Principer och fokusområden

Full text

(1)

COSO Ramverket för Intern Styrning och Kontroll - uppdateringen

Seminarium II 11 Juni 2013

Principer och fokusområden

(2)

Agenda

•  Genomgång ramverk

o  Principer

o  Fokusområden o  Utvärderingsstöd

o  Extern finansiell rapportering

•  Reflektioner och kommentarer

(3)

Sammanfattning av nytt ramverk

•  Mycket kvarstår i ungefär samma form

•  Fem komponenter som måste fungera effektivt

•  Introducerar dock principer och fokusområden

•  Komponenter och principer måste vara integrerade

•  Klargörande av krav för effektiv intern styrning och kontroll

•  Anpassad efter nya affärsförhållanden (IT/komplexitet)

•  Utökad omfattning (rapportering)

(4)

Definitionen kvarstår i allt väsentligt

“Internal control is a process, effected by an entity’s board of

directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives

relating to operations, reporting, and compliance”

•  “Geared to the achievement of objectives in one or more separate but overlapping categories

•  A process consisting of ongoing tasks and activities—it is a means to an end, not an end in itself

•  Effected by people—it is not merely about policy and procedure manuals, systems, and forms, but about people and the actions they take at every level of an organization to effect internal control

•  Able to provide reasonable assurance, not absolute assurance, to an entity’s senior management and board of directors

•  Adaptable to the entity structure—flexible in application for the entire entity or for a particular subsidiary, division, operating unit, or business process”

(5)

Vilka mål gäller det?

•  Operativa mål —”These pertain to effectiveness and efficiency of the entity’s operations, including operational and financial performance goals, and safeguarding assets against loss”

•  Mål som rör rapportering —”These pertain to internal and external financial and non-financial reporting and may

encompass reliability, timeliness, transparency, or other terms as set forth by regulators, standard setters, or the entity’s

policies”

•  Mål som rör regelefterlevnad —”These pertain to adherence to laws and regulations to which the entity is subject”

(6)

Ramverket utgörs fortfarande av samma fem komponenter

•  Kontrollmiljö (eg. styr- och kontrollmiljö)

•  Riskbedömning

•  Kontrollaktiviteter

•  Information och Kommunikation

•  Uppföljning/Övervakning

→  Alla komponenter måste finnas (vara närvarande) och fungera för att en effektiv intern styrning och kontroll skall föreligga

(7)

Om de fem komponenterna

•  Ej en linjär process

•  De måste integreras (ömsesidighet)

•  De måste anpassas och därför vara dynamiska

•  Utformning varierar mellan industrier och bolag

•  Inga företag skall ha identiska kontrollstrukturer

(8)

Om relationen till målen

•  Målen är utgångspunkten för en god intern styrning och kontroll men…

•  …granskningen av mål är INTE en del av den interna styrningen och kontrollen och den…

•  ..”kan inte säkerställa bra mål” enligt COSO

•  Att sätta mål är således en del av ledningsprocessen

•  Tre kategorier av målsättningar förekommer:

o  Operativa (performance etc.)

o  Rapportering (finansiell/icke-finansiell) o  Compliance (regelefterlevnad)

(9)

Om begränsningar i intern styrning och kontroll

•  Målsättningar är sällan perfekta

•  Människor fattar dåliga beslut ibland

•  Processer och system är inte ofelbara

•  Ledningen kan kringgå kontroller

•  Bedrägerier genom maskopi

→  [Reasonable assurance]….

(10)

Principer för god intern styrning och kontroll

•  17 principer fördelade över 5 komponenter

•  Principer relaterade till specifika komponenter

•  Principerna är relevanta för alla organisationer

•  Principer relaterar till alla målkategorier

(11)

Effektivitet i intern styrning och kontroll

•  Ett effektivt system reducerar, till en acceptabel nivå, risken att ej uppnå mål inom någon kategori

•  Förutsättningar för att systemet skall vara effektivt:

o  Alla komponenter och principer skall vara närvarande och fungera effektivt

o  Alla komponenter skall vara ömsesidigt anpassade och integrerade

•  Det är dock en fråga om grad av uppfyllnad…

(12)

Effektivitet i intern styrning och kontroll (2)

•  Ramverket föreskriver vilka förutsättningar som gäller för att systemet skall kunna betraktas som effektivt

•  Ramverket föreskriver inte processen för hur styrelse

och ledning kommer fram till och bedömer huruvida

systemet är effektivt (även om verktyg finns..)

(13)

Effektivitet i intern styrning och kontroll (3)

•  Komponenter och principer finns [present]

•  Komponenter och principer fungerar [functioning]

o  Organisationen förstår hur principer tillämpas i praktiken

o  Organisationen hjälper medarbetare med att utveckla och tillämpa principer o  Avvikelser i komponenter och principer triggar organisationen till åtgärder

•  När fungerar intern styrning och kontrollen effektivt:

“När intern styrning och kontroll bedöms vara effektiv så vet styrelse och verkställande ledning med rimlig säkerhet att organisationen:

o  Uppnår operativa målsättningar när standarder och kriterier är etablerade av lagstiftare, tillsynsmyndigheter och normgivare

o  Förstår i hur hög grad verksamheten drivs på ett effektivt och ändamålsenligt sätt när externa standarder ej existerar

o  Upprättar rapporter i enlighet med regelverk, lagar och standarder etablerade av lagstiftare, tillsynsmyndigheter och normgivare, eller med verksamhetens specifika mål och policyer o  Efterlever lagar och förordningar”

(14)

Om brister i intern styrning och kontroll

•  Svaghet i komponent eller princip, som på ett väsentligt sätt kan hindra måluppfyllnad = brist i intern kontroll [internal control deficiency]

•  Svaghet, eller kombination av svagheter, som är tillräckligt allvarliga så att de negativt påverkar

sannolikheten för måluppfyllnad = väsentlig brist i

intern kontroll [major deficiency]

(15)

Kontrollmiljö

”Kontrollmiljön är en uppsättning standarder, processer och strukturer som utgör grunden för att utföra intern styrning och kontroll inom organisationen.

Det är styrelsen och verkställande ledning som etablerar ledningssstilen i ord och handling, samt klargör vikten av intern kontroll och förväntningar rörande etiskt uppförande”

Ramverket anger 5 principer för organisationens kontrollmiljö:

1. ”The organization demonstrates a commitment to integrity and ethical values.

2. The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control.

3. Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.

4. The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives.

5. The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives”.

(16)

Riskbedömning

“Riskbedömning är en dynamisk process för att identifiera och analysera risker i relation till företagets målsättningar. Riskbedömning utgör basen för hur risker skall behandlas och hanteras”

Ramverket anger 4 principer för organisationens riskbedömning:

1. ”The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.

2. The organization identifies risks to the achievement of its objectives across

the entity and analyzes risks as a basis for determining how the risks should be managed 3. The organization considers the potential for fraud in assessing risks to the

achievement of objectives.

4. The organization identifies and assesses changes that could significantly impact the system of internal control”.

(17)

Kontrollaktiviteter

“Kontrollaktiviteter är de aktiviteter som etableras av policyer och rutiner och som bidrar till att säkerställa att ledningens direktiv för att hantera risker

verkställs. Kontrollaktiviteter utförs på alla nivåer inom organisationen, inom affärsprocesser och i relation till IT”

Ramverket anger 3 principer för organisationens kontrollaktiviter:

1.”The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels.

2. The organization selects and develops general control activities over technology to support the achievement of objectives.

3. The organization deploys control activities through policies that establish what is expected and procedures that put policies into action”.

(18)

Information och Kommunikation

“Information är nödvändig för att organisationen skall kunna ta sitt ansvar för intern styrning och kontroll, i relation till dess målsättningar. Kommunikation utförs både externt och internt, och förser organisationen med nödvändig information för att kunna utforma och utföra intern styrning och kontroll.

Kommunikation möjliggör att organisation och personal förstår ansvar rörande intern styrning och kontroll, och dess betydelse i relation till risker och målsättningar”.

Ramverket anger 3 principer för organisationens information och kommunikation:

1. “The organization obtains or generates and uses relevant, quality information to support the functioning of other components of internal control.

2. The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of other components of internal control.

3. The organization communicates with external parties regarding matters affecting the functioning of other components of internal control”.

(19)

Uppföljning och Övervakning

“Uppföljning och övervakning sker i syfte att över tid säkerställa att den

interna styrningen och kontrollen förblir relevant och fungerande. Uppföljning sker på olika nivåer och med olika frekvens, och möjliggör att kontroller

anpassas samt att avvikelser snabbt identifieras och adresseras inom organisationen. Uppföljning av intern styrning och kontroll är en del av företagets naturliga förbättringsarbete”

Ramverket anger 2 principer för organisationens uppföljning:

1. “The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning

2. The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including

senior management and the board of directors, as appropriate”.

(20)

Principernas roll

•  Alla principer är relevanta för alla organisationer

•  En princip har en väsentlig påverkan på hur den specifika komponenten fungerar

•  En princip som ej är närvarande eller fungerar väl = väsentlig brist

•  Bedömning av grad av uppfyllnad, det är alltså inte

en fråga om uppfyllnad eller avsaknad av uppfyllnad..

(21)

Intern styrning och kontroll – en bedömningsaktivitet

Krävs professionellt omdöme för att utforma, tillämpa och följa upp systemet för intern styrning och kontroll, såsom vid att:

o  Välja, utforma och tillämpa kontroller i relation till komponenter och principer

o  Bedöma huruvida komponenter och principer fungerar tillfredställande

o  Bedöma kontrollbrister i relation till påverkan på målsättningar

(22)

Ramverket introducerar Fokusområden

•  Ramverket introducerar fokusområden

•  Utgör typiskt sett viktiga attribut hos principer

•  Utgör stöd för att bedöma principer

•  Utgör stöd för att underbygga bedömningar

•  Dock, möjligt att välja andra fokusområden…

(23)

Ramverket om Cost/Benefit-analysen

•  Trygghet i relation till måluppfyllnad (+)

•  Onödiga brister och incidenter undviks (+)

•  Företagsexterna fördelar (+)

•  Kostnader för kompetent personal (-)

•  Kostnader för kontroller (-)

•  Bedömning av cost/benefit väsentlig

•  Upp till varje företag och ledning att bedöma

•  Att enbart beakta kostnader = otillräckligt

(24)

Ramverket om dokumentation

•  Skapar tydlighet kring förhållningsätt

•  Ger stöd vid träning och utveckling

•  Utgör bevis

•  Ledningen bedömer formaliseringsbehov

•  Detta är beroende av företagets art, komplexitet och storlek

•  Viss nivå av formalisering nödvändig…

•  ..får dock ej leda till onödig och kostsam byråkratisering som tynger organisationen…

(25)

Kontrollmiljö – 5 principer

1.  Hantera frågor om integritet och etik 2.  Följa upp och övervaka av styrelse

3.  Etablera strukturer, roller och ansvar av ledningen 4.  Attrahera och behålla kompetens

5.  Utkräva ansvar inom organisationen [accountability]

(26)

Princip 1: Integritet och etik

4 Fokusområden

I.  Ange “tonen vid toppen”

II.  Etablera uppförandekoder

III.  Utvärdera efterlevnad av uppförandekoder IV.  Adressera avvikelser

(27)

Princip 2: Styrelsens uppföljning

4 Fokusområden

I.  Etablera ansvar för uppföljning av intern kontroll II.  Använd relevant kompetens

III.  Fungera oberoende (i relation till ledning)

IV.  Aktivt övervaka systemet för intern styrning och kontroll

(28)

Princip 3: Struktur, mandat och ansvar

3 Fokusområden

I.  Beakta all verksamhet i organisationen II.  Etablera rapporteringsvägar

III.  Definiera, fördela och begränsa mandat och ansvar

(29)

Princip 4: Attrahera och behålla kompetens

4 Fokusområden

I.  Etablera policyer och rutiner

II.  Utvärdera kompetens och hantera gap III.  Attrahera, utveckla och behålla personal

IV.  Planera och hantera “HR-kontinuitet” (succession)

(30)

Princip 5: Utkräva ansvar

5 Fokusområden

I.  Utkräva ansvar genom struktur, mandat och ansvar

II.  Etablera mål och mätetal, incentiv och belöningssystem III.  Utvärdera mål och mätetal, incentiv och belöningssystem

löpande

IV.  Beakta konflikterande drivkrafter

V.  Utvärdera “performance” (prestationer) och belöna personal, samt hantera och följ upp undermålig prestation

(31)

Riskbedömning – 4 principer

1.  Specificera lämpliga mål

2.  Identifiera och analysera risker

3.  Analysera risker för oegentligheter

4.  Identifiera och analysera väsentliga förändringar

(32)

Princip 1: Specificera lämpliga mål

Fokusområden - operativa målsättningar

I.  Besluta om mål som reflekterar medvetna beslut om vägval II.  Beakta tolerans för risk

III.  Beakta både finansiella/icke-finansiella mål IV.  Allokera resurser baserat på mål

(33)

Princip 1: Specificera lämpliga mål

Fokusområden - extern finansiell rapportering

I.  Efterleva god redovisningssed II.  Beakta matrialitet

III.  Rapportering ska reflektera underliggande transaktionsflöden

(34)

Princip 1: Specificera lämpliga mål

Fokusområden - extern icke-finansiell rapportering

I.  Efterleva externa standarder och ramverk

II.  Beakta nödvändig och efterfrågad precisionsnivå i rapportering

III.  Rapportering ska reflektera underliggande transaktionsflöden och aktiviteter

(35)

Princip 1: Specificera lämpliga mål

Fokusområden - intern rapportering

I.  Skall reflektera ledningens vägval och beslut

II.  Beakta nödvändig och krävd precisionsnivå i rapportering III.  Skall reflektera organisationens aktiviteter

(36)

Princip 1: Specificera lämpliga mål

Fokusområden - regelefterlevnad (compliance)

I.  Skall reflektera externa lagar och regler

II.  Beakta organisationens toleransnivå för risk

(37)

Princip 2: Identifiera och analysera risk

5 Fokusområden

I.  Identifiera alla relevanta enheter

II.  Analysera interna och externa faktorer

III.  Involvera ledningen på alla relevanta nivåer IV.  Bedöma riskernas väsentlighet

V.  Besluta om riskbehandling

(38)

Princip 3: Bedöma risk för oegentligheter

4 Fokusområden

I.  Beakta olika typer av oegentligheter

II.  Bedöm belöningsssystem och drivkrafter III.  Bedöm “möjligheterna” för oegentligheter IV.  Utvärdera attityder

(39)

Princip 4: Identifiera och analysera förändring

3 Fokusområden

I.  Bedöm extern förändring i omgivning II.  Bedöm förändringar i affärsmodell III.  Bedöm förändringar i ledningen

(40)

Kontrollaktiviteter – 3 principer

1.  Välja och utveckla kontrollaktiviteter i relation till väsentliga risker

2.  Välja och utveckla kontroller över IT i relation till väsentliga risker

3.  Utveckla och implementera policyer som beskriver

kontrollens utformning, och rutiner som beskriver

kontrollens utförande

(41)

Princip 1: Välja och utveckla kontrollaktiviteter

6 Fokusområden

I.  Integrera med riskbedömning

II.  Beakta den specifika organisationens krav III.  Fastställa väsentliga affärsprocesser

IV.  Utvärdera mix av kontroller

V.  Beakta nivå på kontroller (företagsövergripande vs process) VI.  Beakta uppdelning av ansvar (SoD)

(42)

Princip 2: Välja och utveckla kontrollaktiviteter över IT

4 Fokusområden

I.  Fastställ beroende mellan IT i processer och generella kontroller över IT

II.  Etablera relevanta kontroller över infrastrukturens IT III.  Etablera relevanta kontroller över säkerhet

IV.  Etablera relevanta “livscykel-kontroller” över IT (införskaffa, utveckla, underhålla etc)

(43)

Princip 3: Utveckla och

implementera policyer och rutiner

6 Fokusområden

I.  Etablera policyer och rutiner som stöd för ledningens beslut II.  Etablera ansvar och ansvarsutkrävande rörande utförandet

av kontroller

III.  Utföra kontroller enligt policy och rutin IV.  Vidta relevanta åtgärder vid avvikelser

V.  Använd kompetent personal för olika kontroller VI.  Löpande omvärdera befintliga policyer och rutiner

(44)

Information och kommunikation – 3 principer

1.  Skaffa och använd relevant information med hög kvalitet för att stöjda de övriga komponenternas funktion

2.  Kommunicera information internt om roller och ansvar samt hur kontroller skall hanteras, i syfte att säkerställa att övriga

komponenter fungerar

3.  Kommunicera med externa parter i syfte att säkeställa att övriga komponenter fungerar (ex. koppling till koncernextern utkontraktering)

(45)

Princip 1: Använd relevant information

5 Fokusområden

I.  Identifera behov av information

II.  Identifera externa och interna källor till data III.  "Processa" relevant data till information

IV.  Bibehåll kvalitet i "processandet" av data V.  Beakta kostnader och fördelar

(46)

Princip 2: Kommunicera internt

4 Fokusområden

I.  Kommunicera information rörande intern kontroll II.  Kommunicera med styrelsen

III.  Säkerställ separata kommunikationsvägar IV.  Välj relevanta metoder för kommunikation

(47)

Princip 3: Kommunicera externt

5 Fokusområden

I.  Kommunicera med externa parter

II.  Säkerställ information från externa parter III.  Kommunicera med styrelsen

IV.  Säkerställ separata kommunikationsvägar V.  Välj relevanta metoder för kommunikation

(48)

Uppföljning – 2 principer

1.  Organisationen väljer, utformar och implementerar löpande och separat uppföljning i syfte att

säkerställa att komponenter fungerar

2.  Organisationen kommunicerar avvikelser till

berörda parter (de som är ansvariga för att åtgärda

avvikelser), samt vid behov till styrelse och ledning

(49)

Princip 1: Löpande och separat uppföljning

7 Fokusområden

I.  Etablera mix mellan löpande och separat uppföljning

II.  Beakta förändringshastighet i omgivning och verksamhet III.  Etablera utgångspunkt/baslinje för kontroll

IV.  Använd kompetent personal V.  Integrera med affärsprocesser VI.  Justera omfattning och frekvens VII.  Utvärdera objektivt

(50)

Princip 2: Utvärdera och kommunicera avvikelser

3 Fokusområden

I.  Utvärdera resultat

II.  Kommunicera avvikelser

III.  Övervaka och följ upp beslutade åtgärder

(51)

Om utvärdering och bedömning av

effektiviteten i intern styrning och kontroll

Kompendiet ger stöd för 2 huvudsakliga frågeställningar:

•  Fungerar varje komponent och princip för sig?

•  Fungerar komponenterna ihop?

(52)

Om utvärdering och bedömning av

effektiviteten i intern styrning och kontroll

Verktyg för att bedöma effektivitet i intern styrning och kontroll:

•  Mallar: Används för att kunna bedöma effektiviten i systemet för intern styrning och kontroll, samt dokumentera denna bedömning.

•  Scenarier: Illustrerar hur mallarna kan används för att stödja en

bedömning av effektiviteten i systemet för intern styrning och kontroll.

(53)

Om mallarna för bedömning av Intern styrning och kontroll

•  Indikerar en form för bedömningssätt

•  Ej integrerad med ramverket (stand-alone)

•  Följer dock kraven utifrån ramverket

•  Mallar är inget stöd för utvärdering på kontrollnivå…

•  ..enbart på komponent- och principnivå

•  Stödjer en top-down riskbaserad ansats

•  Följande mallar finns:

o  Överordnat bedömning av ISK o  Bedömning av komponent o  Bedömning av princip

o  Sammanfattning av brister i ISK

(54)

Föreslagen

bedömningsprocess

(55)

Övergripande bedömning

(56)

Bedömning av komponent

(57)

Bedömning av principer

(58)

Sammanfattning av brister

(59)

Extern finansiell rapportering (kompendiet)

1.  Exemplifieringar

2.  Ramverket är utgångspunkten

(60)

Tack och verkställ

Figur

Updating...

Referenser

Updating...

Relaterade ämnen :