarbeid mellom fagekspertise
innen internrevisjon, intern kontroll,
risikostyring og informasjonssikkerhet.
Fokus på Compliance
Samarbeid med tredjeparter – en helhetlig og
praktisk tilnærming der risikoen er størst
Av Kristian Thaysen, Erik Arvnes, Mads
Blomfeldt – PwC Forensic Services
Integritetsrisikoen ved samarbeid med
eksterne parter kan være betydelig. Det
går knapt en dag uten at man i dagspressen kan lese om norske selskaper
som gjennom samarbeid med andre
parter, har blitt eksponert for uheldige
omstendigheter. Eksempler på dette er
bruk av agenter eller joint venture-partnere med tette relasjoner til offentlige
beslutningstagere, bruk av underleverandører som benytter seg av barnearbeid,
eller partnere innblandet i korrupsjon.
Det er et økende fokus på risikoen
knyttet til eksterne parter, og mange
norske virksomheter må forholde seg til
regulatoriske krav på området.
Uavhengig av regulatoriske og formelle
krav finnes også klare forventninger fra
ulike hold, eksempelvis Nærings- og
handelsdepartementet.
Et helhetlig program for å håndtere
risikoen ved samarbeid med tredjeparter
handler om å identifisere, vurdere og
håndtere risikoen knyttet til virksomhetens tredjeparter. Med tredjeparter i
denne sammenheng forstås leverandører,
kunder, distributører, rådgivere, agenter,
joint venture-partnere og andre man forholder seg til eller støtter seg til for å
utøve sin virksomhet.
Vi vil se nærmere på hvordan man kan
implementere et helhetlig program for å
håndtere denne risikoen. Et viktig element i et slikt program er gjennomføring
av integrity due diligence av potensielle
samarbeidspartnere der risikoen er
betydelig. Dette går vi også nærmere inn
på i artikkelen.
Helhetlig program for håndtering av
tredjeparter
Å lykkes med implementeringen av et
helhetlig program handler om å forstå
både hvilken risiko og hvilke muligheter
tredjeparter representerer for din virksomhet. Enten det handler om risikoen
for økonomiske tap, eller risikoen for
ikke å etterleve regulatoriske krav, ligger
nøkkelen i en risikobasert tilnærming. Ikke
minst er en slik tilnærming nødvendig for
å gjøre implementeringen overkommelig
for virksomheten, både med tanke på kostnader, kapasitet og kompetanse.
Den risikobaserte tilnærmingen bør være
styrende for både utformingen av pro-
grammet og for de løpende prosessene
under programmet.
Vi har laget en liste over 20 punkter vi
mener at gir et godt utgangspunkt for å
bygge et helhetlig program. Listen er naturlig nok generisk og må leses med utgangspunkt i forståelse av egen virksomhet.
20 punkter til hjelp ved implementering
av tredjepartsprogram
1) Et helhetlig program for håndtering av tredjepartsrisiko må ha støtte fra selskapets ledelse, og
viktigheten av programmet må kommuniseres tydelig.
2) Programmet må dekke hele virksomheten, og noen grunnleggende nøkkelfaktorer er:
a) Å identifisere hvilke typer tredjeparter som skal inngå i programmet.
b) Å implementere et system for risikoklassifisering av tredjepartene.
c) Å gi veiledning som beskriver hvilket minimumsnivå for due diligence som skal gjelde for de ulike
nivåene, og hva som er typiske risikomomenter man bør være oppmerksom på (”røde flagg”).
3) De som er ansvarlig for programmet må bygge forståelse i organisasjonen for hvorfor man har et
tredjepartsprogram. Man må få fram at det handler om helhetlig risikostyring, og ikke bare
etterlevelse av regulatoriske krav.
4) Programmet må sikre at nivået på due diligence er tilpasset løpende kunnskap om risiko.
En sjekklistebasert ”one size fits all”-tilnærming er ikke tilstrekkelig.
5) Programmet må sørge for at risikoen vurderes og relevant due diligence gjennomføres, før man
inngår nye avtaler.
6) Formålet med programmet og selskapets forventninger til tredjeparter må kommuniseres tydelig
internt og eksternt.
7) Kostnader knyttet til etterlevelse av programmet må være forhåndsgodkjent, og kostnadsallokeringen må være tydelig avtalt internt.
8) Due diligence-prosesser bør være sentralt koordinert.
9) Det må stilles entydige og ufravikelige krav til at alle tredjeparter gir tilstrekkelig informasjon og
bidrar gjennom due diligence-prosessen. Due diligence-prosessen må være risikobasert med
hovedfokus på relasjoner som innebærer særlig risiko. Eksempelvis bør man sørge for å få
kunnskap om:
a) Den reelle eierskapsstrukturen.
b) Tredjepartens historie, aktiviteter og struktur.
c) Bakgrunnen til nøkkelpersoner.
d) Hvorvidt selskapet eller nøkkelpersoner har vært involvert i ulovlige eller uetiske aktiviteter.
e) Hvilke rettslige prosesser eller andre tvister tredjeparten har vært involvert i.
f) Omdømmet til tredeparten og nøkkelpersoner og eventuelt andre risikofaktorer som er relevant
for relasjonen.
10) Informasjon gitt av tredjeparter bør verifiseres gjennom andre kilder, og ”røde flagg” må
identifiseres og håndteres.
11) Godkjenning av tredjeparter forbundet med særlig risiko bør løftes til et høyere nivå i
organisasjonen enn normalt.
12) Undersøkelser med utgangspunkt i ulike risikoområder må koordineres (integritet, insolvens,
operasjonelt mv.) for å unngå dobbeltarbeid og for å sikre en koordinert tilnærming til tredjeparten.
13) Due diligence-prosessen, herunder risikovurderinger, må dokumenteres grundig.
14) Informasjon fra due diligence-prosessen bør lagres sentralt i virksomheten.
15) De som er ansvarlig for programmet må ha tilstrekkelig kapasitet og kompetanse til å gi støtte til
organisasjonen gjennom prosessen. Om nødvendig bør man velge en eller flere eksterne rådgivere
som kan bidra ved behov, og om nødvendig sikre uavhengige vurderinger.
16) Kontrakter med tredjeparter må reflektere selskapets krav og forventninger til tredjeparten, og
inneholde relevante bestemmelser knyttet til etikk, anti-korrupsjon, revisjonsrett mv.
17) Selskapet bør etablere retningslinjer for når og hvordan man skal benytte en eventuell revisjonsrett.
Dersom man velger å benytte dette som en forebyggende aktivitet, bør det kommuniseres til de
tredjepartene det gjelder så tidlig som mulig.
18) Informasjon om tredjeparter må vedlikeholdes og oppdateres. Risikovurderinger bør gjentas
regelmessig med en frekvens tilpasset risikoen.
19) Informasjon knyttet til due diligence-prosessen bør lagres i et hensiktsmessig system som sikrer
nødvendig informasjonsflyt både internt og eksternt.
20) Due diligence-programmet må være gjenstand for løpende evaluering og forbedringer basert på
selskapets erfaringer og eventuelle endringer i rammebetingelser og krav.
SIRK nr 2. 2012
☞
29
Fokus på Compliance
Integrity due diligence prosessen
Formålet med å gjennomføre integrity
due diligence er på rett tidspunkt å
identifisere risiko som følger av en
eksisterende eller potensiell relasjon med
en tredjepart.
Innsatsen i hvert enkelt tilfelle må være
tilpasset iboende risiko, og ikke minst
eventuell risiko som avdekkes gjennom
prosessen. Due diligence handler om å
skaffe seg tilstrekkelig og presis
beslutningsinformasjon.
Due diligence-prosessen kan forenklet
illustreres slik:
Praktisk tilnærming knyttet til tredjeparter forbundet med særlig risiko
Særlig risiko krever særlige forholdsregler og særlige tiltak for å overvåke
risikoen. I noen tilfeller vil det ikke være
tilstrekkelig å stille spørsmål til tredjeparten og å gjennomføre eksterne
undersøkelser, men nødvendig å
gjennomføre en målrettet revisjon.
Et slikt behov oppstår unntaksvis, og må
være forbeholdt spesielle grupper av
tredjeparter som for eksempel
agenter/markedsrepresentanter eller joint
venture-partnere.
Hvis det er snakk om en eksisterende
partner kan man ha sikret seg revisjonsrett gjennom kontrakten med tredjeparten. For enkelte grupper tredjeparter
bør en vurdere å stille vilkår om slik
revisjonsrett samt faktisk gjennomføring
av slik revisjon før avtalen inngås.
En revisjon av en tredjepart har mange
fellestrekk med en spesialrevisjon i egen
virksomhet, men likevel med noen
avgjørende forskjeller, herunder:
30
SIRK nr 2. 2012
• Tredjeparten er ofte ikke vant til å bli
revidert på denne måten
• Kontaktpersoner og organisasjonen er
ikke kjent på forhånd
• Tredjeparten er ofte underlagt lover og
regler som fraviker fra det man er
vant til
• Tredjeparten opererer ofte i land med
ulik kultur, forretningspraksis og
forretningsetikk enn det man er vant til
• Tredjepartens styrende dokumenter og
prosesser er ikke kjent på forhånd
• Tredjepartens it-systemer, herunder
regnskapssystem er ikke kjent på
forhånd
Planlegging og fastsetting av
revisjonskriterier
Informasjonsinnhentingen bør starte så
tidlig som mulig, og innhentet informasjon bør løpende danne grunnlag for
detaljplanleggingen. Revisjonsprogrammet og revisjonskriteriene må
tilpasses risikoen og formålet med
revisjonen, og dessuten være dynamisk
med tanke på hvilken informasjon som er
tilgjengelig. I planleggingen kan det være
hensiktsmessig å ta utgangspunkt i
hvilken kunnskap man ønsker å oppnå
fremfor hvilken dokumentasjon man
ønsker å gjennomgå.
• Relevant og tilgjengelig dokumentasjon
kan være på fremmed språk
• Dokumentasjon kan i mindre grad
være tilgjengelig
• Tredjeparten får ikke nødvendigvis
fullt innsyn i rapporten
Disse forskjellene, og omstendighetene
rundt en tredjepartsrevisjon, innebærer at
tilnærmingen må være noe annerledes.
Basert på våre erfaringer fra slike
revisjoner, vil vi særlig nevne følgende:
Kommunikasjon
Kommunikasjonen med tredjeparten bør
skje i regi av de som normalt håndterer
relasjonen. Virksomhetens krav og forventninger, herunder bruk av revisjon
som et virkemiddel, må kommuniseres
tydelig. Det er avgjørende at tredjeparten
forstår formålet med revisjonen.
Når revisjonen er gjennomført, bør
observasjonene forelegges tredjeparten
for kommentarer før rapporten ferdigstilles. Tredjeparten bør også få se
observasjonene slik de fremkommer i
den endelige rapporten.
Gjennomføring
Revisjonen bør inkludere et besøk til
tredjeparten, men denne delen bør være
spisset og behovsstyrt. En stedlig revisjon
binder opp ressurser hos tredjeparten og
kan oppleves som utfordrende med tanke
på behov for konfidensialitet. Det er
viktig å vise hensyn til dette og diskutere
praktiske løsninger, som anonymisering
av informasjon, bruk av uavhengige
revisorer og tydelig avgrensning av
omfang. Det kan være hensiktsmessig å
bruke kjente transaksjoner (med egen
virksomhet) som utgangspunkt for å
vurdere hvorvidt regnskapet reflekterer
faktiske transaksjoner, om selskapet har
grunnleggende interne kontroller på
plass mv.
Fokus på Compliance
Etikkundersøkelse
Av Hanne Oppen Bieker og Elin Thrane, Ernst & Young, og Reidar Døli, Oslo Børs VPS
Bieker
Thrane
Døli
1. Formål
Spørreundersøkelser kan være nyttige verktøy for ledelsen i en
bedrift til å fange opp det som rører seg i organisasjonen, samt
bekrefte eller avkrefte et inntrykk. Undersøkelser kan også
benyttes for å måle etterlevelse av ulike retningslinjer og
rutiner på. Forutsetningen er at undersøkelsen er utformet med
basis i klare mål, at den er tilstrekkelig kvalitetssikret og forankret i organisasjonen, samt at resultatene tas hånd om på en
korrekt og løsningsorientert måte. Oppnås dette, har man et
svært godt verktøy til å iverksette tiltak der de trengs mest,
samt måle utvikling over tid.
Denne artikkelen tar utgangspunkt i gjennomføringen av en
etikkundersøkelse i Oslo Børs VPS-konsernet (OBVPS) i
oktober 2012. Konsernet består av Oslo Børs, VPS, Oslo
Clearing og Oslo Market Solutions. Internrevisjonen i OBVPS
har en co-sourcingsavtale med Ernst & Young og etikkundersøkelsen er resultatet av et samarbeidsprosjekt.
Undersøkelser med fokus på etikk kan måle alt fra kjennskap
til og etterlevelse av bedriftens etiske retningslinjer, til ansattes
oppfatning av ulike etiske dilemmaer som de kan møte i sin
arbeidshverdag. Når man utarbeider en etikkundersøkelse, er
det viktig at man først tar stilling til hva man ønsker å oppnå,
eksempelvis:
• Har alle i organisasjonen har lest de etiske retningslinjene
og konsulterer disse ved tvil?
• Brytes bedriftens etiske retningslinjer eller lover og regler
regelmessig og i så fall hvorfor?
• Har ansatte opplevd trakassering og diskriminering, og i så
fall om de har varslet om dette? Blir varslene fulgt opp tilfredsstillende?
I vårt tilfelle ønsket vi å favne alt dette uten at undersøkelsen
ble for lang og da med risiko for lav svarprosent.
I tillegg tok vi stilling til mer tekniske spørsmål:
• Ønsker man å åpne for innspill fra de ansatte i kommentarfelt?
• Skal undersøkelsen være anonym? Dette er ofte en forutsetning for å få mer oppriktige svar og høy svarprosent.
• Ønsker man å kunne skille mellom svarene med hensyn til
kjønn, alder, geografi og avdelingstilhørighet? Dette gir et
godt grunnlag for målrettede tiltak, proaktive eller reaktive,
da man enkelt kan identifisere hvor skoen trykker mest. På
den annen side kan enkelte la være å svare ærlig, eller ikke
svare i det hele tatt, da undersøkelsen mister noe av sitt
anonyme tilsnitt jo flere demografiske detaljer det bes om.
• Legger tidligere undersøkelser som man skal måle årets
resultater opp mot, føringer for utformingen?
Etikkundersøkelser som gjentas som hos OBVPS, er svært
treffsikre med hensyn til å måle trend i en organisasjon, både
på overordnet nivå og avdelingsvis. I tillegg kan effekten av
iverksatte tiltak måles og justeres dersom tiltakene ikke virker
som planlagt. Skal man måle trend kreves det at de ansatte i
stor grad tar stilling til de samme spørsmålene og problemstillingene hver gang. Det innebærer at man alt fra første
undersøkelse sørger for at innholdet er gjennomtenkt, forankret
og testet, samt at man har et mottaksapparat og en analyse- og
rapporteringsfunksjon som fungerer.
2. Forankring
Oslo Børs VPS er avhengig av høy etisk bevissthet hos sine
ansatte og en tillit i markedet for å eksistere. Noen sider ved
bevissthet om etikk lar seg måle ved registrering av hendelser,
avvik og oppnåelse av kvalitetsmål. Konsernet har likevel
funnet det nødvendig å gjennomføre etikkundersøkelser for å
måle kunnskap og bevissthet om etikk hos de ansatte. Det ble
gjennomført en undersøkelse i selskapene i 2009 med en
oppfølging av enkelte spørsmål i 2010. I mellomtiden har etikk
vært tema i avdelings- og allmøter, det er gjennomført etikkquiz, dilemmatreninger og det er lagt ut informasjon på
intranettet, men i 2012 var tiden inne for å måle tilstanden
igjen. Formelt sett er undersøkelsen gjennomført som en
internrevisjon, og forankret i de enkelte styrer ved at
revisjonsplanene er godkjent der.
3. Planlegging, utarbeidelse av spørsmål og utsendelse av
test
Det heter seg at som man spør, får man svar. Dette tilsier at
nytteverdien av undersøkelsen er avhengig av at det er lagt ned
et grunding arbeid i forbindelse med utforming av spørsmålene. Forutsetningen for gode spørsmål henger igjen sammen
med klargjøring av formålet med undersøkelsen. Hvis formålet
ikke er klart nok, har spørsmålene en tendens til å bli upresise.
Resultatet kan bli for mange spørsmål, svak kvalitet og lav
☞
SIRK nr 2. 2012
31
Fokus på Compliance
svarprosent og at man ender opp med en undersøkelse som gir
begrenset verdi. I den aktuelle undersøkelsen ble det tatt
utgangspunkt i spørsmålene fra undersøkelsen i 2009.
Kommentarer til spørsmålene den gang bidro til enkelte justeringer i spørsmålene og/eller svaralternativene i 2012. Vi valgte
også å bygge ut undersøkelsen med enkelte tillegg der resultatet av forrige undersøkelse tilsa at dette burde undersøkes noe
nærmere. Enkelte spørsmål og svaralternativer kom det lite ut
av sist og disse ble utelatt denne gang. Vi sto til slutt igjen med
15 spørsmål hvorav 12 var de samme som ved forrige undersøkelse og 3 var nye spørsmål. Det var dessuten gjennomført
en medarbeidertilfredshetsundersøkelse tidligere i 2012.
Ett tilleggsspørsmål tilkom som resultat av denne da et avdekket forhold egnet seg til oppfølging i etikkundersøkelsen.
Respondenter i spørreundersøkelser bruker gjerne et ”Vet
ikke”- eller ”ikke aktuelt”-alternativ hvis det er mulig. Dersom
det ikke åpnes for dette, tvinges respondentene til å ta stilling
til noe som de ikke kan svare. Dette kan forringe kvaliteten av
undersøkelsen, og bedriften kan gå glipp av verdifull styringsinformasjon om at mange ansatte som faktisk ikke har tilstrekkelig informasjon til å svare på det aktuelle spørsmålet.
I OBVSP valgte vi å bruke ”Ikke aktuelt” dersom vi vurderte
dette som et reelt svaralternativ. For spørsmål der man ønsker
at de ansatte eksempelvis skal ta stilling til en påstand, ble
alternativet hvor respondenten ikke skulle gjøre seg opp en
mening fjernet. I analysefasen er det viktig å være seg bevisst
disse valgene, da de har stor betydning for tolkning og senere
rapportering.
Grundig vurdering og formulering av svaralternativene er en
viktig del av å utarbeide en profesjonell spørreundersøkelse,
og vi jobbet mye med formulering av svaralternativene for å
sikre at resultatene skulle bli så presise som mulig. De nye
spørsmålene med svaralternativer ble deretter testet ut på 8
medarbeidere i konsernet, noen fra hvert selskap. Denne testen
resulterte i nyttige tilbakemeldinger som ble innarbeidet før
undersøkelsen ble sluppet til samtlige medarbeidere.
4. Informasjon til de ansatte og utsendelse
Utsendelsen av spørreundersøkelsen foregikk ved at
Internrevisor la ut informasjon på hjemmesiden til selskapene.
Det ble opplyst at de ansatte om kort tid ville motta en forespørsel om å delta i spørreundersøkelsen. Hver enkelt mottok
deretter en e-post fra Internrevisor med link til spørreundersøkelsen hos Ernst & Young. De ansatte visste dermed at det
var en autorisert undersøkelse de deltok i og man trengte heller
ikke oppgi e-postadressen til hver enkelt ansatt. De fikk en uke
på seg til å svare. Vår erfaring tilsier at hvis ikke ansatte svarer
på slike undersøkelser ganske raskt etter at de mottatt dem, går
hele undersøkelsen i ”glemmeboken”. Det ble derfor gjennomførte Internrevisor en purrerunde etter en uke før undersøkelsen ble stengt etter ca 14 dager.
32
SIRK nr 2. 2012
5. Rapportering
Som tidligere omtalt øker mulighetene for treffsikker måling
og rapportering ved å skille respondentene med hensyn til
eksempelvis avdelingstilhørighet, kjønn og alder. Utarbeidelse
av én rapport på selskapsnivå, for så å bryte denne ned
avdelingsvis, ga i OBVPS et godt grunnlag for å iverksette
målrettede og effektive tiltak.
Det har vært viktig å vurdere hensiktsmessighet og anonymitet
i oppsplittingen vi valgte for konsernet. Små avdelinger kan gi
et feilaktig bilde av resultatene ettersom hver ansatts svar har
langt større vekting enn for en stor avdeling. Lav svarprosent
kan gi samme skjeve bilde. Kanskje er det kun de som har tid
til å besvare som har gjort det, eller de som er spesielt engasjert eller opprørt over noe? I slike tilfeller har vi slått flere
små avdelinger sammen for å få et mer representativt utvalg.
Etter at resultatene har blitt analysert har Internrevisor
involvert relevante nøkkelpersoner og ledere for å diskutere
resultatene samt identifisere aktuelle tiltak. Generelt er det
hensiktsmessig å integrere tiltakene i en konkret handlingsplan
eller selskapets årshjul, samt fordele ansvar og tidsfrister.
Av og til kan det være hensiktsmessig å nedsette arbeidsgrupper basert på enkelte resultater, eksempelvis bekymringsfulle resultater på områder som mobbing og trakassering, eller
manglende kjennskap til varslingskanal. OBVPS har benyttet
seg av arbeidsgrupper for oppfølging av enkelte resultater.
De ansatte har krav på å få vite hvilken informasjon undersøkelsen ga, men hvordan resultatene kommuniseres bør være
gjennomtenkt. Tiltakene bør være identifisert og avklart når
resultatene presenteres for de ansatte slik at respondentene tas
på alvor.
Sist, men ikke minst, er det viktig å evaluere gjennomføringen
av undersøkelsen slik at man kan gjøre justeringer til neste
gang. Hos OBVPS har vi blant annet diskutert:
• Hvorvidt vi oppnådde ønsket svarprosent.
• Om noen avdelinger eller selskap var under- eller overrepresentert i svarprosent, og hva forklaringen kunne være
på dette.
• Resultater og tilbakemeldinger som indikerte at de ansatte
ikke hadde en omforent forståelse av spørsmålet.
• Hvordan rapporteringen av undersøkelsen ble mottatt.
• Hvorvidt tidligere implementerte tiltak så ut til å gi
resultater eller om justeringer eller en helt ny tankegang var
påkrevet.
Ulike svar og reaksjoner kan skyldes at de ansatte ser ulike
sider av organisasjonen, men også at de har ulike referansepunkter og standarder. Dette er spesielt aktuelt i et konsern
som OBVPS. Kontinuerlig arbeid med felles begreper og
kultur sikrer en mer omforent oppfatning av hva som skal være
standarden. Repeterende undersøkelser indikerer om vi er på
rett vei.
Ø v ri g s t o f f
Nettverk risikostyring
19. juni 2012 formaliserte NIRFs generalforsamling opprettelsen av et nytt nettverk for risikostyring. Dette utfyller
NIRF-nettverkene som allerede er opprettet på andre fagområder, herunder finans, statlig sektor, misligheter og
ledere (ansatte internrevisjonsledere og revisjonsledere i finans). Allerede i april ble det første møtet med tema
”Risikokultur” avholdt, dette ble en formidabel suksess med stort oppmøte og god tilbakemelding. Temaet som
beskrives nedenfor, ”Risiko – fra budskap til erkjennelse”, er det andre møtet i nettverkets historie.
Nettverk risikostyring administreres av NIRF og
koordineres av et bredt sammensatt arbeidsutvalg som
består av NIRF medlemmer fra offentlig og privat sektor.
Disse tillitsvalgte, som ble formelt valgt på NIRFs
generalforsamling for perioden 2012-2014, er:
•
•
•
•
•
•
Erik Wisløff (leder) – Telenor
Rune Johannessen - Nordea
Unni Kristine Rognlien – Helsedirektoratet
Inger Wraamann – konsulentselskapet A-2
Kari Øvsthus – Sparebanken Vest
Rune Waage - BDO
Nettverket, som er åpent for alle, har som formål å øke
deltakernes kompetanse gjennom å dele kunnskap og
erfaring knyttet til risikostyring, både til bruk i virksomheter
og i internrevisjon. Målsettingen er at nettverket skal bli en
møteplass for alle som arbeider med eller har interesse av
fagområdet. Det er ønskelig at nettverkets medlemmer vil
være pådrivere og bidragsytere til NIRFs seminarer og kurs,
og planen er å gjennomføre 1-2 medlemsmøter i semesteret.
Det er også etablert en rekke andre risikomiljøer i Norge og
det tas sikte på å kontakte noen av disse for å undersøke
muligheten for å samordne satsingen og kunne tilby
aktiviteter på tvers av medlemsmassen.
Ved oppstart av nettverket ble det sendt ut en spørreundersøkelse (Questback) til foreningens medlemmer for å
klargjøre hvilke temaer som deltakerne ønsket fordypning i.
Hele 346 svar ble mottatt, dette betyr at det er stor interesse
og entusiasme for nettverket. Når det gjelder fokus ble det
utrykt interesse for de fleste risikotyper, men strategisk,
finansiell, misligheter, anskaffelser/ outsourcing, IKT og
prosjektrisiko ble fremhevet som særskilt interesante. Når
det gjelder kommunikasjonsform ble forelesninger/kurs
fremhevet, tett etterfulgt av praktisk orienterte innlegg fra
virksomheter og diskusjoner/rundbordsmøter. Når det
gjelder bruk i virksomheter var det ønskelig at det fokuseres
både på risikoanalyse som verktøy og risikostyring for måloppnåelse, mens det for internrevisjon ble ønsket fokus på
internrevisors bruk av risikostyring i årsplanlegging/
oppfølgning så vel som revisjon av risikostyring i virksom-
heten. Det ble også mottatt en rekke nyttige kommentarer
og gode råd til det videre arbeidet.
Det tas i første omgang sikte på å kommunisere aktiviteten i
nettverket gjennom nyhetsbrev, artikler, samt informasjon
på NIRFs nettsider. Det vil etterhvert bli opprettet en
mailingliste over nettverkets medlemmer.
SIRK nr 2. 2012
33
Ø v ri g s t o f f
«Risiko – fra budskap til erkjennelse. Hva kjennetegner
virksomheter som har en god erkjennelse av risiko og
risikostyring?» Referat fra halvdagsseminar i regi av Nettverk risikostyring
Av arbeidsutvalget i Nettverk risikostyring v/Kari Øvsthus, senior risikoanalytiker i Sparebanken Vest og Rune Waage,
partner i BDO Risk Advisory Services
Om foredragsholderne/
paneldeltakerne:
Bård Olesen er divisjonsdirektør i
Administrasjonsdivisjonen i
Helsedirektoratet, og innehar en
sentral funksjon i Helsedirektoratets
beredskaps- og krisearbeid. Helseog omsorgsdepartementet delegerer
operativ ledelse av helseberedskapen
til Helse-direktoratet.
Jørgen Kosmo ble høsten 2005
utnevnt til riksrevisor. Han har siden
2006 vært leder for Riksrevisjonen.
Kosmo var vararepresentant på
Stortinget i perioden 1981 til 1985,
før han ble fast representant. Kosmo
var forsvarsminister i perioden
1993–1997, arbeids- og administrasjonminister i perioden 2000–2001
og stortingspresident i perioden 2001
til 2005.
Alexandra Bech Gjørv er advokat
og næringslivsleder. Hun ledet
22. juli-kommisjonen som utredet
erfaringer fra terrorangrepet mot
Regjeringskvartalet og Utøya.
Rapporten fra 22. juli-kommisjonen,
ble overlevert statsministeren
13. august 2012. Bech Gjørv er har
vært ansatt i Norsk Hydro ASA og
Statoil ASA, og har innehatt en rekke
styreverv. Fra 2010 har Bech Gjørv
vært partner i Advokatfirmaet Hjort.
Underdirektør Dagfinn Buset leder
seksjon for sikkerhetsvurdering i
Nasjonal Sikkerhetsmyndighet
(NSM). Han har ansvar for strategisk
analyse av den nasjonale sikkerhetstilstanden og implementering av
objektssikkerhets-regelverket
(installasjoner, anlegg, bygninger
med mer som er av strategisk
betydning for samfunnet).
34
SIRK nr 2. 2012
Det var en entusiastisk president i NIRF,
Martin Stevens, som ønsket velkommen
til fagseminar i regi av det siste skuddet
på stammen av nettverk under NIRF –
Nettverk risikostyring. Han innledet med
å si at risikostyring er et område hvor
NIRF tar mål av seg til å være ledende
nasjonalt, og at dette var en av årsakene
til at nettverket ble etablert. Han viste
videre til den nære sammenhengen
mellom risikostyring og internrevisjon,
samt at risikostyring er viktig for virksomheter, samfunn, liv og helse.
Presidenten uttrykte også at han gledet
seg til arrangementet, noe han ikke var
alene om. En fullsatt sal – et resultat av
rekordstor påmelding – bar bud om stor
interesse for seminarets tema og foredragsholdere.
«Risikovurderinger ved store og vanskelige beslutninger i Helsedirektoratets
helseberedskaps- og krisearbeid» var
overskriften på dagens første foredrag
som ble holdt av Bård Olesen, divisjonsdirektør i Helsedirektoratet.
Potensielle alvorlige hendelser stiller
krav til samfunnssikkerhet og beredskap.
Helsedirektoratet har vært involvert i
mange av de store krisehendelsene som
har berørt Norge i nyere tid, for eksempel flodbølgekatastrofen i 2004, svineinfluensaen i 2009/2010 og terrorangrepene i Oslo og på Utøya i 2011.
Denne typen kriser gir øvelse i håndtering, og Helsedirektoratet har foretatt
evalueringer i etterkant for å vurdere hva
som gikk bra og hva som kunne vært
gjort bedre, for deretter å jobbe målrettet
med de tiltak som ble identifisert.
Olesen valgte i sin fremstilling å skille
mellom risikostyring på ”en vanlig dag”
på den ene siden, og risikostyring ved
kriser på den andre. Han poengterte at de
to likevel henger sammen, ved at god
kontroll på risiko på en vanlig dag fører
til bedre beredskap når krisene kommer.
Hvis du har god kontroll på
risiko på en vanlig dag,
er du bedre forberedt på
overraskelsene.
Ø v ri g s t o f f
Som et verktøy for den løpende risikostyringen har direktoratet utviklet en
måltavle etter modell av balansert
målstyring. Informasjonen aggregeres
opp for ulike nivå og dersom måltallene
tilsier det, blir tiltak iverksatt. Systemet
reflekterer hvor risikoen er størst, og gir
lederne mulighet til å fokusere på det
som er viktigst.
Sentralt i Helsedirektoratets styring
under kriser står en overordnet nasjonal
helse- og sosialberedskapsplan. Behovet
for en slik plan ble avdekket etter
tsunamikatastrofen. Planen definerer
blant annet ansvar og roller, og skal
bidra til samordning av krisehåndteringen. Kriseplanen er, ifølge Olesen,
et godt eksempel på læring etter håndtering av en katastrofe, noe direktoratet
er svært opptatt av. Også etter terrorangrepene 22. juli har Helsedirektoratet
gjennomført en evaluering for å identifisere hva som kan gjøres bedre, til tross
for at helsevesenet fikk skryt i ettertid
for hvordan det håndterte krisen.
Et punkt som Olesen poengterte, er at
mediebildet gjerne blir ubalansert i
forbindelse med kriser, og at dette kan
utfordre forestillingen om at man har
kontroll på risikobildet.
Helseberedskapsloven stiller krav om
utforming av risiko- og sårbarhetsanalyser (ROS). I risikovurderingene er
det ikke fokus på enkeltscenarioer, men
på det å ha en robust krisehåndteringsorganisasjon som kan møte ulike typer
av trusler, ettersom det, i følge Olesen,
er krisens natur at den blir annerledes
enn det som kan forutses.
Det er krisens natur at den
blir annerledes enn det som
kan forutses.
Når det gjelder terrorhandlingene 22. juli
2011, delte Olesen noen av sine personlige erfaringer med tilhørerne. Da han i
all hast kom seg til arbeidsplassen sin
etter å ha fått avbrutt ferien, var folk
godt i gang med oppgavene sine. Helseog omsorgsdepartetmentet hadde mistet
lokalene i bombeangrepet. Det fantes
planer for reservelokaler, som man aldri
hadde trodd man skulle få bruk for. HOD
ble innlosjert hos Helsedirektoratet og
var de første som fikk nye lokaler.
Olesen uttrykte tilfredshet med at de
hadde klart å løse situasjonen.
ressursene uten god risikostyring.
Viktigheten av at beslutningstakere har
et godt beslutningsgrunnlag når de skal
foreta valg, ble trukket frem. Dette er et
sentralt element i risikostyringen.
Olesen brukte en del tid på å snakke om
betydningen av samarbeid, både i relasjon til hendelsene 22. juli og generelt.
Samarbeid på tvers av ulike enheter kan
være vanskelig, og han filosoferte litt
rundt spørsmålet om vi som nasjon har
en utfordring med dette. Han påpekte
viktigheten av slikt samarbeid når det
gjelder krisehåndtering.
Kravene i samfunnet er store og hvis
man skulle dekke alle behov som beskrives, ville statsbudsjettet blitt ”dobbelt så
stort”. Prioritering må derfor til, og det
må være balanse mellom det vi skaper
og det vi bruker. Her har Finansdepartementet og Økonomireglementet viktige
roller. Kosmo fremholdt at det er mulig å
forene effektivitet og kontroll, og nevnte
forenkling som et stikkord i denne forbindelse.
Et annet viktig poeng som sto sentralt i
foredraget, var at evaluering handler om
å lære. Og at læring handler om å endre
atferd.
Dagens neste innleder, Jørgen Kosmo,
Riksrevisor i Riksrevisjonen, hadde fått i
oppdrag å snakke om «Hvordan
Riksrevisjonens budskap innvirker på
den offentlige sektors tilnærming til
risiko».
Kosmo tok utgangspunkt i innføringen
av mål- og resultatstyring i offentlig
sektor. Forvaltningen skulle styre prioriteringen og tildele midler i henhold til
budsjett gjennom tildelingsbrev. Noen av
utfordringene med mål- og resultatstyringen har vært tendenser til ”silotenkning”, og at målene blir stadig flere
og at tildelingsbrevene blir mer ønskelister enn prioriteringer.
Her har risikostyringen en viktig rolle.
Risikostyring er å finne ut hva som er
viktigst og styre ressursene dit hvor
risikoen er størst, i stedet for å styre
stykkevis og delt.
Risikostyring er å finne ut
hva som er viktigst og styre
ressursene dit hvor risikoen
er størst.
Foredragsholderen fokuserte mye på
lederansvaret i denne forbindelse.
Lederne må sørge for at man jobber
med de viktigste tingene, og ikke skyve
ansvaret over på andre. Han mente at det
er vanskelig for en leder å prioritere
Riksrevisoren trakk også frem risikostyringens betydning i planleggingsprosesser. I et samfunn vil det alltid være
ønsker om å bevege seg fremover, og
Riksrevisjonen må være i samme
bevegelse som resten av samfunnet.
For å unngå feilinvesteringer, må vi se
fremover, selv om det kan være vanskelig. Vi må ha et godt bilde av hvor vi
skal, og hvilke risikoer som kan hindre
oss i å komme dit. Dersom dette ikke er
på plass, ligger det i lederansvaret å si
fra om dette.
Kosmo oppsummerte med å si at han
ønsket å synliggjøre at risikostyring er et
verktøy for effektiv drift og riktige
prioriteringer, i en virksomhet som er i
bevegelse.
Risikostyring er et verktøy
for effektiv drift og riktige
prioriteringer, i en virksomhet
som er i bevegelse.
Hendelsene 22. juli 2011 satte sitt preg
på seminaret. Dette ble, naturlig nok,
spesielt tydelig under foredraget til
Alexandra Bech Gjørv, leder for 22.
juli-kommisjonen, som bar tittelen
«Erkjennelse av risiko som grunnlag
for god risikostyring – med bakgrunn i
erfaring og arbeidet i 22. juli-kommisjonen». Som foredragsholderen selv
uttrykte det, ӌ bruke den vinden man
har i seilet når noe har skjedd”.
☞
SIRK nr 2. 2012
35
Ø v ri g s t o f f
Gjørv delte med tilhørerne de refleksjoner
hun hadde gjort seg i forbindelse med at
hun ble forespurt av statsministeren om å
lede 22. juli-kommisjonen. Det første
valget var om hun skulle ta på seg oppdraget overhodet og bli en del av den bredt
sammensatte gruppen som ble oppnevnt.
Deretter skulle det velges fremgangsmåte
og metodikk for å løse oppdraget på best
mulig måte. Når det gjaldt sistnevnte,
gjorde kommisjonen seg nytte av
rapportene som ble laget i USA etter
11. september, etter angrepene i London i
2005, etter BPs utslipp i Mexico-gulfen
samt rapport fra undersøkelseskommisjonen av 1945!
En beskrivelse av deler av 22. julihendelsene ble gitt, herunder gjennomføringen av politi- og redningsarbeidet i
ulike faser.
Fra rapportens hovedkonklusjoner fremhevet Gjørv en del punkter for læring
som var spesielt relevante for seminarets
tema:
•
•
•
•
Metodikken omfattet blant annet
befaringer og besøk, gjennomgang av
dokumentasjon, innsamling av tekniske
og andre data som foto, video, lydlogger
og teledata, samt formelle forklaringer
og andre samtaler. Her var det elementer
i arbeidsmåter som kunne fremkalle en
viss gjenkjennelse hos en internrevisor,
selv om oppdraget det her var snakk om
hadde et annet omfang og en annen
alvorlighetsgrad enn det en internrevisor
vanligvis kommer borti.
Når det gjelder den mye omtalte saken
om sikring av Regjeringskvartalet, kan
en internrevisor også her nikke gjenkjennende, til noen av komponentene fra
COSO-rammeverket. Risikovurdering,
risikohåndtering og vurdering av kontrollaktiviteter var til stede ”etter boka”,
men de viktige kontrollaktivitetene ble
aldri gjennomført til tross for at kritisk
risiko var identifisert og krevde tiltak.
Foredragsholderen delte noen observasjoner angående hva som hadde forårsaket dette. Sikringssaken var blitt
overført fra prosjekt hvor en hadde
”streng” metodikk for risikoanalyse,
ansvar og tidsfrister for gjennomføring,
til vanlig drift. Et sted på veien hadde
risikoforståelsen forvitret. Det var aldri
politisk uenighet, men ingen ”eide”
prosjektet. Videre ble det unnlatt å føre
tilsyn og kontroll.
Et sted på veien hadde
risikoforståelsen forvitret.
Det var aldri politisk uenighet,
men ingen ”eide” prosjektet.
36
SIRK nr 2. 2012
•
å erkjenne risiko og ta lærdom av
øvelser
å gjennomføre det man har bestemt
seg for, bruke planene som finnes
koordinering og samhandling er
viktig
å utnytte potensialet som finnes i
IKT-systemer
betydningen av ledelsens evne og
vilje til å klargjøre ansvar, etablere
mål og treffe tiltak for å oppnå
resultater
Med innledernes foredrag som bakteppe,
startet paneldebatten med tema «Hva
kjennetegner virksomheter som har en
god erkjennelse av risiko og risikostyring?».
Bård Olesen og Alexandra Bech Gjørv
utgjorde, sammen med Dagfinn Buset,
deltakerne i debatten som ble ledet av
Knut Grotli, viseadministrerende
direktør og partner i BDO.
Debatten var sentrert rundt tre tema, der
det første var risikoforståelse og risikokultur. Spørsmålet om hva slags risikokultur vi har i Norge ble reist. I denne
forbindelse ble det påpekt at en ikke
nødvendigvis kan overføre risikovurderinger fra andre land direkte til Norge.
Vurderingene må tilpasses situasjonen vi
har i Norge. De land som har mest
erfaring med krisehendelser, fremstår
gjerne som bedre til å håndtere dem.
Norge har så langt vært et fredelig
hjørne, men når trusselnivået øker uten
at tiltakene holder følge, får vi økt risiko
som resultat.
Når trusselnivået øker uten
at tiltakene holder følge,
får vi økt risiko som resultat.
Et annet viktig tema som ble debattert
var risikoappetitt. Her ble det trukket
frem at det kan kreve politisk mot å
kommunisere noe annet enn nulltoleranse. Risikotoleransen synes å
bli stadig mindre, og dette gjør det
vanskelig å ta prioriteringsdebatter, for
eksempel knyttet til risiko i trafikken
eller hvilken behandling som skal tilbys
eldre pasienter. Men som det ble påpekt:
den absolutte sikkerhet finnes ikke!
Vi må kunne forholde oss til kalkulert
risiko. Lederes ansvar i forhold til dette
ble påpekt; ikke alle ledere med ansvar
har erkjent at de ved ikke å gjøre noe
faktisk har akseptert risiko.
Ikke alle ledere med ansvar
har erkjent at de ved ikke å
gjøre noe faktisk har akseptert
risiko.
Debatten berørte den potensielle svakheten ved å vurdere risiko ut fra sannsynlighet og konsekvens, der risikoer med
høy konsekvens kan bli nedprioritert hvis
de har lav sannsynlighet. En alternativ
tilnærming hvor det blir lagt større vekt
på identifisering av verdier og vurdering
av sårbarhet og truslene mot disse ble
nevnt av Dagfinn Buset fra NSM.
Passende nok var dagens siste tema
”veien videre”. Noen av synspunktene
som kom frem her kunne tyde på en viss
pessimisme med hensyn til fremtiden,
mens andre ga et mer optimistisk inntrykk.
Det synes klart at trusselbildet har blitt
mer alvorlig, og at mer avansert teknologi er tilgjengelig også for dem som truer
sikkerheten. Spørsmålet er om vi klarer å
holde tritt med utviklingen og beskytte
våre verdier.
Eksplisitte anbefalinger er gitt i rapporten fra 22. juli-kommisjonen, som vil
kunne utvikle læringskulturen i etatene.
Justisdepartementet har gitt kort høringsfrist på rapporten – det er et signal om at
det haster!
Det var enighet om at det er viktig at
kritikerne sier fra ”høyt og tydelig”, at
en er fremadskuende, og at det settes
fokus på tiltak og forbedring. Hvis dette
kommer på plass, kan vi tillate oss en
forsiktig optimisme for fremtiden.
Ø v ri g s t o f f
Prosjektrevisjon
–
Hvordan kan prosjektrevisjon øke mulighetene for at prosjektet
lykkes i å nå sine målsettinger?
Arve Rafteseth,
partner, Deloitte
Janne Britt Saltkjel,
senior manager,
Deloitte
Prosjekter er ofte forbundet med nybrottsarbeid, utvikling, endring og ny
læring, og krever således spesielle ferdigheter eller kompetanse. I motsetning til løpende kjerneprosesser, som utvikles og forbedres over tid,
skal prosjekter lykkes «på første forsøk». Dette medfører en betydelig
risiko; undersøkelser viser at over 2/3 av større prosjekter ikke lykkes
i å nå målsettinger eller møte forventninger. Hvordan kan revisjon av
prosjektet bidra til vellykkede prosjekter?
«Prosjekt» er et svært vidt begrep, men
betegner typisk midlertidige, planmessige aktiviteter for å gjennomføre
en vurdering eller endring, med klare
målsettinger, tidsplaner og organisering.
De fleste virksomheter har flere
prosjekter gående på samme tid.
Risikoen korrelerer med prosjektets
størrelse og kompleksitet, og kan også få
negative konsekvenser for interessenter,
områder og målkategorier utenfor prosjektet. Mislykkede prosjekter og dårlig
styrte prosjektporteføljer, kan således
koste virksomheten dyrt, i form av feilslått ressursbruk, ineffektivitet, dårlig
kvalitet i leveranser til kundene, stress
og friksjon mellom medarbeidere samt
tap av renommé. Ut i fra et risikoståsted
bør derfor prosjektrevisjon inngå i
internrevisjonens årsplan og utføres i
tråd med IIAs standarder for internrevisjon.
Risikoer i prosjekter og hvordan
revidere dem
Selv om prosjekter kan være av svært
forskjellig karakter og størrelse, er det
noen grunnleggende elementer ved
prosjektstyringen som er felles for alle.
Disse kan danne et utgangspunkt for
risikovurdering og definisjon av
revisjonskriterier.
•
•
•
1. Overordnet organisering og prosjektstyringsstruktur
En effektiv prosjektstyringsstruktur er
ryggraden i et vellykket prosjekt.
Fundamentalt for god prosjektstyring er
prosjektets mandat – en realistisk tidsplan med hensiktsmessig detaljnivå, samt
klar organisering med prosjektleder,
eventuelle delprosjektledere, deltakere,
styringsgruppe og ev. spesialistgruppe og
referansegruppe. Etter vår erfaring er de
vanligste prosjektstyringsrisikoene:
• Utilfredsstillende definisjon av
prosjektets formål/scope, krav og
forventninger, som kan medføre at
prosjektet ikke klarer å realisere
ønskede resultater og mål.
• Utilstrekkelig kommunikasjon med
interessenter, som kan føre til
manglende engasjement, og påvirke
prosjektleveransen negativt.
Utilstrekkelig definisjon av tidsramme, ressursbehov og avhengigheter, som kan resultere i forsinkelser
og budsjettoverskridelser.
Svak styring av tredjeparter og
underleverandører og uklar definisjon
av roller og ansvar, som kan føre til
tvister, uenigheter og forsinkelser.
Manglende kontroll på endringer i
rammebetingelser og forretningsmessig utvikling, som kan føre til at
prosjektet eller programmet leverer
en utdatert løsning.
For å avdekke svakheter eller bekrefte
styrker i prosjektstyringen, kan en egnet
tilnærming være å gjennomgå prosjektets
- formål
- tidsramme og tidsplan
- kostnadsestimat
- ressurstilgang
- kommunikasjon
- anskaffelser
- metode for styring av risikoer
- metode for kvalitetssikring
Både risikobildet og andre forhold ved
virksomheten eller rammebetingelsene
som kan påvirke prosjektets risikoer, bør
vurderes kontinuerlig gjennom hele
prosjektsyklusen. Dette kan dreie seg om
f.eks. viktig prosjektstøtte, samarbeid
med eller hensyn til interessenter, tilpasning til den øvrige prosjektporteføljen,
samt virksomhetens forretningsrisiko og
bedriftskultur. En tidlig gjennomgang av
styringsstrukturen kan gi klare indikatorer
på potensiell prosjektrisiko.
☞
SIRK nr 2. 2012
37
Ø v ri g s t o f f
2. Økonomi: Kostnadskontroll og
fremdrift
Økonomisk styring er kritisk for mange
prosjekter. Et svakt definert business
case og urealistisk estimering av kostnader og gevinster kan ødelegge for et
prosjekt fra starten, mens svak budsjettkontroll kan føre til galopperende
kostnader gjennom prosjektets levetid.
Revisjon av de økonomiske styringsparameterne kan identifisere forhold som
potensielt kan ødelegge et prosjekt.
Vanlige prosjektstyringsrisikoer er etter
vår erfaring:
• Dårlig definerte business cases med
ufullstendige eller urealistiske kostnader og verdivurderinger, som fører
til uriktige investeringsbeslutninger
av ledelsen.
• Uklar eller unøyaktig kalkulering av
gevinster, som fører til suboptimale
investeringer og et prosjekt som
verken vil nå sine mål eller få anerkjennelse for oppnådde resultater.
• Begrenset forståelse for prosjektets
helhetlige, finansielle risiko, og/eller
de ulike tilnærmingene til styring av
disse, som igjen kan føre til mangelfullt beslutningsgrunnlag, misforstått
risikotoleranse, feildimensjonerte
avsetninger og uventede kostnader.
• Dårlig budsjettstyring og svak
kobling til ressursstyring og endringsledelse, som fører til galopperende
kostnader og store overskridelser.
For å fange opp risikoene og forbedre økonomisk styring, kan prosjektrevisjonen:
• Vurdere om business case har
realistiske og fullstendige kostnadsog verdivurderinger, og hvorvidt
erklærte gevinster er oppnåelige.
• Vurdere prosjektets eksisterende
prosesser og kontroller for økonomisk styring, og gi pragmatiske
anbefalinger for hvordan styrke
kostnadskontroll, transparens og
sammenheng med andre disipliner i
prosjektstyringsstrukturen.
• Analysere prosjektets budsjett og
resultat, for å vurdere hvordan man
ligger an i målsetting eventuelt
identifisere forhold som bør håndteres
• Bruke kvantitative analyser til å
estimere prosjektets finansielle
eksponering og gevinstene ved
risikoreduserende tiltak, for å sikre at
viktige interessenter har pålitelig
informasjon om potensielle kostnader.
38
SIRK nr 2. 2012
3. Testing/feilsøking/kvalitetssikring
Testing er en kritisk fase for mange
prosjekter; dette kan gjelde software og
IT-systemer, så vel som prosesser og
verktøy. Utilstrekkelig testing kan medføre vesentlige feil i ferdig utviklet produkt eller tjeneste, uhensiktsmessige og
ineffektive prosesser eller verktøy som
ikke lar seg implementere. Resultatet er
prosjekter som ikke oppfyller sitt mandat
og heller fører til slitasje på organisasjonen. Gjennomgang av de kritiske
testfasene i god tid kan identifisere
mulige problemer før det er for sent og
bidra til å sikre at prosjektet skaper verdi.
Etter vår erfaring er de mest vanlige
prosjektstyringsrisikoene at:
• Brukere blir for lite eller for sent
involvert i testprosessene, som kan
føre til at systemet ikke møter
brukernes behov.
• Testfasene er komprimert, kombinert
eller overlappende med utvikling
eller utrulling.
• Ikke-spesialisert personell styrer
testingen og gjennomfører uformelle
testprosesser. Dette kan resultere i at
systemet tas i bruk med vesentlige
svakheter.
• Testdata er utilstrekkelig, og kvaliteten i selve testingen blir for dårlig,
slik at systemet settes i drift med
signifikante svakheter.
Alle de ovennevnte prosjektstyringsrisikoene kan resultere i at systemer
settes i drift med betydelige svakheter.
En prosjektrevisjon bør ta utgangspunkt i
anerkjente metoder og rammeverk for
testing, planlegging, gjennomføring,
implementering, rapportering og oppfølging. Denne metodikken kan anvendes
helt eller delvis, avhengig av prosjektets
karakter og prosjektrevisjonens formål.
4. Prosesser
Prosjekter kan medføre store endringer i
en virksomhets prosesser, enten midlertidig, i overgangsfaser, eller mer
permanent som et direkte resultat av
effektiviseringsprosjekter. Ved å revidere
prosessene kan utfordringer eller
kontrollsvakheter identifiseres og rettes
opp før prosessene rulles ut.
Etter vår erfaring, er typiske risikoer i
forbindelse med utforming og implementering av nye forretningsprosesser at:
•
•
•
•
Midlertidige og/eller manuelle tilpasninger og løsninger, ment for
overgangsfaser, blir værende tross
manglende egnethet og kontroll.
Mangel på hensyn til oppstrømseller nedstrømsprosesser, kan føre til
problemer eller sammenbrudd i
prosessflyten.
Mangel på hensyn til konsekvensene
for nye prosesser og kontrollrammeverket, kan føre til brudd på lover og
regler, samt økt risiko for misligheter.
Mangel på ledelsens forståelse av
støtte til transformasjonsprosjekter,
kan føre til at eventuell motstand mot
endring ikke håndteres på en konstruktiv måte.
En prosjektrevisjon kan f.eks. innebære:
• Vurdering av hvorvidt forslag til nye
eller endrede prosesser er egnet for
formålet. Vurderingen kan også ha
spesielle fokus, f.eks. om prosessens
utforming bidrar til å sikre etterlevelse av regulatoriske krav.
• Gjennomgang av kommende eller
gjeldende overgangsfaser for å
identifisere mulige svakheter og
pragmatiske løsninger.
• Bekreftelse på at prosessendringene
er forankret i virksomhetens strategiske mål og bidrar til at disse nås.
5. Implementering/operasjonalisering/
lansering
Endringer har en iboende risiko for å
feile, og konsekvensene av at det går galt
øker i takt med størrelsen på prosjektet
og kompleksiteten i å iverksette det (“Go
Live”). En gjennomgang før iverksetting
kan gi bekreftelse og således trygghet for
at overgangen/cutover er tilfredsstillende
planlagt, og identifisere risikoer som kan
true en vellykket implementering.
Det er en rekke kritiske risikoer i lanseringsfasen:
• Utilstrekkelig eller mangelfull testing
av en tilbaketrekningsstrategi, i tilfelle det blir nødvendig, kan føre til
at forretningskritiske prosesser bryter
sammen, med direkte konsekvenser
for kunder, brukere, ansatte eller
andre interessenter.
• Mangel på koordinering av testing i
forretningsprosessene kan resultere i
følgefeil forårsaket av avhengigheter
mellom teknologi, personer og prosesser, som gjør at forretningsprosessene
risikerer å bryte sammen ved lansering.
Ø v ri g s t o f f
•
•
Utilstrekkelig testing eller generalprøve (dry run) ved
datamigrasjon/overføring kan påvirke
datakvalitet og -integritet, med
konsekvenser for forretningskritiske
prosesser, samt inntekter og
resultater.
Mangel på komplette overgangsplaner fra prosjekt til støtteaktiviteter
for vanlig drift, er forbundet med
risiko for brist i prosessene etter
lansering selv om lanseringen i seg
selv var vellykket.
Bekreftelse på at klargjørings- og overgangsplaner (operational readiness plan)
er robuste før lansering og cutoff
reduserer risikoen betydelig. Det kan
f.eks. være aktuelt å innhente teknisk
bistand etter behov for å oppnå en slik
bekreftelse. Ut i fra denne fasens kritiske
betydning, vil vi anbefale en koordinert
tilnærming ved revisjon av denne.
Fokusområder kan være gjennomgang
og evaluering av:
• Prosedyrer for tilbaketrekning og
krisehåndtering ved feilet lansering.
• Styring av cutover-prosessene,
inkludert egnetheten ved MI,
kommunikasjonsstrategien og
beslutningsprosessen for lansering.
• Egnetheten i prosjektets metode for
klargjøring, datamigrasjon og
lansering.
• Opplegg for ledelse og opplæring av
medarbeidere gjennom overgangsfasen.
Gitt viktigheten av “Dag 1”, kan det
være aktuelt å søke sterkere bekreftelse
enn vanlig, som å:
• Foreta sanntidsøvelser av forretningsprosesser i et «offline»-modus, for å
sikre at virksomheten er klar.
• Simulere realistiske scenarier med
flere hendelser som inntreffer
samtidig, inkludert sjokktest (uforutsigbare risikoer uten kriseplaner).
til menneskelige faktorer, i store
prosjekter kan være:
• Ineffektiv kommunikasjonsstrategi
som verken engasjerer eller mobiliserer de ansatte. Dette kan føre til
demotiverte og utrygge ansatte.
• At ulikheter i arbeidskulturer eller
arbeidsformer når enheter eller
organisasjoner blir slått sammen ikke
blir vurdert, hensyntatt eller tilfredsstillende håndtert. Dette kan medføre
vedvarende «de og oss» holdninger
og konflikter mellom to leire
• Mangel på strukturert kartlegging av
kompetanse- og kapasitetskrav for
nye enheter eller miljøer, som kan
føre til at ledelsen undervurderer
ressurs- og innsatsbehovet for opplæring og tilpasning til nye forhold.
• Manglende hensyn til lover og
forskrifter, som kan føre til brudd på
f.eks. arbeidsmiljøloven, med fare for
rettslige konsekvenser og skade på
omdømme.
Der gjennomføring av et prosjekt
avhenger av aksept og involvering av
medarbeidere, bør revisjonen fokusere på
prosjektets endringsledelse, og revisjonsteamet anbefales å fokusere på kritiske
konsekvenser for ansatte, brukere og
kunder.
7. Datamigrasjon
Datamigrasjon er ofte en kritisk del av et
prosjekt; spesielt ved systemimplementeringer. En omfattende evaluering av
denne fasen kan avdekke kritiske forhold
før en migrasjon, og bidra til at man
unngår krevende og kostbart arbeid med
å gjenopprette eller korrigere ubrukelige
eller ufullstendige data. De vanligste
risikoene etter vår erfaring, er:
•
•
•
•
En teknisk drevet tilnærming som
ikke i tilstrekkelig grad hensyntar
forretningsprosessenes behov og krav
til kvaliteten i dataene som migreres.
Dette kan gjøre dataene ubrukelige
for virksomheten.
Manglende vasking av data før
migrasjon, som kan ramme datakvaliteten.
Tidspress ødelegger muligheten for å
kjøre full migrasjonstesting i forkant,
og kan føre til mislykket migrasjon.
Rutiner for avstemming og kvalitetssikring er mangelfulle, og fører til
dårlig datakvalitet.
Datamigrasjon er et delprosjekt, og når
det skal revideres kan revisjonsteamet ta
utgangspunkt i datamigrasjonsstrategi,
og planlegging, metoder og ressurser for
risikokartlegging. Det vil også være
naturlig å gjennomgå virksomhetens
klargjøring for lansering/cutover.
Eksempel
En prosjektrevisjon kan vektlegge alle
eller noen av ovenstående punkter,
avhengig av hvilke risikoer som anses
som mest vesentlig og hvor i syklusen
prosjektet er. En anerkjent tilnærming er
å speile prosjektets egen struktur.
Dette gir gjennomganger tilpasset
prosjektets egen livssyklus, raskt fokus
på de enkelte nøkkelområdene og
fordypning i underliggende risikoer.
Figuren under viser hvor det kan være
aktuelt å undersøke og teste de ulike
elementene.
☞
Prosjektrevisjon
6. Menneskelige faktorer – ansatte,
brukere eller kunder
Prosjekter kan ofte ha stor betydning for
vanlig drift og stab, men påfølgende
endringer og reaksjoner blir ofte
ignorert. Negative reaksjoner til et
prosjekt kan påvirke prosjektets muligheter for å lykkes, men en tidlig plan for
endringsledelse kan avdekke risikoer før
det er for sent. Vanlige risikoer, knyttet
SIRK nr 2. 2012
39
Ø v ri g s t o f f
Suksessfaktorer for hensiktsmessig og
effektiv prosjektrevisjon
Til forskjell fra revisjon av vanlige
driftsprosesser, er tidsbruk helt kritisk
for prosjektrevisjon. Risikobildet endrer
seg med prosjektets fremdrift, og en
standard rapporteringssyklus kan fort gi
utdaterte observasjoner og anbefalinger,
som da ikke kommer til nytte. Det har
ofte vært en utfordring for internrevisjoner å balansere kravet til hurtighet mot
kravet til grundighet og etterlevelse av
standardene. Enda vanskeligere blir det
når prosjektrevisjon misoppfattes, og
gjennomføres over samme lest som
internrevisjon av vanlige driftsprosesser.
Internrevisorer har lang erfaring med
standard internrevisjoner og metodikk
tilpasset slike, men gjerne liten erfaring
med prosjekter og ingen metodikk tilpasset prosjektrevisjoner. For å takle disse
utfordringene og håndtere prosjektrisikoer, må internrevisjonen vektlegge:
• Kompetansesammensetning
• Hurtighet
• Fleksibilitet
For tilfredsstillende prosjektrevisjon bør
internrevisjonen vurdere behovet for
spisskompetanse i det enkelte prosjekt i
henhold til IIAs STD 1210. Generelt bør
prosjektrevisjonsteamet ha:
• Erfaring med prosjekt- og/eller programledelse (gjerne erfaring med
standard prosjektmetodikk som
Prince 2, PMI og PMBok)
• Kompetanse på risikostyring og
internkontroll
• Bransjeerfaring er en fordel
• Gode kommunikasjonsferdigheter
• Evne til holistisk tilnærming
En teamsammensetning som inneholder
både medlemmer med tung og relevant
prosjektledererfaring og medlemmer
med kompetanse på risiko, kontroll og
internrevisjon, gir det beste utgangspunktet for en nyttig prosjektrevisjon.
Som nevnt kan det også være aktuelt å
benytte spisskompetanse innen spesielle
områder, f.eks. teknisk ekspertise ved
evaluering av plan for datamigrasjon,
eksperter på endringsledelse ved implementering og involvering av ansatte mv.
Mangel på prosjekterfaring i internrevisjonen kan kompenseres ved innleie av
ekstern ekspertise, opplæring eller mobilisering av eksperter fra andre deler av
organisasjonen, som ikke selv er delaktig
i prosjektet som revideres.
Hurtighet og fleksibilitet kan innarbeides
i prosjektrevisjonsspesifikk metodikk.
Eksempelvis bør rapporteringen tilpasses
prosjektets syklus for å sikre at observasjoner og forbedringsforslag raskt kommuniseres til interessenter, og før nøkkelbeslutninger treffes. Forkortede rapporteringslinjer, f.eks. ved direkte dialog
med prosjektleder istedenfor via linjeleder, der fokuset holdes på svakheter og
pragmatiske anbefalinger, kan bidra til
endring før kritiske beslutninger er truffet og prosjektets leveranse er rammet.
God prosjektrevisjon kan således spare
virksomheten for store tap.
Innføring i internrevisjon
På denne dagen vil du få en innføring i internrevisors roller og ansvar, begrepsavklaringer og
definisjoner, samt hvilke etiske regler og hvilke krav som ligger i internrevisjonens standarder.
Formål med kurset:
Vedlikeholdspoeng (CPE):
Gi deltagerne de nødvendige grunnkunnskaper i internrevisjon
gjennom introduksjon til internrevisjonens rammeverk, spesielt
rettet mot de obligatoriske delene. Innholdet i kurset er nødvendig basiskunnskaper for øvrige kurs.
Gjennomføring av kurset gir 8 CPE-poeng for CIA, CCSA,
CGAP, CFSA, CRMA og Diplomert Intern Revisor.
Kurset dekker følgende:
- Internrevisjon – roller og ansvar, definisjoner og avgrensninger, eksempler
- Governance: Hva ligger i begrepet og hvorfor er dette
relevant for oss
- Internkontroll
- Risikostyring
- De etiske reglene
- De faglige standardene
- Veien videre; utdanning, diplomering og sertifisering
Hvem kurset er beregnet på:
Nyutdannede, personer som er nye i internrevisjonen, internrevisorer som ønsker oppfriskning av basiskunnskaper, ansatte i
stabsfunksjoner eller andre som ønsker mer informasjon om
hvilken nytteverdi internrevisjonen kan bidra med.
Krav til forkunnskaper:
Ingen.
40
SIRK nr 2. 2012
Pris:
Medlemmer kr 3 500
Ikke-medlemmer kr 3 800
Tid: 6. februar 2013, 09.00 – 17.00
Sted: Bjørvika Konferansesenter, Oslo
Forelesere:
Ellen Brataas (CIA, CRMA, CISA), generalsekretær i NIRF
Karl-Ludvig Mauland (siviløkonom), direktør BDO
Påmelding:
www.iia.no eller telefon 932 37 912
Intervjuteknikk
www.iia.no
Hvordan få de beskjedne til å snakke? Hvordan få menn
med makt til å svare ærlig? Hvordan få svar med innhold
som kan brukes? Dette og mer får du svar på i kurset
INTERVJUTEKNIKK som gjennom en kombinasjon av
teori, eksempler, analyser og flere praktiske øvelser fra
deltakernes virkelighet skal bevisstgjøre intervjuere.
Kurset holdes av den erfarne kompetansesjefen og
programutvikleren i NRK, Brynjulf Handgaard.
Formål med kurset:
Forberedelser:
Målet er enkelt sagt å vise hvordan man kan bli
bedre til å intervjue mennesker. Gjennom kurset
får deltakerne en forståelse for hva som skal til for
å beherske intervjusituasjonen, forberede og ta
kontroll over intervjuet og på den måten tilegne
seg relevant viten på en effektiv og formålstjenlig
måte i en revisjon. Det finnes ingen fasit på hvordan man gjennomfører et godt intervju, men kurset
gir deltakerne innsikt i en utprøvd metodikk og
hvordan den kan anvendes i praksis. Kurset tar for
seg intervjuet som sjanger, hvordan en stiller de
gode enkeltspørsmålene, hvordan en hindrer
avsporinger eller ufrivillige sporskifter og hvordan
en bestemmer mål og strategi for intervjuet.
For at kurset skal oppleves som praktisk og reelt vil casene
være basert på deltakernes anonymiserte eksempler og
opplevde situasjoner. Kontroversielle enkeltspørsmål som
opptar deltakerne for tiden, temaer som alle har et forhold til
vil også være utgangspunkt for øvelser.
Kurset dekker:
Gjennomføring av kurset gir 14 CPE-poeng for CIA, CCSA,
CGAP, CFSA og Diplomert Intern Revisor.
Intervjuet er et håndverk som kan læres. Ved å
tilegne seg den metodikken og de verktøyene som
blir presentert, har de fleste gode muligheter til å
bli mer bevisste intervjuere, Hvis metoden og
rådene systematisk følges opp i praksis, er det også
store muligheter for at kursdeltakerne blir bedre
intervjuere.
Hvem kurset egner seg for:
Alle som til tider befinner seg i en intervjusituasjon.
Krav til forkunnskaper:
Ingen, men det er en fordel å ha vært igjennom intervjusituasjon tidligere.
Vedlikeholdspoeng:
Pris:
Medlemmer: kr 6 900
Ikke-medlemmer: kr. 7 500
Tid: 3. og 4. april 2013, 09.00 – 16.00 begge dager
Sted: Bjørvika Konferansesenter, Oslo
Dag 1:
Intervjuet som arbeidsverktøy
Aktører, ressurser, ferdigheter og faser
Enkeltspørsmålene
- feiltrinn du bør unngå
- fem sikre steg i dansen
Dag 2:
Foreleser:
Brynjulf Handgaard, kompetansesjef og programutvikler i
NRK
Påmelding:
www.iia.no eller telefon 932 37 912
Strategi
Lytting, fokusering og oppfølging
Målformuleringer og planlegging
SIRK nr 2. 2012
41
Ø v ri g s t o f f
Internrevisjon av utkontrakterte
sentrale prosesser
– Med utgangspunkt i eksempel fra forsikringsbransjen
Av Olesya Makarova, Kristian Dekke Loeberg og Eivind Skaug, Deloitte
Makarova
Dekke Loeberg
Skaug
RISIKOSTYRING OG INTERNKONTROLL VED UTKONTRAKTERING
AV DELER AV VIRKSOMHET
Styret og daglig leder i forsikringsselskap
har ansvar for å etablere god risikostyring
og internkontroll i foretaket i følge aksjeloven/allmennaksjeloven og Forskrift om
risikostyring og internkontroll. Jamfør § 5
av forskriften gjelder ansvaret også der
deler av virksomheten er utkontraktert.
Utkontraktering av deler av en virksomhet fratar derfor ikke styret og daglig
leder for ansvaret med å påse at internkontroll knyttet til de utkontrakterte
prosessene er hensiktsmessig og fungerer
måleffektivt.
Det er flere fordeler med utkontraktering,
for eksempel gir det en god arbeidsdeling
og uavhengighet mellom funksjoner
samtidig som man får tilgang til spesialkompetanse. Videre reduserer utkontraktering risikoen på noen områder. Men
utkontraktering gir også noen nye
operasjonelle risikoer. Det er blant annet
risiko for uklare ansvarsgrenser og man
blir direkte eksponert for kvaliteten i den
interne styring og kontroll hos serviceorganisasjonen.
Eksempler på funksjoner som er vanlig å
utkontraktere i forsikringsselskaper og
pensjonsforetak er salgsavdeling, saksbehandlingsavdeling, administrasjon av
pensjons inn- og utbetalinger, kapitalforvaltning, aktuartjenester, regnskapstjenester, drift og vedlikehold av IT systemer.
1
2
42
Utkontraktering innebærer å overføre deler av eller hele prosesser til en
serviceorganisasjon. Dette får konsekvenser for risikostyring og kontroll
hos selskapet og denne artikkelen tar for seg problemstillinger som internrevisor må forholde seg til dersom et forsikringsselskap har utkontraktert
deler av sine prosesser til serviceorganisasjoner. Problemstillinger og
eksempler som presenteres i denne artikkelen vil derfor primært være
relatert til forsikringsbransjen, men problemstillingene som belyses har
også overføringsverdi til andre bransjer.
Ved beslutning om utkontraktering, har
ledelsen i forsikringsforetaket ansvaret
for utkontrakteringsprosessen. De vurderinger som må gjøres kan oppsummeres i
følgende figur:
Serviceorganisasjon
Risiko
Ledelsen bør ha identifisert hvilke
risikoer som overføres til serviceorganisasjonen. Disse risikoene er
ofte de samme risikoene som ville
vært tilstede dersom prosessen var
utført av selskapet selv.
Ledelsen bør identifisere hvilke
nye risikoer selskapet blir eksponert for ved å utkontraktere en
funksjon eller prosess.
Tiltak
Det bør fremgå av avtalen mellom
forsikringsselskapet og serviceorganisasjonen hvordan overførte
risikoer skal håndteres. De kontrollene
som identifiseres som viktige for å
sikre en korrekt leveranse er det
naturlig at også forankres i avtalen.
Det bør implementeres rutiner og
kontroller hos forsikringsselskapet for å håndtere risikoene ved
utkontraktering.
Ledelsen må videre sørge for at det i
avtaleverket fremgår at forsikringsselskapet skal motta rapportering som
viser at implementerte kontroller er
etterlevd.
Når et forsikringsselskap har utkontraktert deler av sine prosesser til en eller
flere serviceorganisasjoner har dette også
innvirkning på internrevisjon og kan reise
en rekke problemstillinger og praktiske
utfordringer for revisor.
Serviceorganisasjonen som forsikringsselskaper utkontrakterer deler av sin
ISAE - International Standard on Assurance Engagements
SSAE - Statements on Standards for Attestation Engagements
SIRK nr 2. 2012
virksomhet til, kan velge å utarbeide
revisorbekreftede internkontrollrapporter
av type ISAE1 3402 «Attestasjonsuttalelser om kontroller hos en serviceorganisasjon» eller SSAE2 16 «Reporting
on controls at a serviceorganization».
Forsikringsselskap
Det bør videre implementeres
oppfølgingsprosedyrer og kontroller av serviceorganisasjonens
leveranse hos forsikringsselskapet for å kontrollere at
denne er i henhold til avtalen.
Omfang og angrepsvinkel i internrevisjon
av prosesser som er utkontraktert vil variere avhengig av om serviceorganisasjon
har utarbeidet ISAE 3402 / SSAE 16
rapportering eller ikke. Også forsikringsselskapets oppfølgingsprosedyrer vil
avhenge av hvorvidt en slik rapport
foreligger eller ikke.
Ø v ri g s t o f f
KVALITETEN PÅ UTKONTRAKTERINGSPROSESSER - hva internrevisjonen bør ha fokus på
God praksis for virksomhetsstyring og
internkontroll tilsier at det skal utarbeides
en egen policy for utkontraktering.
En slik policy dekker blant annet:
• Innholdet i de ulike delprosessene i en
utkontraktering,
• Prosedyrer for risikoanalyse før
utkontrakteringen gjøres samt løpende
risikoanalyse,
• Prosedyrer for due dilligence
(kvalitetskontroll),
• Innholdet i avtalen med serviceorganisasjonen,
• Hvordan implementeringen, oppfølgingen og styringen av utkontrakteringen skal gjennomføres
Internrevisor bør påse at risikoanalyse og
oppfølgingsprosedyrer er gjennomført,
samt vurdere om risikoanalyser og
oppfølgingsprosedyrer er tilstrekkelige,
hensiktsmessige og måleffektive.
Internrevisors oppgaver vil være å påse at
en slik policy foreligger, samt å vurdere
kvaliteten til innholdet i denne policyen.
Videre bør internrevisor kontrollere at
etterlevelse av denne policyen dokumenteres av selskapets ledelse.
1.
2.
3.
4.
5.
Forsikringsselskap er underlagt Forskrift
om risikostyring og intern kontroll og i
følge § 5 av forskriften skal det foreligge
en skriftlig avtale med serviceorganisasjonen for å sikre god risikostyring og
internkontroll i utkontrakterte deler av
virksomheten. Det understrekes også i
forskriften at avtalen må sikre at foretaket
gis rett til innsyn i og kontroll av den
utkontrakterte virksomheten. Disse
avtalene kalles ofte for «Service Level
Agreement» - eller SLA - og det er viktig
at disse er tilstrekkelig detaljert for å
forhindre misforståelser vedrørende
viktige kontrollaktiviteter, ansvar og
dokumentasjon.
Internrevisor bør kontrollere at det
foreligger SLA mellom selskapet og alle
serviceorganisasjoner som forsikringsselskapet har utkontraktert en del av sine
prosesser til. Det inngår også i internrevisors oppgave å vurdere innholdet i
disse avtalene.
Ledelsen i forsikringsselskapet skal
gjennomføre risikoanalyse før utkontraktering og oppdatere den løpende, minst en
gang per år. Det bør også være beskrevet
hvordan oppfølgingen og styringen av
utkontrakteringen skal gjennomføres.
Videre bør oppfølgingsprosesser
dokumenteres ved gjennomføring.
PRAKTISK TILNÆRMING –
RISIKOANALYSE, RAPPORTERING
OG OPPFØLGING VED UTKONTRAKTERING AV PROSESSER
Intern revisor bør vurdere selskapets
risikoanalyse av utkontrakterte deler av
virksomhet, rapportering fra serviceorganisasjon, samt selskapets oppfølging
av utkontrakterte prosesser. Vi vil nedenfor komme med eksempler på risikoer,
krav til rapportering og ledelsens oppfølgingsprosedyrer ved utkontraktering av
følgende prosesser:
salgsavdeling
saksbehandlingsavdeling
regnskapstjenester
kapitalforvaltning
aktuarfunksjon
1. Salgsavdeling
Salgsprosessen er en av de viktigste
prosessene i et forsikringsselskap og er
ofte utkontraktert. Ikke alle prosessene
innenfor salg kan utkontrakteres.
Ledelsen i forsikringsselskapet skal eie
alle viktige beslutninger knyttet til
produkt og premie, mens rent teknisk
salgsarbeid kan utkontrakteres. Det er
viktig at forsikringsselskapet har tydelige
retningslinjer for serviceorganisasjonen
for de oppgaver som er utkontraktert og
de krav som stilles til leveransen.
Risikoer og Rapportering
I tråd med standardene skal internrevisor
vurdere hvilke risikoer som er dekket av
selskapets risikoanalyse ved utkontraktering av salgsprosessen. Identifiserte
risikoer vil variere avhengig av om
serviceorganisasjonen har tilgang til
selskapets forsikringssystem eller bruker
sitt eget forsikringssystem. Følgende
risikoer kan være aktuelle:
• risiko for at serviceorganisasjonen ved
salg av poliser overstyrer premier
mottatt fra forsikringsselskapet
• risiko for at serviceorganisasjonen
ikke følger forsikringsselskapets retningslinjer for kundeseleksjon
• risiko for manglende kompetanse hos
serviceorganisasjonen om premier og
produkter
•
•
risiko for at serviceorganisasjonen ikke
følger opp innbetalinger fra kunde
risiko for uautorisert tilgang til forsikringssystem hos serviceorganisasjon
Internrevisor bør innhente rapportering
fra serviceorganisasjon og kontrollere at
den er egnet for å dekke forhold i risikoanalysen til forsikringsselskapet.
Oppfølgingsprosedyrer
Internrevisor bør kontrollere at forsikringsselskapet har etablert prosedyrer for
oppfølging av arbeid i salgsavdelingen
som er utkontraktert.
Løpende analyser av utvikling i bestand
som presenteres til ledelsen i forsikringsselskapet kan være et effektivt verktøy for
oppfølging av salgsarbeid. Internrevisors
oppgave er å forstå selskapets analyser og
påse om disse analysene er måleffektive.
Det er viktig at analysene er detaljerte og
ikke begrenset til en enkel utvikling i
total bestand fra måned til måned.
Utvikling i bestand bør minst følges opp
på produktnivå. Ut fra sine retningslinjer
for kundeseleksjon og premier har forsikringsselskapet en forventning til hvordan
dets kundeportefølje skal se ut. Hvis
faktisk kundeportefølje avviker fra
selskapets forventninger vil det slå ut i
bestandsanalyser og kreve nærmere
undersøkelse.
Ledelsen i forsikringsselskapet bør også
utføre løpende vurderinger av kompetansen i salgsleddene og dokumentere
disse vurderingene skriftlig.
Videre bør forsikringsselskapet for
eksempel etablere overordnede oppfølgingsrutiner av forfalt, ikke betalte
premier, utsendelse av purringer og eventuell kansellering av polise. Overordnede
analyser av misligholdsportefølje kan
være et godt eksempel på selskapets
oppfølgingstiltak.
2. Saksbehandlingsavdeling
For saksbehandlingsavdeling ser vi ofte
at pensjonskasser utkontrakterer hele
pensjonsadministrasjon, inkludert utbetalinger av pensjoner. Utenlandske forsikringsselskaper som selger forsikringer
i det norske markedet gjennom forsikringsagenter, kan også ha behov for
utkontraktering av skadeoppgjør knyttet
til norske poliser.
☞
SIRK nr 2. 2012
43
Ø v ri g s t o f f
Risikoer og Rapportering
Internrevisor bør gjennomgå selskapets
risikoanalyse knyttet til utkontraktering
av saksbehandlingsavdeling.
Risikoanalyse vil ofte omfatte risiko for
at serviceorganisasjon gjør feil utbetalinger på vegne av forsikringsselskap (feil
beløp, feil mottaker, feil dekning) og
risiko for at serviceorganisasjonen gjør
feil i RBNS-avsetning3.
Internrevisor velger ofte å foreta stikkprøvekontroll av utbetalinger og RBNSavsetninger i forsikringsselskap. Revisjon
av utbetalinger bør gjennomføres i like
stor grad når prosessen er utkontraktert.
Avtalen med serviceorganisasjonen bør
være utformet slik at internrevisor får
adgang til å utføre revisjon av utbetalinger og RBNS-avsetninger i serviceorganisasjonen.
Internrevisor bør innhente rapportering
fra serviceorganisasjonen og vurdere
hvorvidt rapporteringen dekker de identifiserte risikoene i ledelsens risikoanalyse.
3. Regnskapstjenester
Flere forsikringsselskaper velger å utkontraktere regnskapsfunksjon til et autorisert regnskapsførerselskap.
Rapporteringen kan inneholde følgende:
• bekreftelse på at serviceorganisasjonen
følger avtalte dokumentasjonskrav i
saksbehandlingsmapper
• bekreftelse på at forsikringsselskapets
retningslinjer for verdivurdering av
skader følges
• rapport fra serviceorganisasjon på
utført revisjon av behandlede saker
• bekreftelse på utførte reguleringer
• rapport for saksbehandlingstid og lister
over saker under behandling
• beskrivelse av fullmaktsnivåer for
godkjenning av utbetalinger
• bekreftelse på at forsikringsselskapets
retningslinjer for beregning av RBNSavsetninger følges, samt dato for siste
gjennomgang av disse.
I følge IIAs utøvelsesstandard 2110 og
2120 skal internrevisor evaluere selskapets risikoeksponering, samt tilstrekkeligheten, effektiviteten og hensiktsmessigheten av styrings- og kontrolltiltak
knyttet til påliteligheten og integriteten av
økonomisk og driftsmessig informasjon.
Ekstern revisor ser på prosesser og
kontroller knyttet til årsavslutningsrapporteringen. Internrevisor bør vurdere
prosesser og kontroller knyttet til regnskapsrapporteringen gjennom hele året.
Oppfølgingsprosedyrer
Internrevisors kartlegging og vurdering av
oppfølgingstiltak som forsikringsselskapet
har etablert for å sikre at instrukser og
fullmakter etterleves i serviceorganisasjon, bør først og fremst påse at ledelsen i
forsikringsselskapet analyserer løpende
utvikling i sine utbetalinger og RBNSavsetninger. Igjen er det viktig at disse
analysene er detaljerte nok. Gode analyser
vil avdekke eventuelle systematiske feil i
saksbehandling. Internrevisor vil også
vurdere kvaliteten i ledelsens analyser.
Selskapets oppfølging av RBNSavsetninger med serviceorganisasjonen er
like viktig. Her kan forsikringsselskapet
etablere løpende (minst kvartalsvis) møter
med serviceorganisasjonen hvor man
gjennomgår RBNS-avsetningene.
Internrevisor vil kontrollere at møteplasser mellom forsikringsselskap og
serviceorganisasjon er fastsatt, og at
møtearbeidet er dokumentert.
Risikoer og Rapportering
Internrevisor vil igjen vurdere kvalitet av
selskapets risikoanalyse ved utkontraktering av regnskapstjenester. Mange risikoer forbindes med regnskapsprosess, men
de kan oppsummeres som risiko for feil
eller mangelfull rapportering til forsikringsselskapet, Finanstilsynet, regnskapsregister eller skattemyndigheter.
Forsikringsselskap, i samarbeid med
regnskapsbyrået, bør etablere retningslinjer for ansvarsfordeling og løpende
rapportering. Internrevisor må vurdere
om arbeidsdeling og ansvarsfordeling er
tilstrekkelig og om det vil bidra til
produksjon av pålitelig økonomisk informasjon gjennom året. Videre bør intern
revisor vurdere kvalitet i rapportering fra
serviceorganisasjonen til forsikringsselskapet og offentlige organer.
Er rapportering tidsriktig og ajour?
Oppfølgingsprosedyrer
Når ledelsens risikoanalyse og rapportering fra serviceorganisasjon er vurdert,
kan internrevisor gå over til neste spørsmål om selskapets oppfølging av regnskapsbyrået. Analyse av regnskapstall er
et effektivt verktøy for å følge opp regn-
3
RBNS-avsetning (reported, but not settled) er et estimat for skader som er meldt inn,
men ikke gjort opp enda.
44
SIRK nr 2. 2012
skapsførerselskapet. Vesentlige feil i
regnskapet vil slå ut i månedlige analyser
til ledelsen i forsikringsselskapet og vil
kreve nærmere undersøkelse.
Internrevisor vil også vurdere tilstrekkeligheten av ledelsens analyser.
Internrevisor vil også påse at forsikringsselskapet har innført rutiner for å kontrollere at serviceorganisasjonen utfører
rapportering til offentlige organer tidsriktig, samt at forsikringsselskapet
gjennomgår kvaliteten av rapporter.
4. Kapitalforvaltning
Forvaltning av investeringer er en av
kjerneprosessene i et forsikringsselskap.
For et forsikringsselskap er det en egen
forskrift selskapet må forholde seg til;
enten «Forskrift om skadeforsikringsselskapers kapitalforvaltning» eller
«Forskrift om livsforsikringsselskapers og
pensjonsforetaks kapitalforvaltning».
Disse forskriftene gir retningslinjer for
kapitalforvaltningen i et forsikringsselskap med blant annet organisering og
ansvarsforhold, styre- og ledelsesrapportering, samt uavhengig kontroll. Selskapet
har ansvaret for å etterleve disse og en
sentral oppgave for internrevisor vil være
å overvåke at selskapet har hensiktsmessige retningslinjer og rapporteringslinjer for å sikre dette. Ved utkontraktering kan dette medføre noen utfordringer
med tanke på at internrevisor vil ha
begrenset tilgang til informasjon, systemer og ansatte hos serviceorganisasjonen.
Risikoer og Rapportering
For å redusere risiko for at kapitalforvaltninger ikke utøves i tråd med
strategi og øvrige retningslinjer for forvaltningen, som også er utformet for å
sikre etterlevelse av forskrifter, bør
forsikringsselskapet motta rapportering på
etterlevelse. Rapporteringen bør være av
en slik art at det er mulig for forsikringsselskapet å etterprøve informasjonen.
Eksempler på dette kan være lister som
viser eksponering innenfor ulike aktiva
klasser, mandatoverholdelse, verdsettelser,
risikoanalyser og avkastningsmåling. Det
er naturlig at disse er forankret i avtalen
(SLA) med serviceorganisasjonen, og
internrevisor bør derfor gjennomgå avtalen
for å kontrollere at denne dekker de risikoer som styret og ledelsen har identifisert.
Videre bør internrevisor påse at det
finnes mekanismer i avtalen som sikrer
Ø v ri g s t o f f
rapportering av at retningslinjene er fulgt
og at eventuelle brudd rapporteres tidsriktig. Internrevisor bør vurdere hvorvidt
informasjonen som rapporteres er tilstrekkelig for å evaluere tjenesten eller det
er nødvendig å utføre kontroller, eller
revisjoner, hos serviceorganisasjonen.
Eksempler på kontroller det er naturlig å
rapportere, er etterlevelse av mandat,
beholdningsavstemning, verdsettelse,
risikoanalyser, skatt, grunnlag for kapitaldekning mv. Internrevisor bør vurdere,
som en del av kontrollen, å gjøre egne
tester på denne rapporteringen for å kunne
rapportere til styret at denne er riktig og
kan brukes som beslutningsgrunnlag for
forvalter, compliance eller regnskap.
og § 17. For mindre forsikringsselskap,
og spesielt pensjonskasser, er det vanlig å
utkontraktere denne funksjonen.
Aktuarens beregninger er til dels svært
komplekse og er delvis preget av skjønn.
Dette gjør kontrollen av aktuars leveranser krevende. Likevel bør selskapet og
internrevisor ha et forhold til denne informasjonen på lik linje med annen informasjon som brukes som grunnlag for styrets
og ledelsens beslutninger.
Risikoer og Rapportering
Selskapet bør i tråd med god governance,
ha retningslinjer for aktuars ansvarsområder som er nedfelt i avtalen med ansvarshavende aktuar. Avtale med ekstern aktuar bør blant annet inneholde retningslinjer
for å håndtere risikoen knyttet til uklar
ansvarsdeling, feilaktig bruk av prinsipper
for reservering og beregninger, feilaktig
bruk av tariffer og manglende etterlevelse
av lovpålagte krav etter forsikringsvirksomhetsloven. Avtalen bør inkludere forventet kvalitet på leveranse, samarbeidsmodell og type rapportering. Internrevisor
må evaluere og vurdere selskapets kontroller for å sikre at aktuars leveranse er i
henhold til avtalen. Dette bør være en del
av rapporteringen fra aktuar og som selskapet bør ha en jevnlig gjennomgang av.
Selskapet bør ha hensiktsmessige kontroller som sikrer at aktuar får all nødvendig
informasjon og at den er kvalitetssikret.
Selskapet er selv ansvarlig for å sikre at
aktuars beregninger er foretatt på riktig
grunnlag. Dette gjelder blant annet informasjon om tariffer, produkter og bestand.
Internrevisor bør derfor påse at det er
implementert kontroller underveis i hele
prosessen fra overlevering av grunnlagsdata til ferdig reservering mottas fra
aktuar. Det bør være et spesielt fokus på
områder hvor det er skjønnsmessige
vurderinger, slik som RBNS og IBNR,
og at disse er foretatt i samsvar med
retningslinjene fra styret og ledelsen. Det
bør også foreligge dokumentasjon som
beskriver vurderingene. Internrevisor må
Oppfølgingsprosedyrer
Internrevisor må vurdere om oppfølgingen av aktuarfunksjonen er effektiv og
hensiktsmessig og at den dekker de identifiserte risikoer. Selskapet bør gjøre egne
analyser og vurderinger knyttet til aktuarens leveranse. Som en del av oppfølgingen bør selskapet også ha analyser som
dokumenterer at aktuarens beregning er
utført på korrekt og fullstendig grunnlag.
Internrevisor bør også påse at selskapet
har rutiner for å gjennomgå og følge opp
aktuarens rapportering til Finanstilsynet.
HVORDAN ISAE 3402 / SSAE 16 VIL
PÅVIRKE INTERN REVISJON AV
UTKONTAKTERTE PROSESSER
– naturlige fokusområder for internrevisjonen dersom slik rapport
Internrevisor må videre påse at selskapet
foreligger
og serviceorganisasjonen har nødvendig
En serviceorganisasjon kan velge å utdokumentasjon for å etterleve reglene i forstede en rapport om foretakets tjenester.
skrift knyttet til risikostyring og kontroll.
En slik ISAE 3402 / SSAE 16-rapport er
en revisorbekreftet rapport som inneOppfølgingsprosedyrer
holder en beskrivelse av foretaket samt
Internrevisor bør kontrollere at rapportedets etablerte interne styring og kontroll.
ringen fra serviceorganisasjonen løpende
Beskrivelsen av den etablerte interne
følges opp av selskapet og at dette dokustyringen og kontrollen inneholder de
menteres. Oppfølgingen bør inkludere
overordnede målsetninger, samt de ulike
egne kontroller for å kvalitetssikre inforkontrollaktivitetene som utføres i foremasjonen som leveres. Dette kan gjøres
taket for å sikre at kontrollmålsetningene
ved å avstemme mottatt informasjon mot
overholdes. Foreligger en slik rapport må
informasjon fra tredjepart. Internrevisor
selskapet ha et forhold til om rapporten
bør vurdere om selskapet har tilstrekkedekker de tjenester som leveres og
lige rutiner for å sikre påliteligheten av
hvilken periode rapporten dekker. Finner
informasjonen samt at lover og regler
selskapet at rapporten dekker kontrolletterleves. Internrevisor må også evaluere
formålene så kan det medføre et mindre
om selskapets rapporteringslinjer av
behov for særskilt rapportering om foreinformasjon fra serviceorganisasjon til
takets kontroller knyttet til leveransen
styret er hensiktsmessige.
siden dette da er dekket av rapporten.
Internrevisor bør påse at selskapet har
Til slutt må internrevisor evaluere og
implementert kontroller og rutiner for å
rapportere til styret om selskapets system
vurdere om rapporten er hensiktsmessig å
for risikostyring knyttet til kapitalforvaltbruke for kontrollformål og at eventuelle
ningen er effektiv og hensiktsmessig.
avvik som fremkommer fra rapporten
følges opp. Internrevisor bør også påse at
5. Aktuarfunksjon
selskapet har prosedyrer på plass for å
Forsikringsselskap er pliktige til å ha
vurdere innholdet i rapporten og retningsaktuar, som har en svært sentral rolle i
linjer for hvordan avvik skal følges opp
selskapet. Aktuars ansvarsområder fremmot serviceorgakommer av «Forskrift om
ppsummert kan en slik rapport gjøre
nisasjonen.
aktuar». Det skilles
Internrevisor kan
mellom aktuar i skade- og
kontrollene med serviceorganisasjonen
også benytte
livsforsikringsselskap,
lettere, men den stiller krav til forsikrings- rapporten i sitt
men kort oppsummert har
selskapet om oppfølging av rapporten.
arbeid og
aktuar et selvstendig
dermed redusere
ansvar for de forsikringsbehovet for å
tekniske beregninger og at selskapet
gjøre særskilte kontroller hos
drives forsvarlig i tråd med
vurdere om det er behov for å gjøre
serviceorganisasjonen. Oppsummert kan
Forsikringsvirksomhetsloven.
kontroller hos aktuar for å få tilstrekkelig
en slik rapport gjøre kontrollene med
sikkerhet for at rapporteringen til selserviceorganisasjonen lettere, men den
Et forsikringsselskap kan velge om de
skapet blir korrekt. En del av denne
stiller samtidig krav til forsikringsansetter en egen aktuar eller om de vil
vurderingen bør inkludere aktuarens
selskapet om oppfølging av rapporten.
utkontraktere dette til et selskap jf. § 10
kompetanse og kontrollmiljø.
O
SIRK nr 2. 2012
45
Ø v ri g s t o f f
Kvinner i økonomisk kriminalitet
Av Petter Gottschalk, professor ved
Handelshøyskolen BI, tidligere administrerende direktør i ABB Datakabel og Norsk
Regnesentral
Vil du som internrevisor slå ned på økonomisk kriminalitet,
kan det være lurt å interessere seg mer for den kriminelle enn
for kriminaliteten. Den kriminelle kan ha atferd og motiver
som setter deg på sporet for en avsløring. Bevis skaffer du
underveis. Den kriminelle kan være både kvinne og mann, ofte
i ledelsen.
Siden 2009 har jeg registrert alle hvitsnippforbrytere som
omtales i Dagens Næringsliv, Finansavisen, Kapital og
Aftenposten. Databasen min vokser hver uke. Personvernombudet for forskning har konkludert med at samfunnsnytten
av min forskning overstiger personvernulempen for de
registrerte.
Nå har jeg kommet til 287 hvitsnippdømte. Det er 25 kvinner
og 262 menn. Altså mer enn 9 av 10 er menn. Om det gjenspeiler kriminalitetsfordelingen mellom kjønn, er slett ikke
sikkert. Andelen kvinner er over tid økende, etter hvert som
kvinner inntar posisjoner hvor hvitsnippkriminalitet er mulig.
Men oppdagelsesrisikoen for kvinner kan være lavere enn for
menn. Derfor har jeg laget en beregningsmodell som viser
overgangen fra 50 prosent kvinner i den norske befolkning til 6
prosent kvinner i norske fengsler. Modellen går fra behov, via
mulighet, motivasjon og rettferdiggjøring, til domsandel og
fengselsandel.
Motivasjon, mulighet og rettferdiggjøring/nøytralisering utgjør
den såkalte mislighetstrekanten.
Mulighet
Motivasjon
Rettferdiggjøring
Mislighetstrekanten for faktorer som påvirker hvitsnippkriminalitet
46
SIRK nr 2. 2012
Her er det klare kjønnsforskjeller, men hvilke er likevel uklart.
Født sånn eller blitt sånn, for eksempel. Kvinner har ikke
samme mulighet som menn til å begå hvitsnippkriminalitet,
dvs. kriminalitet i kraft av posisjon, tillit og nettverk. Når det
gjelder motivasjon, har det vært en gjengs oppfatning at nød
og omsorg er motivasjon hos kvinner, mens grådighet og status
er motivasjon hos menn. Denne oppfatningen går ut på at
kvinners vinningskriminalitet handler om typisk fattigdomskriminalitet som simpelt tyveri, naskeri, trygdemisbruk og
annen type tradisjonell overlevelseskriminalitet.
Rettferdiggjøring handler om å overbevise seg selv og andre at
man ikke har gjort noe galt.
Rettferdiggjøring kan handle om å benytte nøytraliseringsteknikker for å unngå skyldfølelse hos seg selv og for å unngå
beskyldninger fra andre. Nøytraliseringsteknikker i følge
nøytraliseringsteori handler om hvordan den kriminelle
bagatelliserer sin kriminalitet. I følge denne teorien anvender
potensielle kriminelle og faktiske kriminelle fem grunnleggende teknikker for å nøytralisere sin egen skyldfølelse:
fraskrivelse av ansvar (’denial of responsibility’), nekter for at
det er noe offer eller skade (’denial of victim’ og ‘denial of
injury’), hevder at det var nødvendig (‘defense of necessity’),
fordømmer de som fremfører kritikk mot ham eller henne
(’condemnation of the condemners’) og henvisning til lojalitet
til overordnede hensyn (’appeal to higher loyalties’). Disse fem
teknikkene representerer de opprinnelige elementene i nøytraliseringsteorien. Senere kom det inn nye elementer, som metaforen om kompensasjon og teknikken med nødvendighetens
forsvar. Metaforen om kompensasjon dreier seg om at kritikkverdige og kriminelle handlinger kan bli oppveiet og kompensert med gode handlinger, mens teknikken med nødvendighetens forsvar innebærer at en kritikkverdig og kriminell
handling kan bli begrunnet med at den var absolutt nødvendig
i den oppståtte situasjonen.
Det har lenge vært spekulert i om menn og kvinner har ulik
grad av skyldfølelse ved samme kriminalitet. Dersom de har
forskjellig grad av skyldfølelse, vil de trolig også benytte
nøytraliseringsteknikker på ulikt vis. En forsker undersøkte
hvordan kvinner og menn som hadde vært involvert i hvitsnippkriminalitet, beskrev seg selv og sine handlinger i
ettertid. De fant at kvinner fremhevet feminine trekk som er
akseptable i samfunnet, mens menn fremhevet maskuline trekk
som er akseptable i samfunnet. Felles for menn og kvinner var
at de fremhevet støtte til familie, venner og fellesskap som
unnskyldning for kriminaliteten. For både menn og kvinner var
det å ta vare på sin familie og venner sentralt for kjønnsidentitet, som en familieforsørger (mann) og som pleier (kvinne).
Familie som nøytraliseringsargument blir i større grad benyttet
av kvinner enn av menn i følge en studie gjennomført av en
Ø v ri g s t o f f
annen forsker. Studien viser at kvinnelige forbrytere prøver i
større grad å rettferdiggjøre forbrytelsen ved å henvise til
behovene i familien, mens menn oftere er dømt på forretningsmessig grunnlag. Imidlertid viser den første forskeren som
nevnt at behovene for familien og nære venner er den vanligste
årsaken til hvitsnippkriminalitet uansett om forbryteren er en
mann eller en kvinne.
En forskningsrapport fra Storbritannia viser at dømte kvinnelige hvitsnippforbrytere i mindre grad enn menn benyttet seg
av nøytraliseringsteknikkene da flere følte lettelse over å ha
blitt avslørt. De slapp da å bære på hemmeligheten om hva de
hadde gjort og de økonomiske problemene de var i alene. De
kunne nå dele dette med partneren sin.
motivasjon og svakere rasjonalisering/rettferdiggjøring. Dette
er de tre elementene eller hjørnene i mislighetstrekanten. Min
gjennomgang viser imidlertid at mislighetstrekanten ikke er
helt optimal i å illustrere transformasjonen fra et behov til en
handling. Ett problem er risiko, der risiko ble et element som
delvis er med i motivasjon og delvis med i mulighet, og kanskje også delvis med i rettferdiggjøring. Siden risikoaspektet
synes å være en klar indikator på kjønnsforskjell, fortjener
risiko en selvstendig plass på linje med mulighet, motivasjon
og rasjonalisering. Et annet problem med mislighetstrekanten
er rasjonalisering. Det begrepet kan med fordel erstattes med
begrepet nøytralisering, som har fått mye oppmerksomhet de
siste årene.
Mulighet
Kvinner benytter ansvarsfraskrivelse ved å skylde på at de ikke
hadde kontroll eller full viten om detaljer, slik at de kan legge
skylden på andre og innta rollen som offer. Kvinner benytter
trolig lojalitet som nøytraliseringsteknikk i stor grad. Dersom
de begår kriminalitet sammen med andre, er det ofte utfra
lojalitet overfor de andre eller bedriften.
Noen knytter nøytraliseringsteori til moralsk dissonans og
moralsk nøytralisering. Moralsk nøytralisering går ut på å
rense kriminelle handlinger for moralsk innhold og betydning,
gjerne i forkant av handlingen. Den moralske nøytraliseringen
senker terskelen for å begå handlingen og får eventuelle moralske betenkeligheter til å forsvinne. Det gjør man ved å benytte
nøytraliseringstekninkker. Legger man til et kjønnsperspektiv
på moralsk nøytralisering, og knytter det til hvitsnippkriminalitet, kan det være at det for kvinner ikke er så mange å
sammenligne seg med i lignende maktposisjoner. Dette tilsier
at moralsk nøytralisering i større grad passer for menn, fordi
menn lettere kan forsvare at de vil utføre handlinger eller har
utført handlinger som flere rundt seg gjør.
At kvinner kan være mindre i stand til å rettferdiggjøre hvitsnippkriminalitet og dermed unngår kriminaliteten i større grad
enn menn, kan forklares med moralteori kombinert med
glidningsteori. Glidningsteori innebærer at en person eller en
organisasjon glir fra det lovlige til det ulovlige. På engelsk
kalles dette slippery slope theory. Det handler om hvorfor gode
mennesker gjør dårlige ting. Mange uetiske og straffbare handlinger skjer uten at involverte personer er seg bevisst at de gjør
noe galt. Kriminell atferd kan følge en glatt nedoverbakke,
hvor man glir nedover, uten at det er en bestemt hendelse som
forårsaker forfallet i organisasjonen. Det er en utvikling, en
trend, et forløp, som fører galt av sted. Kjønnsforskjellene kan
her finnes i at menn ser gråsoner, mens kvinner ser saker mer
som svart/hvitt. Derfor vil kanskje kvinner i mindre grad være
i stand til å rettferdiggjøre handlinger på den gale siden av
loven.
Mislighetstrekanten er benyttet i min beregningsmodell for
kvinneandeler til å belyse reduksjonen fra behovsandel til
handlingsandel. Kvinners behov for økonomisk kriminalitet
reduseres i forhold til menn gjennom mindre mulighet, lavere
Nøytralisering
Motivasjon
Risiko
Krimstjernen for faktorer som påvirker hvitsnippkriminalitet
Derfor blir det her bli foreslått et alternativ til mislighetstrekanten som kalles krimstjernen for kvinner. Den inneholder de
to kjente elementene mulighet og motivasjon, det nye elementet risiko og det omskrevne elementet nøytralisering, som vist i
figuren.
Avslutningsvis kan nevnes at på engelsk kalles kvinnelige hvitsnippkriminelle for pink-collar criminals, der den tradisjonelle
kriminaliteten er underslag (embezzlement) og bedrageri
(Dodge, 2009). Det passer nok ikke så bra med rosasnippkriminelle eller rosakragekriminelle eller bare rosasnipper på
norsk. Men kanskje det kunne passe med Gucci-kriminelle
eller Louis Vitton-kriminelle, eller kanskje kriminelle gullskjørt, for det er en sterk gruppe kvinner i samfunnet som
kalles gullskjørtene (Skarsgård, 2012). Enda et forslag er
kriminelle i høyhelte sko, eller kriminelle på høye hæler.
Kanskje det kan bli tittelen på en bok: Kriminelle på høye
hæler – Kvinner i hvitsnippkriminalitet. Eller kanskje bedre:
Kriminelle på høye hæler – Kvinner i økonomisk kriminalitet,
om da ikke: Kriminelle på høyhelte sko – Kvinner i hvitsnippkriminalitet, eller: Høyhelte kriminelle – Kvinner i økonomisk
kriminalitet. Dermed er jeg tilbake på tittelen for denne
artikkelen.
Kilde: Petter Gottschalk. 2012. Økonomisk kriminalitet i
ledelsen. Unipub forlag, Universitetet i Oslo.
SIRK nr 2. 2012
47
Ø v ri g s t o f f
Kritikk av Riksrevisjonen – riktig eller galt?
Av Einar Døssland
Det normale er at Riksrevisjonen er den autoriserte til å gi en
objektiv og saklig vurdering av departementenes forvaltning og
ledernes arbeid. Gjennom sommeren og høsten er det riktig
nok fra en filosof, flere byråkrater og politisk hold blitt slått
hardt tilbake med mange kritiske røster mot Riksrevisjonens
arbeid, og ikke minst mot den beskrivelse som Riksrevisjonen
har gitt av forvaltningen og ledelsen i sine rapporter gjennom
mange år. I hovedoppslaget til E24 den 7. september kunne vi
lese «Flere politikere vil vingeklippe Riksrevisjonen. Flere
tidligere statsråder mener at riksrevisor Jørgen Kosmo skaper
vansker for statsråder som vil utrette noe politisk. Nå vil de
strippe Riksrevisjonen for makt.» Det er ikke min påstand at
Riksrevisjonen ikke kan bli bedre, men at de er noen engler
som kan vingeklippes, er nok ikke tilfelle.
Da tidligere forsvarssjef Sverre Disen uttalte i Aftenposten
12. juni at «Riksrevisjonen gjorde det med andre ord til et
problem at Marinen ble modernisert», måtte jeg spørre
meg selv om den tidligere forsvarssjefen har tatt i bruk
«angrep som beste forsvar». Eller er det jeg som har
misforstått Riksrevisjonens rolle, og misforstod verdien av
Riksrevisjonens budskap den gangen de avla sin rapport om
forsvarets arbeid med fregatt- og missiltorpedobåtklassene.
Fra mitt ståsted, som gjennom tiden har lest og fulgt litt med i
Riksrevisjonens rapporter, var det ikke mulig å kjenne seg
igjen i den omtale som Disen og andre byråkrater ga til
Riksrevisjonens rapporter.
NIRFs rolle
Ingen kan benekte at en gjennom god styring og kontroll vil
oppnå en bedre forvaltning med positiv effekt for samfunnet
og for den enkelte. På samme måte vil også en forbedret og
god Riksrevisjon kunne bidra med en positiv effekt på forvaltningen, virksomhetsstyringen og Stortingets behov for kontroll.
En viktig premiss i denne debatten må være riktig kompetanse
og rett informasjon, og at aktørene forstår og respekterer hverandres roller og rammebetingelser.
Vi går mot et viktig stortingsvalg i 2013. Hva er berettiget,
og hva er faglig feil i den kritikken som er rettet mot
Riksrevisjonen? – Finnes det flere politikere og politiske
partier som vil vingeklippe og sette Riksrevisjonen i bånd etter
stortingsvalget i 2013? Om det skal skje eller ikke, må vi være
med å bestemme!
Er den «Beinharde kritikken av Riksrevisjonen», som var
hovedoppslaget til Aftenposten i juni, riktig og berettiget? Det
er helt sikkert noe som kan bli bedre, selv hos Riksrevisjonen.
Vi må likevel ikke gå i den fellen og bare tro at dette bare var
utspill fra slitne og frustrerte eks politikere og byråkrater med
manglende innsikt i forvaltningsrevisjonens formål og verdi.
Min oppfordring er at NIRF i 2013 stiller sin møteplass til
disposisjon for å invitere til debatten og forhåpentligvis bidrar
til å gi gode og riktige svar på de faglige motforestillingene
som er reist gjennom kritikken.
Litt mer om kritikken
NIRF har gjennom sine aktiviteter og faglige arbeid i flere år
rettet et betydelig fokus mot hvordan utføre revisjon og forbedre virksomhetsstyring i private og offentlige virksomheter
og forvaltning generelt. Ikke minst står NIRF bak et Master of
Management Program på Handelshøyskolen BI som siden
1992 har utdannet en rekke revisorer innen intern- og offentlig
revisjon. Gjennom årene har Riksrevisjonen sendt flere hundre
av sine revisorer gjennom nettopp dette programmet. Derfor er
NIRF og vårt fagmiljø også «medansvarlig» for kvaliteten på
den offentlige revisjonen. NIRF er en av landets viktigste
arenaer hvor denne kompetansen finnes, og hvor vi regelmessig møtes til faglige diskusjoner. I vårt fagmiljø kan vi
forhåpentligvis finne noen av de kloke svarene til den
kritikken som er reist mot Riksrevisjonen og forvaltningsrevisjon som metode.
48
SIRK nr 2. 2012
Aftenposten bygde sitt oppslag i sommer på en kronikk av
filosof og jurist Morten Kinander, supplert med sitater fra
tidligere ledere og en statsråd.
Kontradiksjon – en kilde til rett faktum
Det er viktig at den som opplever kritikk og en uriktig faktabeskrivelse gjennom Riksrevisjonens forvaltningsrevisjon, får
uttale seg og korrigert det som måtte være feil. Likevel må
dette skje mens «slaget» står og før endelig rapport blir
utarbeidet. Det var vanskelig som en av Aftenpostens lesere å
danne seg et balansert bilde, eller å imøtegå de presenterte
uttalelsene når de fremlegges mange år etter at rapport ble
utarbeidet. Som leser var det umulig å balansere uttalelsene
mot det som faktisk var Riksrevisjonens beskrivelse av faktum
og eventuelle kritikk på rapporteringspunktet.
Ø v ri g s t o f f
Riksrevisjonen er gjennom revisjonsstandardene forpliktet til å
gi den reviderte virksomheten en betryggende kontradiksjon,
med rett til å påpeke feil og mangler, samt å få innarbeidet sine
kommentarer og eventuelle innsigelser i rapporten. Det er
opplagt at Riksrevisjonen gjennom sine undersøkelser kan
gjøre feil og feiltolke faktum. Likevel skal de metodene og
standardene som Riksrevisjonen etterlever, sammen med deres
beste evne og intensjon, bidra til at feil og mangler i faktagrunnlaget blir oppdaget og korrigert før endelig konkusjoner
utarbeides og rapporteres.
Derfor er det av stor betydning at de berørte parter tar til
motmæle og bruker kontradiksjonen aktivt. Men hvorfor kom
ikke de sterke innvendingene til uttrykk da Riksrevisjonen
sendte rapportens faktabeskrivelse til kontradiksjon?
Det er ikke uvanlig, verken i privat eller offentlig sektor, at den
reviderte har en helt annen beskrivelse og vurdering av faktum
enn hva revisor har. Her er det viktig å huske – at slik skal det
også være! Vi er her på mange måter ved sakens kjerne – hva
slags Riksrevisjon og forvaltningsrevisjon vil vi ha? Den
reviderte skal også få si sin mening. Det avgjørende er likevel
hvordan omverden sikres tillit til Riksrevisjons arbeid og
rapporter. Det er ikke den offentlige, uavhengige og kritiske
forvaltningsrevisjon som noen gang har vært årsak til revisjonsskandalene her hjemme eller internasjonalt.
Formålet med en forvaltningsrevisjon
Ut fra min vurdering manglet kronikken i Aftenposten en
forståelse av hva som er den fundamentale hensikten med en
forvaltningsrevisjon. Hensikten er å se på tingene på nytt – med
andre ord en revisjon - med uavhengige og objektive øyne.
Det er vanskelig å forstå filosof og jurist Morten Kinander når
det pekes på at Riksrevisjonen opererer som ei «vaktbikkje
uten bånd?» Utsagnene og metaforene i kronikken var sterke,
og det er ikke tvil om at utsagnene var seriøst ment. Hva vil
det innebære å sette Riksrevisjonen i bånd, slik det gjøres med
alle andre «vaktbikkjer»?. Er det et ønske om å begrense hva
Riksrevisjonen skal kunne gjøre og skrive?
Det avgjørende er at Riksrevisjon er trygg på egne vurderinger,
og ikke så opptatt av å prate den reviderte etter munnen. Det er
nettopp det som kan gi oss merverdi med demokratiske muligheter for å tenke nytt, og sikre oss enda mer demokrati mot en
ønsket og styrt samfunnsutvikling. En meningsutveksling i
båndtvang kan ikke være veien å gå for å sikre forbedringer i
forvaltning og et styrket demokrati.
Poenget er ikke at Riksrevisjonen alltid vet best, eller har rett i
sine vurderinger. Det viktige er at funnene og innspillene vi
mottar i større grad brukes konstruktivt av statsråder og
departement til å generere nytekning og enda bedre løsninger
enn hva Riksrevisjonen foreslår.
Det er menneskelig og forståelig at de som «rammes» av
Riksrevisjonens kritikk kan sitte med et noe annet bilde av
virkeligheten og sannheten. Derfor er det nødvendig at
Riksrevisjonens rapporter er balanserte og bygger på et
dokumentert faktagrunnlag. Forvaltningsrevisjonen kan
gjennom åpenhet og god kunnskap om den utførte forvalt-
ningen, være et viktig grep for å forbedre vår velferd og
velfungerende demokrati.
Alle forstår hvorfor bevilgningene til politiet har økt de seneste
år. Når det i kronikken reises spørsmål til hvorfor
Riksrevisjonen vokser seg stadig større, og på egenhånd har
tiltatt seg sin rolle, må det være tillatt å sette foten i bakken for
reise spørsmålet om hvor problemet egentlig er? Uttalelser som
«Riksrevisjonen har blitt politikkens overdommer på eget politisk grunnlag», er grunnløs og udokumentert. Kinander bygger
sine uttalelser på en feil forståelse og tolkning av forvaltningsrevisjons grunnprinsipper og verdier. Det pekes på at «man i
det minste må ha definert hvilke kriterier det skal revideres
etter og vise så klart som mulig hva som er Stortingets forventninger». Videre at «Riksrevisjonen antar en selvstendig
politisk synsefunksjon uten et klart mandat fra Stortinget».
I kronikken gjøres det en sammenblanding av kriteriene for en
forvaltningsrevisjon og kriteriene for Stortingets bevilgninger.
Formålet og herunder kriteriene for Riksrevisjonens arbeid med
forvaltningsrevisjon er nedfelt i lov, instruks, standarder ol., og
står helt på egne ben. Det er selvfølgelig ikke Riksrevisjonens
oppgave å definere kriteriene som ligger til grunn for bevilgningene. Kriteriene er et resultat av politisk håndverk.
Riksrevisjonen rolle er å kartlegge og vurdere om bevilgningene er disponert med hjemmel i Stortingets vedtak og i tråd
med formål og Reglement for økonomistyring og
Bestemmelser om økonomistyring. Oppgavene og formålene
for forvaltningen ligger fast på de fleste områdene fra år til år,
mens målene for det enkelte år fastsettes gjennom Stortingets
vedtak, budsjett og departementenes tildelingsbrev.
Det er en misforståelse når det hevdes at en forvaltning med
utydelige formål og mål (revisjonskriteriene), ikke kan være
gjenstand for en forvaltningsrevisjon. Det er Stortingets ansvar
å definere tydelige formål og mål. Kriteriene blir videreformidlet og konkretisert fra departement og forvaltning.
Det er et paradoks når toppdiplomat Tore Eriksen i Aftenposten
kan uttale: «I min tid i departementet opplevde vi det som et
problem at vi ikke visste hvilke kriterier vi ble revidert etter.»
Er dette en erkjennelse om at virksomheten ble ledet og styrt
med bind for øynene? Dersom forvaltningens kriterier, dvs.
formål og mål, er ukjent for lederne, er behovet for forvaltningsrevisjon desto større.
Det blir vanskelig å gi en rettferdig karakteristikk når en eks.
statsråd og flere tidligere ledere fra forvaltningen kan hevde at
deres virksomheter var for komplisert og vanskelig for at
Riksrevisjonen hadde faglige forutsetninger for å utføre en
forvaltningsrevisjon. Betyr dette at forvaltningsrevisjon bør
avvikles, eller at vi bør innføre en ny forvaltningsrevisjon i tråd
med deres ønsker? Min oppfordring er at NIRF må invitere til
debatt. For her har vi enten noe å lære, eller noe å dele
gjennom vår fortsatt levende visjon om «Progress Through
Sharing»! – La det bli NIRFs julegave for en bedre forvaltning
og tryggere demokrati i 2013.
God jul til alle!
SIRK nr 2. 2012
49
B o ko m t a l e
Huset Rothschild
Av Reidar Døli
For en tid tilbake kom jeg over denne
boken. Den er skrevet av Frederic
Morton og ble utgitt på Gyldendal
Forlag i 1963. Det er med andre ord
ikke en anmeldelse av en ny bok jeg
kommer med, men snarere en deling
av en fin bokopplevelse. Temaet i
boken er imidlertid høyst relevant for
de av oss som er opptatt av risikostyring, intern kontroll, virksomhetsstyring og finans.
Familien som boken handler om var sagt
å være verdens rikeste gjennom hele det
nittende århundre og langt utover i det
tjuende. Til sammenligning så ble
dronning Victoria regnet for å være en
svært holden dame med sin anslåtte
formue på 5 mill GBP. Klanen
Rothschild representerte på samme tid
en formue på den gang ufattelige 400
mill GBP. Boken beskriver veien til
rikdom og alle de knep som ble tatt i
bruk i en tid der det meste var lov og
lenge før noen hadde tenkt ut regler for
god virksomhetsstyring.
Historien starter med en jødisk, foreldreløs gutt med navnet Mayer. Han var født
i 1744. Siden jødene i Frankfurt ikke var
forunt å bære familienavn tok de gjerne
husskiltene til sitt etternavn. Mayers
familie hadde en gang bodd i et hus med
rødt skilt, derved tok han navnet
Rothschild.
Han startet opp med handel blant annet i
tekstiler i Jødegaten i Frankfurt, utvidet
snart med handel i gamle mynter og kom
derigjennom i kontakt med pengesterke
fyrster. Snart drev han også en primitiv
bank, en vekslestue for alle de forskjellige
myntene som eksisterte i Tyskland på den
tid. I 1789 startet han en uhyre lønnsom
virksomhet som var grunnlagt på fyrst
Wilhelm av Hessen-Cassels rikdom. Han
ble tilrettelegger og mellommann for
obligasjonslån. Et eksempel på en slik
forretning er hentet fra 1804 da den
danske statskassen var tom. Siden den
danske monarken var Wilhelms onkel, og
at lån dem imellom lett kunne utvikle seg
til å bli en gave, ble det store lånet gitt
inkognito gjennom Rothschild, som
selvfølgelig tok sin del av fortjenesten.
50
SIRK nr 2. 2012
Etter okkupasjonen fra Napoleon overtok
Rothschild forvaltningen av rikdommen
til Wilhelm. Dette skaffet Rothschild
forbindelser, kunnskaper og myndighet i
hele Europa. Mens Wilhelm satt i eksil
ble Rothschild en gang betrodd å
investere for 550.000 GBP i engelske
statsobligasjoner. Kursen skulle
gjennomsnittlig være på 72. Rothschild
investerte pengene først for egen regning
i en periode og fikk en god profitt ut av
det. Deretter kjøpte han statsobligasjonene til en kurs på 62 og oppnådde da også
der en stor fortjeneste som han også
stakk til seg selv.
Rothschild hadde innsett verdien av
informasjon. Han etablerte tidlig sin
egen nyhetstjeneste som omfattet egne
vogner, båter og brevduer(!). Dette
gjorde han stor nytte av i forbindelse
med slaget ved Waterloo i 1815. Det
som skjedde ble på den tid betegnet som
”kupet over alle kup”. Det hadde seg slik
at hvis Napoleon vant dette slaget ville
engelske statsobligasjoner synke til
bunns. Det motsatte ville skje hvis han
tapte. Ved hjelp av sin nyhetstjeneste og
sin sønn Nathan som var plassert i
London, fikk Rothschild raskere enn
noen annen vite at Napoleon var knust.
Nathan dro rett til børsen. Han startet
med å selge og selge statsobligasjoner og
prisene sank. Alle trodde da nemlig at
Rothschild hadde mer informasjon enn
de selv, og at England hadde tapt ved
Waterloo. Kursen sank til bunns. Da, i
rette øyeblikk, snudde Nathan seg rundt
og kjøpte en stor bunke med statsobligasjoner, for så å si ingenting. Det ble snart
allment kjent at England hadde vunnet
og obligasjonene steg til himmels. Dette
ble en svært god historie, men som et PS
er det flere historikere som stiller spørsmål ved troverdigheten og heller kaller
den en myte.
Familien etablerte et europeisk dynasti.
Mayer hadde fem sønner. Han hadde for
øvrig også fem døtre, men det var
sønnene han sørget for at etablerte seg i
London, Østerrike, Italia og Paris, i
tillegg til i Frankfurt. Spesielt for
familien var at av 12 ekteskap som ble
inngått av disse 5 brødrenes sønner, så
var hele 9 med døtre av farbrødre. Man
hadde en sterk motvilje i familien mot å
dele navnet med andre.
Salomon som etablerte seg i Østerrike,
møtte sterkest motstand til å begynne
med på grunn av antisemittisme og at
”skikken med korrupsjon ikke hadde så
mange tilhengere der”. Salomon
behersket kunsten å smigre og han var
den fødte diplomat. Han fikk lagt ut
lotteriobligasjoner som han ved hjelp av
et publisitetsapparat tjente svært godt på.
Senere, og ved hjelp av enorme veldedige gaver fikk han sin status som
fullverdig borger. Han ble en de største
godseiere i landet. Carl ble keiserlig
tilrettelegger av lån fra Østerrike til
kongen av Napoli. Han oppnådde pavens
anerkjennelse. Amchel arvet banken i
Frankfurt og ble familiens nye overhode.
Han ble skattmester, en slags finansminister for den tyske konføderasjonen.
James, den yngste etablerte seg og slo
seg voldsomt opp i Paris. Brødrene
etablerte også det som er betegnet som
verdens førte clearingsentral mellom de
fem Rothschildske bankene. Skiping av
gull ble derved erstattet med debet og
kredit. Familien rådde over krig og fred i
Europa i det nittende århundre. De var
avhengige av fred for å bevare sin
formue.
Familien involverte seg også stort i
jernbaneutbyggingen i Østerrike og
Frankrike. De hadde stadig fiender som
lurte og ble utsatt for utro tjenere mer
enn en gang. En betrodd hovedbokholder
i Paris, Carpentier, stakk i 1856 av til
Amerika med hele kassebeholdningen på
6 mill franc og aksjer for 26 mill franc.
Han ble aldri tatt. En annen, Pereire, var
sjef for Rothschilds jernbaneutbygging
mellom Paris og Versailles. Han gikk
over til fienden, Fould, og de etablerte et
selskap sammen med det eneste formål å
slå Rothschild. De grunnla en folkebank,
Credit Mobiliere, men de klarte ikke å
slå kjempen.
B o ko m t a l e
Boken er full av underholdende anekdoter. En av disse handler om sønnen til
Salomon, Anselm het han. Han ble en
gang nektet adgang til en spilleklubb
utenfor Wien. Årsaken var den vanlige,
antisemittiske. Anselm skjenket da den
nærliggende landsbyen et moderne
søppelforbrenningsanlegg og la det slik
til at det både var godt synlig og luktlig i
kasinoet. Et medlemskort ble da øyeblikkelig sendt han, men kortet ble
returnert neste dag, duftende av den
dyreste parfyme.
Historiene er mange. I 1875 ble familien
involvert i en særdeles begivenhetsrik
affære. Statsminister Disraeli ble kjent
med at Khediven av Egypt var i pengevansker. Ved hjelp av Rothschilds raske
finansiering av 4 mill GBP utmanøvrerte
han den franske regjeringen og kjøpte
aksjemajoriteten i Suezkanalen.
Transaksjonen ga en umåtelig gunstig
avkastning for engelskmennene. En
annen historie er fra 1886 da Rothschild
bidro til å redde Baring. Banken hadde
satt inn alle sine ressurser, og vel så det,
på mislykket nybygging i Argentina.
Fortellingen tar oss videre frem i
medgang og motgang over i det tyvende
århundre og to krevende verdenskriger.
Familiens historie er hele veien tett
flettet sammen med Europas historie.
For den som er interessert i historie,
bankvirksomhet og virksomhetsstyring
er denne boken et funn. Det vanskeligste
er imidlertid å få tak i den - men det er
verdt å prøve i et antikvariat. Ellers, i
dag er det mye interessant å finne på
nettet, også om familien Rothschild.
Omgitt av løgnere - Arne Selvik
En kompleks og kaotisk verden medfører
at de fleste toppledere omgir seg med
ledergrupper og bygger team. Lederen
skal fatte beslutninger på grunnlag av et
virvar av informasjon og ærlige tilbakemeldinger vil ofte ha et innhold som
øker kompleksiteten i lederens beslutningsgrunnlag. For å forenkle hverdagen
til sjefen forenkles verden av de som
jobber rundt han/ henne og ubehagelige
og negative detaljer siles bort. Forholdet
mellom lederen og hans nærmeste er i
mange tilfeller preget av taushet og
fortielse. For å endre dette bør ledere
trene på situasjoner som krever relasjonelt mot slik at utfordrende budskap kan
formidles med respekt og forstand.
Av Esa Leporanta
Både ledere og bedrifter som ikke
får direkte og ærlige tilbakemeldinger svikter før eller siden, men det er
vanskelig å være dønn ærlig med
sjefen. Det er egenskaper ved ledere
samt prosesser og mekanismer som
leder til innsnevring av kunnskap og
innsikt som er hovedtema for boken
til Selvik.
Enkelte ledere kan signalisere et sterkt
behov for anerkjennelse enten bevisst
eller ubevisst uten å vite at de avskjærer
seg fra vital informasjon. Noen ganger
blir det for tette forhold mellom ledere og
medarbeidere til at kritikk og ærlighet
kommer til lederen. Omfanget av arbeidstakeres løgn til sjefer ble kvantifisert i
Storbritannia til 1,4 milliarder løgner i
2004. De fleste dekker over handlinger
som man tror vil skade karrieren.
Selvik viser oss videre hvilke sosiologiske og psykologiske fenomen som
særpreger ledernes situasjon. Er det
grådighet, dumskap eller fornuftig
griskhet som forklarer at ledere tar
beslutninger som bekrefter sviktende
dømmekraft?
Når ledere omgis av taushet og løgnere,
blir de ofte selv – ufrivillig – løgnere
som preges av mer eller mindre utviklede former for selvbedrag. Ofte har ledere
selv, gjennom sine holdninger og personlighetstrekk, sørget for at de som skulle
sørge for gode korrektiver og kritiske
spørsmål, ikke ser seg tjent med å
fortelle sjefen hele sannheten. I stedet
for ærlige tilbakemeldinger får lederen
noen ganger speilbilder som minner om
de man ser på tivoli.
De som tør å være helt ærlig med en
leder, er de som genuint vil ham eller
henne vel. Felles for slike relasjoner er at
de er bygget over tid. Et annet er at de
som tør å være direkte også må tåle
ubehag, smerte og noen ganger straff.
Selvik synliggjør hva som kan gå galt
om ledere har bestemte atferdsmessige
særegenheter. Han ser også nærmere på
hvilke personlighetstyper man finner hos
toppledere. Videre viser Selvik at det
fins en incentivstruktur som gir menneskene rundt lederen sterke motiver for å
underbygge sjefens selvbedrag.
Hoveddelen av boken handler om hvordan ledere faktisk skaffer seg ærlige
tilbakemeldinger, slik at de kan fatte
kloke beslutninger til beste for den
virksomheten de er satt til å lede, og til
beste for sin egen helse og karriere.
Denne delen av boken handler også om å
utvikle og bygge sosiale og nettverksorienterte kontekster som gjør det
mindre risikofylt å være leder.
Det som gjør boken særdeles interessant
for internrevisorer er Selviks budskap
om uavhengige rådgivere. Slik Selvik
sier, bør en god hjelper ha tilstrekkelig
nærhet til lederen til å kunne gjøre
presise observasjoner. Samtidig må
hjelperen ha tilstrekkelig avstand til å
kunne være helt oppriktig. Som et
eksempel bruker Selvik dronning
Elisabet I (1533-1603) som skal ha
innsett hvor vanskelig det kan være for
en rådgiver å gi råd som de antar (eller
vet) går imot sjefens vilje. For det andre
skal Elisabeth I ha forstått at det kan
være vanskelig å få ærlige råd og
tilbake-meldinger, med mindre man
sikrer budbringeren full konfidensialitet
og tillit.
Fagbokforlaget 2005 ISBN 82-450-0279-8
SIRK nr 2. 2012
51
F o re n i n g s n y t t
”Internal audit à la carte”
Noen inntrykk fra European Conference i Amsterdam
Konferansen ble gjennomført i Amsterdam, 12. – 14. september 2012. Den samlet ca 500 deltakere fra 41
land, hvorav 16 norske. SIRK har bedt en av deltakerne om å oppsummere sine inntrykk fra konferansen.
Solbjørg Lie,
revisjonsdirektør
i NAV, Oslo
Hva synes du var høydepunktene på
konferansen?
For meg var det spesielt interessent å
høre nærmere om Basel-komiteens 20
prinsipper for internrevisjon i banker
som ble publisert i juni 2012. Baselkomiteen har valgt å unngå IIAs
definisjon av internrevisjon fordi:
1. Nåværende definisjon er oppe til
revisjon i IIA
2. Basel-komiteen liker ikke ordet
«consulting»
Basel-komiteen er absolutt i favør av
internrevisjon. Omlegging av internrevisjonens rapporteringslinjer fra
toppledelsen til styret ble fremhevet som
en vesentlig endring. Basel-komiteen
vurderer videre leder av internrevisjonen
som en del av styret med ansvar for
oppfølging av både ekstern og intern
revisjon. Siden Basel-komiteen ofte har
vært tidlig ute mht. utvikling av kontroll
i banker, er det nyttig for oss som ikke
jobber innenfor finanssektoren å høre
nærmere om nye krav til internrevisjon i
banker.
Videre deltok jeg på et foredrag om
risikostyring i nederlandske Shell som
har en internrevisjonsavdeling på hele
52
SIRK nr 2. 2012
220 revisorer globalt. Shell har ingen
egen organisatorisk risikostyringsenhet.
Denne funksjonen ble ivaretatt av internrevisjonen som med sine 220 revisorer
hadde kunnskap om alle risikoer i
virksomheten. Ett av målene for internrevisjonen var å sikre at risikostyringen
alltid var en integrert del av forretningsplanleggingen. Forretningsområdene eier
egne risikoer og har selv ansvar for å
håndtere de. I tillegg ble noen felles
risikoer håndtert i en egen risikostyringskomite der alle forretningsledere var
representert sammen med controllere og
internrevisorer. Foredraget var strukturert og lærerikt og ga god input til
inndeling av risikouniverset i et av
verdens største oljeselskaper.
Er det noen tydelige trender i de foredrag/temaer som ble presentert?
Ja, fokus på etikk og kulturens betydning
for sunn forretningsførsel. Konferansen
hadde flere foredrag om kontrollers
begrensning og viktigheten av de myke
verdier/kontroller som kultur og etikk.
Det nytter ikke å utvikle flere systemer
og kontroller og samtidig øke incentivbruken i virksomheten. Incentiver korrumperer og flere incentiver korrumperer
mer og ødelegger vår moral var budskapet fra Jaap Winter.
Richard Chambers fulgte opp med å
fokusere på etikk for internrevisorer og
poengterte at revisorer må ha et robust
etisk kompass. Dessverre ble det referert
økt antall tilfeller der internrevisor
bevisst hadde unnlatt å gjøre jobben sin
godt nok til skade både for sin virksomhet, for seg selv og for profesjonen.
Fikk du noen gode ideer som du kan
omsette til praktisk nytte?
Fokus på viktigheten av god, kort og
presis kommunikasjon – både skriftlig og
muntlig ble fremhevet. Rapporter over
5-6 sider blir ikke lest, og innholdet på de
5-6 sidene må bekrefte revisors innsikt og
forståelse for fremtidige utfordringer på
området. Videre at dersom et kontrollregime skal fungere godt er det en
forutsetning at de myke kontrollene som
kultur, holdninger og etikk må være
etablert og forstått.
Så til slutt, litt om gjennomføringen av
konferansen:
Konferanseopplegget var uvanlig og
spennende. I tillegg til vanlige forelesninger, var temaene lagt opp som
workshops, diskusjoner eller kunnskapsdeling med gode fasilitatorer. Opplegget
ga mulighet for større interaksjon mellom
deltakerne og fasilitator og muligheter for
å lære av hverandre. Ulempene er at med
deltakere fra så mange land så har nesten
alle ulike aksenter i sin engelsk og det gir
tidvis utfordringer i erfaringsdelingen.
Konferansen fant sted i den gamle børsen
i Amsterdam. En ærverdig bygning mer
enn 400 år gammel lokalisert midt i byen.
Det var satt av god tid til å mingle og
diskutere med gamle og nye kolleger. En
hyggelig middag i West Indian House på
dag 2 ga oss smak og innblikk i mange
lands kjøkken samt god øvelse i å balansere i trange bratte trapper i et gammelt
sjarmerende hus.
Neste års konferanse går i
Wien 2. – 4. oktober 2013.
F o re n i n g s n y t t
REVOLUTONIZE INTERNAL AUDITING Noen inntrykk fra The IIA 2012 International Conference i Boston, USA
Konferansen ble gjennomført i Boston, USA 8. – 11. Juli 2012. Den samlet
ca 2500 deltakere, hvorav 15 norske. SIRK har bedt to av deltakerne om å
oppsummere sine inntrykk fra konferansen
Thomas Hager, Internrevisjonen i Statoil, Oslo
Vi spør først Thomas om hva han synes var
høydepunktene på konferansen?
Konferansen bestod av både fellesforedrag og
av foredrag innen forskjellige spor der man
selv kunne velge hvilke man ville gå på. Fellesforedragene var ikke
alle direkte relatert til internrevisjon, mens foredragene på de forskjellige sporene hadde en mer faglig karakter. Det var tydelig at de
hadde lagt seg i selen når det gjaldt foredragsholdere til fellesforedragene. Her var det blant annet en astronaut fra NASA som
fortalte om hvor viktig det er for dem å ha god internkontroll.
Og når han i tillegg viser en filmsnutt fra en av deres ferder ut i
verdensrommet, så blir det jo minneverdig. Et annet av fellesforedragene ble holdt av en profesjonell foredragsholder og gikk på at
en sentral utfordring for ledere i dag er å skape en modighetskultur i
bedriften. Verden endrer seg hele tiden, for eksempel med tanke på
ny teknologi som stadig blir introdusert. Man blir nødt til å være en
del av utviklingen. Mot trengs for å skape godt kompaniskap, for å
bygge en merkevare, for å bli en utmerket kommunikator var andre
eksempler. I pausene er ”minglingen” sentral og det var forskjellige
stands der hvor man kan oppdatere seg på bøker innenfor faget,
relevant software til bruk for internrevisjonsavdelinger, hvilke
tjenester eksterne leverandører har spesialisert seg på, og så videre.
Var det noen tydelige trender i de foredrag/temaer som ble
presentert?
Konferansen hadde hele 11 forskjellige spor med totalt 77 foredrag.
Så spennet og variasjonen i foredragene var imponerende stort.
Selv gikk jeg på en del foredrag innenfor IT-området. Av temaer
som ble tatt opp her var hvordan man kan revidere nye trender som
nettskyen og bruk av smarttelefoner som begge har en voldsomt
raskt økende utbredelse. Det var også flere foredrag som omhandlet
’continious auditing’ - hva som ligger i dette og eksempler på hvordan bedrifter har tatt konseptet i bruk. Ellers så er jo noe av det
som gjør det interessant å delta på en konferanse som dette at man
får et godt innblikk i hva som for tiden er aktuelle temaer innen
internrevisjon ved å studere programmet.
Fikk du noen gode ideer som du kan omsette til praktisk nytte?
Både når det gjelder gjennomføring av enkelte revisjoner og
innspill til temaer/revisjoner i forbindelse med fremtidige revisjonsplaner, var det nyttig å delta på konferansen. Man får med seg
eksempler på risikoer innen gitte områder, og ideer om hvordan
forskjellige temaer kan revideres. Med en økt forståelse for risiko,
er det også lettere å se hvorfor enkelte temaer bør bli gjenstand for
revisjon og å lage et godt revisjonsprogram.
Tom Alm, Internrevisjonen i DNB,
New York Branch
Så gir vi ordet til Tom som oppsummerer
sine erfaringer fra konferansen slik:
På en konferanse som samler så mange
mennesker kan foredragene lett bli veldig generelle og lite matnyttig, så det er jo med en viss spenning man besøker foredrag
om temaer man håper skal gi noe tilbake. Siden jeg jobber som
revisor ved DNB’s New York kontor, og således må forholde
meg både til amerikanske og norske myndighetskrav og forventninger, ga IIA- konferansen flere nyttige innspill som allerede er
omsatt til praktisk nytte i form av justerte revisjonsprogrammer
og oppdaterte risikoanalyser. I det regulatoriske miljøet som
råder i USA forventer tilsynsmyndighetene at internrevisjonen
hele tiden følger business best practise og at dette også gjenspeiles i det arbeidet som utføres. Det er derfor viktig å kunne
dokumentere at man både deltar på faglige konferanser og at
man omsetter det man lærer i praktiske handlinger. For meg var
et av høydepunktene på IIA-konferansen et foredrag som ble gitt
i konferansens Pre-conference Session på søndagen. I foredraget
”Key Topics for the Future of Financial Institutions Compliance”
ble tilsynsmyndighetenes forventninger til internrevisjon og
utfordringene innenfor compliance presentert på en nyttig og
inngående måte. I tillegg til dette foredraget var det også interessant å se det økede fokuset som denne gangen var lagt på tema
som Foreign Corruption Protection Act, Ethical Environment og
Cultural diversity and cross-cultural communication.
Så til slutt noen kommentarer fra Thomas:
Det er spennende å få anledning til å komme på en internasjonal
konferanse og se litt hva som rører seg innenfor internrevisjonsprofesjonen. Jeg synes IIA her arrangerte en konferanse med et
variert og godt program. Bruken av teknologi i forbindelse med
konferansen var imponerende. Det var tilgjengelig en egen
mobilapp der man kunne få oversikt over konferanseprogrammet og de foredragene man hadde meldt seg på. Under fellesforedragene kunne tilhørerne bruke sms for å stille spørsmål til
foredragsholderen. Og så er det jo en del utenomfaglig program
på en konferanse som dette som bidrar til å gjøre det til en
minnerik opplevelse. Vi hadde en Boston-aften med kulturelle
innslag og med servering av mat som er typisk for byen, for å
nevne noe. En kommer jo heller ikke utenom at det var
spennende å få besøke byen Boston. Selv fikk jeg frisket opp
litt rusten historiekunnskap om the Boston tea party, som
innledet USAs uavhengighetskamp, med et besøk til
’The Boston tea party Museum’.
Neste års konferanse går i Orlando, USA 14. – 17. juli 2013. Det er ventet 3000 deltakere
til konferansen som denne gangen blir arrangert av IIA`s Global Headquarters`staff.
Konferansens motto: One World - One Profession - One Destination.
SIRK nr 2. 2012
53
F o re n i n g s n y t t
Tillitsvalgsamlingen 2012
Av Ellen Brataas, generalsekretær
Hver høst inviterer NIRF sine tillitsvalgte og andre bidragsytere gjennom året inn til en ettermiddag hvor vi
utveksler informasjon om hva som skjer og planlagte aktiviteter på tvers av alle komiteer og nettverk i foreningen.
Onsdag 7. november samlet vi 43 NIRF-medlemmer hos Deloitte på Skøyen (tusen takk for lånet av lokalene!).
Foruten å være et godt tiltak for å få bedre oversikt over hva som skjer på tvers av foreningen, er samlingen også et
egnet sted for å bli kjent med andre medlemmer.
Vår president, Martin Stevens, ønsket velkommen og gav en
kort orientering om foreningens strategi rundt det å samle fagmiljøer i Norge. Vår nyeste ambisjon er å se om foreningen
kan bidra til å samle compliance-miljøer i Norge. Foreningen
har avholdt et oppstartsmøte blant interesserte medlemmer og
konstituert et midlertidig arbeidsutvalg som får i oppgave å
konkretisere tiltaket nærmere.
At det er stor aktivitet i foreningen gav alle innleggene fra
komiteer og nettverk et bevis på. Vi er fornøyd med at det produseres promoteringsmateriale, høringssvar og et bredt tilbud
av medlems- og nettverksmøter til alle medlemmer. Det ligger
mye frivillig arbeid bak hvert eneste tiltak og foreningen er
heldig som har så mange dedikerte og engasjerte medlemmer –
takk til alle tillitsvalgte som står på!
Foreningen har siden forrige tillitsvalgsamling fått to nye nettverk, nettverk risikostyring og nettverk revisjonsledere i finans
(tidligere Revisjonssjefkretsen). I takt med at foreningen vokser erfarer vi et behov for en sterkere samkjøring og koordinering av kurs, medlems- og nettverksmøter. Foreningen holder
også på å lage en markedsføringsstrategi hvor prioritering av
aktiviteter vil komme tydelig frem samtidig som den vil være
et hjelpemiddel for promotering av kurs og møter.
54
SIRK nr 2. 2012
Presentasjoner fra alle komiteer og nettverk finner du på
www.iia.no.
For å gi alle tillitsvalgte noe tilbake
hadde NIRF denne ettermiddagen
hentet inn Live Landmark til å
inspirere oss med foredraget «Hvis
det ikke er umulig, så må det være
mulig". Live er tidligere journalist i
VG, en energisk tobarnsmor som
plutselig fikk diagnosen ME.
Hennes historie om sykdommen og
kampen for å komme tilbake, får
enhver til å tenke over egen helse,
stress og hvordan vi som mennesker
har makt til å påvirke egne tanker.
Det var et annerledes og tankevekkende foredrag hvor vi som tilhørere
fikk noe å ta med tilbake til jobb og
hjem.
F o re n i n g s n y t t
ONE DAY SEMINAR
OPERATIONAL RISK by JOHN THIRLWELL
Operational risk is involved in every activity a business undertakes and affects every employee. It
arises when a business first opens its doors and forms part of all the risks it faces. Intelligent
operational risk management can deliver real financial benefits and starts at the top. The Board
needs first to be clear about its strategy and objectives and communicate them throughout the
firm. Without clear strategy and objectives, there can be no context for effective risk management
or an understanding of what is meant in a particular firm by excellent behaviours. Without an
understanding of what is meant by excellent behaviours, there will be little coherence in staff
selection, appraisal, promotion or, importantly, remuneration. Nor will it be risk-based.
Course description:
Operational risk – what it is and why it matters
• What it is
• Why it is different from other risks
• The boundary issue
• Measuring and managing
• Challenges of operational risk
management
Building an operational risk framework
• Governance - 3 lines of defence:
* Board
* Risk oversight
* Risk assurance
• Roles and responsibilities:
* CRO
* Operational risk function
* Relationship with other areas
• The framework
Making the framework work
• Issues with:
* Risk and control assessments
* Events and losses
* Indicators
* Scenarios and stress tests
* Modelling – a qualitative approach
The crisis and operational risk
• People risk management
• Embedding a risk culture
Lecturer: JOHN THIRLWELL
John is a well-known speaker and
writer on risk, regulatory and
governance issues, particularly
business and operational risk. His
book Mastering Operational Risk,
co-authored with Tony Blunden,
was published by Financial Times
Prentice Hall in August 2010.
Until March 2003, he was a
director at the British Bankers’ Association, which
he joined in December 1996 from Hill Samuel
Bank, where he had been a director and Chief
Risk Officer. In BBA he was heavily involved, on
behalf of the banking industry, in discussions with
regulators concerning the new Basel Capital
Accord and the EU Capital Requirements
Directive. He continues to be a member of
advisory committees on risk and regulatory
matters at the FSA.
Since leaving the BBA, he has served as a nonexecutive director on a number of boards in the
City, including Novae Syndicates Limited and CX
Reinsurance Company Limited. He is nonexecutive Chairman of the Bankside Gallery and a
Director of the Institute of Operational Risk.
Time: May 30st, 2013, 09.00 – 17.00
Place: Bjørvika
Oslo
Konferansesenter, Oslo
Price: Members of IIA, ISACA and NFKR: NOK 3 500/Non-members: NOK 3 800
CPE: 8 Continual Professional Education points for CIA, CCSA, CGAP, CFSA and Dipl. IR.
Registration: www.iia.no or call (+47) 932 37 912.
SIRK nr 2. 2012
55
F o re n i n g s n y t t
Medlemsmøte 7. februar 2013, kl. 14.00-16.00
Rapportering etter revisjoner
– det handler om kommunikasjon!
Internrevisjonen gjennomfører i løpet av et år en
rekke revisjoner. For hvert oppdrag skal det
rapporteres til oppdragsgiver, styre, revisjonsutvalg
m.m. Det er mange måter å rapportere på, og i
dette møtet vil vi komme med praktiske erfaringer
fra to virksomheter.
Hva sier standardene?
I følge standard 2400 må internrevisor rapportere resultater
fra oppdragene. Rapporteringen må omfatte oppdragets målsetninger og omfang samt relevante konklusjoner, anbefalinger
og handlingsplaner, jf. 2410.
Rapporteringen skal være nøyaktig, objektiv, klar, konsis,
konstruktiv, fullstendig og rettidig, og resultatene må
rapporteres til relevante parter, jfr. 2420 og 2440.
Ingunn Valvatne er revisjonsdirektør i Norges Bank og
Frithjof Røer er Chief Internal Auditor i Orkla ASA.
De vil fortelle hvordan rapporteringen skjer i sine virksomheter, og hvilke verktøy og maler de benytter, presentasjon av
funn, og eventuelle ønsker fra ledelsen i forbindelse med
rapporteringen.
Etter medlemsmøtet inviteres NIRFs medlemmer ut på byen
for å spise pizza. Vi håper alle som kan benytter muligheten til
litt uformell erfaringsutveksling over pizza og noe godt å
drikke etterpå.
Deltakelse gir 2 CPE-poeng.
Dato: 7. februar 2013
Klokken: 14.00 – 16.00, registrering og kaffe fra kl.13.30
Sted: PwC, Dronning Eufemiasgate 8, Oslo
Påmelding: www.iia.no
Sett av rom i kalenderen den 19. april, kl. 09.00 – 11.00 til
neste medlemsmøte.
Da vil Richard Chambers, president og CEO i IIA komme til
Norge og innlede på medlemsmøtet. BI-studentene i internrevisjon vil også være til stede.
56
SIRK nr 2. 2012
Certification in Risk Management Assurance
(CRMA)
Fra medio 2013 lanserer IIA en ny sertifisering: Certification in Risk Management Assurance.
Som med de andre globale sertifiseringene må du bestå eksamen og krav til praksis for å
oppnå tittelen. I USA er det ikke uvanlig å praktisere en såkalt «grandfathering» ordning
(CRMA-PER) i forbindelse med lansering av nye sertifiseringer. Det vil si at man på bakgrunn av en kombinasjon av utdanning, andre sertifiseringer og praksis i en kort periode
kan oppnå tittelen, uten å avlegge eksamen. Denne muligheten vil være åpen frem til
31.12.2012. Hvis du vil slippe eksamen og har tilstrekkelig med poeng er det ingen grunn til ikke å søke med
det samme! Nitten av NIRFs medlemmer har benyttet seg av muligheten så langt.
Krav:
Du må oppnå minst 155 poeng til sammen for de tre kategoriene under for å tilfredsstille kravene til CRMA-PER:
Education - Maximum of 25 points
• Associates Degree (2 year post-secondary degree from
a University) - 15 points
• Bachelors Degree (4 year post-secondary degree from
a University) - 20 points
• Masters Degree (6 year post-secondary degree from
a University) - 25 points
Current, Active Certifications Held - Maximum
of 30 points
• CIA or CCSA with The IIA - 30 points
• Other Currently Active Certification - 20 points
Professional Experience in CRMA Domains Maximum of 140 points
CRMA Domains:
Domain 1: Assessing / Assurance of Risk Management
Activities
Domain 2: Risk management Fundamentals
Domain 3: Elements of Risk Management
Domain 4: Control Theory and Application
Domain 5: Business Objectives and Organizational
Performance
Man må ha erfaring fra domain 1 og ytterligere to andre
for å være kvalifisert.
Pris:
Medlemmer
CIA/CCSA
Ingen sertifiseringer
kr 3.500
kr 4.600
Ikke-medlemmer
kr 5.800
kr 7.000
Søknaden sendes via NIRF til IIA som forestår den
endelige godkjennelsen. Mer informasjon og søknadsskjema finner du på www.iia.no.
• Less than 120 Months Experience - 100 points
• Between 120 and 300 Months Experience - 120 points
• More than 300 Months Experience - 140 points
SIRK nr 2. 2012
57
F o re n i n g s n y t t
Nyheter fra sekretariatet, IIA
og andre samarbeidspartnere
Endringer i standardene fra 1. januar 2013
Som du kanskje har lagt merke til fulgte det med en ny
oppdatert utgave av standardene med dette nummeret av SIRK.
De oppdaterte standardene trår i kraft 1. januar 2013.
Oppdateringen innebærer ingen omfattende endringer, men er i
vesentlig grad ment å gjøre nåværende standarder tydeligere.
Internrevisorer i offentlig sektor kan merke seg at definisjon av
styret nå lyder som følger: «Den øverste myndighet med
ansvar for styring og/eller overvåking av organisasjonens
virksomhet og ledelse. Dette vil typisk inkludere en uavhengig
gruppe medlemmer (eksempelvis et styre, et tilsynsstyre, "board
of governors or trustees"). Hvis en slik gruppe ikke eksisterer,
kan "styret" vise til virksomhetsleder. "Styret" kan også
referere til et revisjonsutvalg eller til andre funksjoner de med
styringsansvaret har delegert visse funksjoner til.» Vi håper
dette vil være klargjørende for internrevisjoner som ikke har et
styre, men kun rapporterer til virksomhetsleder.
Internrevisor skal nå vurdere risikohåndtering og kontroller i
forhold til håndteringen av risikoer i organisasjonens prosesser
for governance, drift og informasjonssystemer, i forhold til
oppnåelse av organisasjonens strategiske målsettinger. Dette
kommer i tillegg til de målsettingene vi er kjent med fra
COSO: påliteligheten og integriteten av finansiell og operasjonell informasjon, hensiktsmessig og effektiv drift og
programmer, sikring av eiendeler og etterlevelse av lover,
forskrifter, retningslinjer, prosedyrer og kontrakter.
Den nye utgaven av standarden er også nedlastbar fra
www.iia.no, hvor du også finner den engelske versjonen der
hvilke endringer som er foretatt fremgår.
Høringskommentarer til NOU 2012:14
Rapport fra 22. juli-kommisjonen
Statlig nettverk har på vegne av NIRF svart på høringen til
rapporten fra 22. juli-kommisjonen. Rapportens analyse av
årsaker til svikt er av stor interesse for internrevisjonsprofesjonen og mange av årsakene til at ting sviktet faller sammen
med de mest sentrale oppgavene en profesjonell internrevisjon
skal ivareta. Hele høringssvaret finner du på www.iia.no og på
nettsidene til Justis- og beredskapsdepartementet.
Regionale/Lokale nettverk Selv om mesteparten av
våre medlemmer befinner seg i og rundt Oslo, har vi likevel
mange medlemmer i de øvrige deler av landet. For å bedre
kunne serve medlemmer andre steder i landet har vi initiert et
initiativ til å starte lokale nettverk utenfor Oslo. Stian Pedersen
fra BDO som er en av initiativtakerne til en sterkere nettverks-
58
SIRK nr 2. 2012
bygging utenfor Oslo, har meldt seg som kontaktperson for å
starte opp i region Sør-Vest landet (Rogaland, Vest-Agder og
Aust-Agder.) Det må jo være mulig å overføre noen av
medlems- og nettverksmøtene som finner sted til andre steder
av landet, og å skape lokale nettverk for erfaringsutveksling.
Programkomiteen drodler også med ideen om å overføre neste
medlemsmøte 7. februar 2013 som en telefonkonferanse fra
PwC Oslo til eksempelvis PwC Stavanger for at medlemmer i
dette området skal kunne møtes over det samme temaet som er
«Rapportering etter revisjoner». Om du har ideer om hvordan
regionale nettverk kan utvikles, innspill til lokale aktiviteter
eller selv ønsker å være en lokal node som får ting til å skje, ta
kontakt med [email protected].
Nordiske (og Baltiske) bransjenettverk
Det finnes bransjenettverk for internrevisorer mellom de
nordiske landene, eksempelvis innen strømforsyning, hvor
deltakerne har stort utbytte av å dele bransjeerfaringer på tvers
av landegrensene. NIRF og IIA Sverige vil i løpet av 2013
legge til rette for flere bransjespesifikke nettverk i Norden og
Baltikum. På arbeidsbenken ligger i dag flere tanker, eksempelvis å samle de forskjellige bransjenettverkene til en dag
hvor halvparten av tiden dedikeres til generelle temaer i
plenum, mens resterende tid vil medgå til å diskusjon bransjevis. Avslutningsvis ville det vært hyggelig med en middag hvor
det gis anledning til å knytte nærmere bekjentskap med
Nordiske og Baltiske kollegaer i en avslappet og sosial
atmosfære.
F o re n i n g s n y t t
Ledernettverk - Audit Executive Centre –
Audit Director Roundtable
Er du ansatt internrevisjonsleder, uansett om det er en stor eller
liten internrevisjonsfunksjon, er du hjertelig velkommen til å
delta i nettverk for ansatte internrevisjonslederes fire halvdagsmøter hvor erfaringsutveksling og nettverksbygging på ledernivå
står høyt på agendaen.
IIA Nord-Amerika utviklet for et par år siden et eget tilbud til
ledere av internrevisjoner, «Audit Executive Center». Tjenesten
er hovedsakelig en web-portal hvor ledere kan:
• Share, compare, and validate their internal audit activities.
• Learn from the challenges and solutions of their peers.
• Enhance their operational effectiveness and efficiency.
• Webinars – Access to archived library of webinars on key
issues and discussions on the latest topics, issues, and trends
affecting the profession.
Tips: Du kan laste ned standardene og alle veiledninger ved å
logge deg på medlemssiden.
IIAs globale hjemmeside: www.globaliia.org
Vi minner om at IIAs hjemmeside har byttet navn til
globaliia.org. Her har IIA samlet all informasjon som er av
interesse for alle institutter, uavhengig av land. Du finner også
direkte linker til alle verdens institutter. Dersom du logger deg
på tidligere adressen www.theiia.org, vil du nå komme direkte
inn på siden til de nord-amerikanske instituttene hvor mye av
informasjonen ikke lenger er relevant.
Tjenesten er differensiert og man får tilgang til forskjellige
tjenester etter hvilket nivå man betaler for. Det er mulig å kjøpe
tilgang slik at hele revisjonsavdelingen får tilgang til web-portalen. En globalisering av innholdet er under oppbygging slik at
IIA også tilbyr tjenesten på globalt nivå, se www.globaliia.org.
I forlengelsen av å utvikle tjenester til globale ledere av internrevisjoner ble et europeisk Audit Director Roundtable arrangert i
Amsterdam i september. Der møttes 20 ledere fra de største virksomhetene fra privat sektor for å diskutere European Directives
and Regulations, Audit Committee Role and Expectations og
Staffing & Organisational Structures for Global Coverage. Fra
Norge deltok DNB og Orkla. Diskusjonene ble vel mottatt og
neste ADR vil bli arrangert våren 2013 i Berlin eller Frankfurt.
Det er formålstjenlig å legge arrangementet til en sentral by slik
at deltakerne kan reise frem og tilbake på samme dag.
Audit Channel.tv
Konferanser verdt å merke seg i 2013
NIRFs årskonferanse, 26. – 28. mai, Bodø
IIAs International Conference, 14. – 17. juli, Orlando, USA
ECIIA Conference, 2. – 4. oktober, Wien, Østerrike
I tråd med mottoet “Fremskritt gjennom deling av kunnskap”
har IIA laget en videoside som publiserer videosnutter fra hele
verden med relevant innhold for internrevisorer og andre.
Såkalte “videokanaler” fokuserer på områder som misligheter,
compliance, goveranance, risk, etikk og mye mer. Gå til
www.auditchannel.tv og vurder innholdet selv.
Nye veiledninger siden forrige nummer
av SIRK:
PG Integrated Auditing (juli 2012)
PG Auditing Privacy Risks (juli 2012) Erstatter GTAG 5!
PG Developing the Internal Audit Strategic Plan (juli 2012)
PG Evaluating Ethics-Related Programs and Activities (juni 2012)
GTAG 17: Auditing IT Governance (juli 2012)
GTAG 7: Information Technology Outsourcing, 2nd Edition
(juni 2012)
Supplemental Guidance:
Optimizing Public Sector Audit Activities (juli 2012)
Red Book-Yellow Book Comparison, 2nd Edtiton (juni 2012)
SIRK nr 2. 2012
59
F o re n i n g s n y t t
Foreningen gratulerer følgende
medlemmer med ny tittel siden
forrige nummer av SIRK:
60
Diplomert Intern Revisor (Dipl IR)
Certified Internal Auditor (CIA)
Nadeem Akthtar, Statens vegvesen
Sidsel Skappel, Statsbygg
Inger Faller, Fet kommune
Hege Antonsen, Helse Nord
Rune Botnevik, Statoil
Ola B. Saxvik, Riksrevisjonen
Linda Asp, Statens vegvesen
Odd Nilsen, Riksrevisjonen
Karin Jensen, Nets Norway
Heidi Garberg Gule, Oslo kommune
Alf Uldal, Pasientreiser
Anna Ræder, Riksrevisjonen
Mari Repstad, Riksrevisjonen
Natalia Ulstein, LHL
Eirin Fremstad, Riksrevisjonen
Mette S. Fasting, Sintef
Mette Rolen Offstad, Riksrevisjonen
Beate Seim Midtlien, Riksrevisjonen
Åsbjørn Ueland, Statoil
Venill Schei, Deloitte
Hilde K. Olsen, DNB
Jørn Olav Nyhus, Toll- og avgiftsdirektoratet
Morten Jespersen, KLP
Karoline Flåten, PwC
Geir Anders Fagerheim, Forsvarssjefen
Bård Olsen, Aker Solutions
Liss J. Vallestrand, Miljøverndepartementet
Hilde K. Olsen, DNB
Rune Botnevik, Statoil
SIRK nr 2. 2012
Certification in Risk Management
Assurance (CRMA)
Ann Kristin Flaa, Gjensidige
Harald Bergh, Gjensidige
Hilde Øiseth Nordlid, Gjensidige
Nils Hjelle, Toll- og avgiftsdirektoratet
Albert Wolders, Deloitte
Erik Andersson, DNB
Endre Jo Reite, Sparebank 1
Rune Johannessen, Nordea
Linda Lillestøl, Forsvarsdepartementet
Tatjana Bachem, Norsk Hydro ASA
Janne Britt Saltkjel, Deloitte
Bård Olsen, Aker Solutions
Europeisk akademisk konferanse innen intern revisjon
og corporate governance (virksomhetsstyring)
i Oslo fra 24-26 april 2013
I samarbeid med Cass Business School i London,
The University of Pisa i Italia, The Catholic
University of Louvain i Belgia The University of the
Aegean i Hellas, og The University of Verona i Italia,
arrangerer Handelshøyskolen BI;
The 11th European Academic
Conference on Internal Audit and
Corporate Governance
i Oslo fra 24 til 26 april 2013.
Konferansen er en mulighet for den med interesse
for forskning innenfor intern revisjon og virksomhetsstyring til å få et innblikk i hva som rører seg på
den internasjonale forskningsarenaen innenfor disse
områdene. Konferansen gjennomføres over 3 dager,
hvor den første dagen gjennomføres som en workshop for doktorgradsstudenter. Her får de muligheten til å presentere sitt doktorgradsprosjekt for
erfarne forskere innenfor området. Få tips og ideer
til arbeidet videre.
Hovedkonferansen (25-26 april) gjennomføres også
som en slags workshop, hvor artikkel presenteres og
diskuteres i plenum.
Selv om konferansen defineres som akademisk, vil
artiklene som presenteres ofte omhandle praktiske
problemstillinger som kan være av interesse også for
de som definerer seg selv som praktikere.
En hovedfordel med denne konferansen er at den
ikke er så stor når det gjelder antall mennesker.
Vanligvis vil det være mellom 50 og 70 mennesker til
stede. Dette gjør konferansen til en arena som gir
god mulighet til interaksjon mellom deltakerne.
Konferanseavgiften er ikke helt fastsatt ennå, men vi
lligge på ca 3000- 3500 NOK. Dette inkluderer
mulighet til å være med på alle 3 dagene, lunch, samt
konferansemiddag.
Sjekk ut nettsiden til konferansen hvor informasjon
agående påmelding, program etc vil bli lagt ut
etterhvert.
Dersom du har spørsmål angående konferansen, så
ta gjerne kontakt med undertegnede!
Velkommen!
Janicke L. Rasmussen, PhD (Conference Chair)
BI Norwegian Business School
Department of Accounting - Auditing and Law
PB N-0442 OSLO - NORWAY
http://bi.no
Tlf: +4746410433
http://event.bi.no/iacgconference2013/
SIRK nr 2. 2012
61
Forbedringpotensial.
Kanskje det mest
undervurderte
aspektet ved
internrevisjon.
Vi vet at du vil ha mer
ut av internrevisjonen.
N]\„a\]flaÕk]j]
forbedringsområder,
kan vi hjelpe deg på
veien fra god til best.
Les mer på ey.no/advisory
62
SIRK nr 2. 2012
På t a m p e n
På tampen
En risk manager, en compliance officer og en intern
revisor skal ta en tur i en varmluftsballong. Før
ballongen tar av studerer risk manageren værkartet,
måler gassen i beholderen og gjør sine beregninger.
Compliance officer tar for seg sikkerhetsmanualen og
sjekke at alle tauer og sandsekker i ballasten er med.
Internrevisoren ser at alle de andre er opptatt med
sine respektive oppgaver og deler ut kaffe fra kannen.
Ballongen letter seg fra bakken og turen begynner.
Solen skinner og utsikten nytes. Etter hvert fortæres
forfriskninger og nytes en kald øl i høyden. Men dessverre skifter været brått og det er tydelig en mørk
storm på vei. Alle er de enige om at det fremste målet
er nå å komme ned på bakken. Risk manageren
sjekker vindretningen, slår av gassen for en planlagt
landing på et mer åpent lende, compliance officeren
firer ned et tau med krok på og med hjelp fra risk
manageren får han festet kroken på en busk og langsomt når de bakken. Mens dette pågår sitter internrevisoren med oppslått notisblokk og noterer.
Omsider er de kommet seg ned på bakken og i mangel
på andre alternativer snur de kurven til varmlufts-
ballongen opp ned, og søker ly under den. Nå som
faren er over, puster de lettet ut og begynner å slappe
av. Både risk manageren og compliance officeren
hadde gått med en gryende frustrasjon over at
internrevisoren hadde bare sittet med nesen opp i
notisblokken sin mens de hadde kjempet for å få
ballongen ned.
Til slutt kunne ikke risk manageren dy seg lenger og
sa til internrevisoren ”Hvorfor kunne ikke du hjelpe
til mens vi kjempet for å ballongen ned ? Og hva er
det du sitter å skriver på?”
Da svarer revisoren ”Jeg skjønner ikke helt hvorfor du
tar den tonen. Jeg satt der og var bare så imponert
over hvordan dere tok tak i situasjonen og reddet oss
ned i tide. Det jeg noterte i boken var måten dere
gjorde dette på. Jeg er ikke så sikker på at om jeg en
annen gang skulle ta en ballongtur at jeg er så heldig å
få sitte på med så flinke folk som dere. Da blir det
kanskje opptil meg å instruere de andre om å følge
beste praksis… Forresten har jeg også identifisert en
anbefaling til dere også: Neste gang bør det tas med en
presenning i kurven for nå begynner jeg å bli våt…”
SIRK nr 2. 2012
63
Returadresse: NIRF, Postboks 1417 Vika, 0115 Oslo
Internrevisjonen i Forsvarsdepartementet styrker laget ytterligere
FD Led Internrevisjonen styrker laget med to nyopprettede stillinger. Besøk www.iia.no i dag og les om de
spennende og utfordrende stillingene. Vi søker personer som har god forståelse og interesse for internrevisjon.
Stillingene er opprettet for å styrke vår revisjonsinnsats i hele forsvarssektoren, og enheten vil da bestå av 9
medarbeidere. Kontakt avdelingsdirektør Frank Alvern på telefon 909 800 63 eller epost [email protected]
Søknadsfristen er 7. januar 2013.
Forsvarsdepartementet er et regjeringskontor med ansvar for utforming og
iverksetting av norsk sikkerhets- og
forsvarspolitikk, og er ansvarlig for
overordnet styring og kontroll av de fire
underlagte etaters virksomhet;
Forsvaret, Forsvarsbygg (FB),
Forsvarets forskningsinstitutt (FFI) og
Nasjonal sikkerhetsmyndighet (NSM).
Internrevisjonen, som er direkte
underlagt departementsråden i
Forsvarsdepartementet, er en objektiv
bekreftelses- og rådgivningsfunksjon
som har til formål å tilføre merverdi og
forbedre driften i hele forsvarssektoren.
I tillegg til å være departementets egen
internrevisjonsenhet som dekker hele
sektoren, så leverer vi etter avtaler en
selvstendig internrevisjonsfunksjon til
FB, FFI og NSM i tillegg til at vi
samarbeider med Forsvarssjefens
internrevisjon.
Illustrasjonen til venstre er hentet fra NIRFs
siste brosjyre: STYRING OG KONTROLL
for å sikre måloppnåelse.
ISSN 1892-9370