SIRK 1/2015 by IIA Norge

SIRK

St yring – Internrevisjon – Risiko – Kontroll

Nr 1, vår 2015, 23. årgang

Nr 1 2015

Nye krav til bruk av internrevisjon

The Bedrock of Quality

Integrert rapportering – hva innebærer det?

Lykkes med risikostyring?

s. 24

s. 37

s. 30

Bevarer og skaper verdier Deloitte er ett av de ledende internrevisjonsmiljøene i Norge. Vi bidrar til å skape resultater for våre kunder gjennom en strategisk tilnærming til utfordringer, men også gjennom praktiske handlinger og gjennomføringsevne. Vi har i dag over 100 rådgivere som leverer tjenester innenfor internrevisjon, strategisk og taktisk risikostyring, intern kontroll, corporate governance, compliance, informasjonssikkerhet, granskning og antikorrupsjon. Deloitte er verdens største leverandør av profesjonelle tjenester med over 210.000 medarbeidere i over 150 land, hvorav ca. 1.250 i Norge. Ønsker du å vite mer om våre tjenester eller være del av et dynamisk og innovativt miljø, kontakt oss gjerne for en hyggelig samtale. Stein Ove Songstad, Partner ssongstad@deloitte.no Tlf. 915 56 161

Eivind Skaug, Partner eskaug@deloitte.no Tlf. 915 18 997

Helene Raa Bamrud, Partner hbamrud@deloitte.no Tlf. 974 23 678

REDAKTØRENS SPALTE

Revisorer har rykte på seg om å like forandringer dårlig. Dette nummeret motbeviser dette ryktet fullstendig.

MARTIN STEVENS

For det første må du, da du tok denne utgaven av SIRK i hånden, ha lagt merke til en annen utforming og stil. Styret har velsignet dette for søket på å friske opp bladet. Vi håper at dere liker den mer strukturerte og samtidsrettede utformingen. All ros og ris i denne sammen hengen mottas med takk! Det vil etter hvert komme en ny utforming på websidene, hvor vi har fremmet et ønske om å lagre artikler enkeltvis, slik at de blir lettere å finne på weben. Dernest tenker jeg på innholdet. Et varmt tema internasjonalt er utvidet virksomhetsrapportering til allmenheten. Tidligere var det nok med et sett regnskapstall, så kom krav om utvidede tallanalyser og -forklaringer, og nå snakker man om samfunnsansvar og bærekraftig utvikling. Samtidig reises det spørsmål om internrevisors rolle i evaluering og bekreftelse av disse «nye» rapportene. Tematikken belyses i tre artikler i dette nummeret. Utvikling av internrevisjon innenfor offentlig sektor har skutt fart i det siste, både internasjonalt og nasjonalt. Finansdepartementets nye krav er ferskt nyhetsstoff.

er områder hvor alle forsvarslinjer har interesse av å vurdere sine arbeidsoppgaver og roller. Compliance som eget funksjonsområde er relativt ungt, Vi belyser her arbeidet som pågår for å definere rollen i norske virksomheter. I sine «faste» poster i dette nummeret informerer både presidenten i vår forening og generalsekretær om noe av den aktiviteten som foregår internt i egen forening og utviklingen internasjonalt. Noen ganger er det lettere å se hvor langt man er kommet når man ser tilbake på utgangspunktet. Derfor har vi denne gangen begynte med et kort tilbakeblikk for 40 år siden, der internrevisjon i Norge var det samme som bank revisjon, og for 20 år siden da internrevisjonsforening i Norge fikk en betydelig fremvekst. Redaksjonsutvalget håper at det skal være noe for enhver smak i denne utgaven av SIRK, uavhengig av om du er ny i stillingen eller d reven i faget. Da gjenstår det bare å minne om at SIRK er avhengig av deg som skribent og intitiavtager til godt innhold. Ikke brenn inne med godt fagstoff, men ta kontakt med oss i redaksjonutvalget eller ved administrasjonen. God sommer!

På områdene sikkerhet, korrupsjon og mislig heter er det tre artikler i dette nummeret. Dette

REDAKSJONSKOMITEEN

Jan Wilhelm Kavli Internrevisor, Utlendingsdirektoratet

Cira Holm Ethics & Compliance Manager, Yara International ASA

Reidar Døli Internervisjonsleder, Oslo Børs

Neste utgivelse er desember 2015

SIRK nr. 1 2015

Årsabonnement: Kr. 150

Annonsepriser: Kr. 5.000 for en helside Kr. 3.000 for en halvside Kr. 6.500 for baksiden (mva. tilkommer)

Grafisk produksjon: Merkur Grafisk AS Forsidebilde: Foto: Shutterstock.com

Opplag: 1000 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn.

Redaksjonen ønsker våre lesere en god sommer!

ØMERKE ILJ T M

0672 er

kur

Esa Leporanta Systems Audit Manager, Nets Norway AS

2041

Martin Stevens Internrevisor, Gjensidige Forsikring

G r a fi s

STYRELEDEREN HAR ORDET

Global Council

JØRGEN BOCK PRESIDENT NIRF @JORGENIIA

Global Council er en arena der ledere for alle instituttene i verden møtes årlig for å diskutere IIAs strategi og utviklingen av vår profesjon. På årets møte i april, i Beijing, ble særlig følgende fire temaer diskutert: • Profesjonalisering • «Advocacy» og hvordan etterspørselen etter våre tjenester hos de viktigste interessentene skal utvikles • Bærekraftige verdier for medlemmene • Strategier for å bygge kapasitet på tvers av instituttene

sentene skal ha stor tillit til oss. De områder som pekte seg ut var vårt arbeid med: • Velfungerende og effektive revisjonsutvalg • Governance • Internkontroll

Profesjonalisering Med profesjonalisering ønsker IIA å utvikle og dele kunnskap, med blant annet ulike typer veiledninger. En diskusjon innenfor dette temaet er i hvilken grad de enkelte instituttene selv skal kunne utarbeide veiledninger etc, i forhold til vårt rammeverk, IPPF. Enkelte medlemsland opplever sterkt behov for raskere informasjon fra IIA Global og utarbeider derfor mye materiell på egen hånd. IIA Global er opptatt av at profesjonen opptrer mest mulig samlet, og at det er kvalitetssikringsmekanismer til stede. Eksempler på lokal utvikling av standarder og veiledninger er: • Tillegg til standardene for internrevisorer i statlig sektor i UK • IIA Nederland har inntatt en annen holdning enn IIA Globalt når det gjelder om intern revisjonen også kan inneha 2. linjefunksjoner • IIA Norge har sammen med Frankrike, England, Nederland og Spania utarbeidet dokumentet «Enhancing Integrated Reporting – Internal Audit Value Proposition». Både IIA Global og ECIIA arbeider med tilsvarende initiativ til Integrert Rapportering og internrevisjonens rolle, og det er således et behov for koordinering av ressursene.

Disse områdene trenger også vi i Norge å styrke oss på, for å forbli relevante for våre interessenter.

«Advocacy» De fleste institutter har samme tilnærming for å styrke profesjonens anseelse. Man bruker kurs og konferanser, inviterer interessenter, involverer seg på universiteter og har kontakt med myndigheter. Mye arbeid gjøres også i de regionale organisasjoner, som for eksempel i Europa gjennom ECIIA.

Viktige områder for våre revisjonskunder, der deltagerne identifiserte de største hindringene for profesjonen for å bli oppfattet som en relevant og tillitsskapende aktør, var innenfor • Teknologi • Integrert rapportering

Bærekraftighet og strategier for å bygge kompetanse på tvers av landegrensene IIA er nå representert i 180 land. Vi er offisielt 180.000 medlemmer. IIA har som mål å nå 200.000 medlemmer. Spørsmålet om hvordan vi kan løfte hverandre på tvers av landegrensene ble derfor drøftet. Skal vi i Norge for eksempel få tilgang til kursmateriale i UK? Det ble fra flere land i Europa hevdet at det i vår region allerede er et godt samarbeid mellom instituttene. IIA Sverige og Norge samarbeider tett og vi har også igangsatt Nordisk / Baltisk samarbeid. Governancemodellen i IIA oppfattes av enkelte å være en utfordring. For eksempel mangler de regionale organisasjonene, som for eksempel den Europeiske organisasjon, ECIIA, formell tilknytning til IIA Global. Det ble også påpekt risiko for at IIA introduserer for mange sertifiseringer, og at dette gjør internrevisjonen mer utydelig. Til tross for at IIA Norge er en relativt liten organisasjon er det min mening at vi har kommet langt på de fleste områder. Det skyldes inn satsen til vår administrasjon og ikke minst det frivillige arbeidet og engasjementet i styret, alle nettverkene, komiteer og blant medlemmene. Jeg takker dere alle for innsatsen og ønsker dere en riktig god sommer.

Det ble identifisert viktige områder der intern revisjon må oppleves relevant og der interes-

SIRK nr. 1 2015

INNHOLD VIRKSOMHETSSTYRING 8

DFØ som pådriver for bedre internkontroll i staten

Stadig mer kostbart å ignorere samfunn og miljø

Pilotprosjektet «human rights due diligence»

Lansering av Veiledning for compliancefunksjonen

Ikke Redd for misligheter og korrupsjon

Integrert rapportering

Ikke-finansiell rapportering

22 34

RISIKOSTYRING INTERNREVISJON

11 Rapportanmeldelse: European Cybersecurity Implementation: Risk Guidance 16

På vei mot helhetlig risikostyring

Hva skal til for å lykkes med risikostyring?

Nye krav til bruk av internrevisjon i statlig sektor

Revisjon av personopplysninger

En gjesterevisors syn på internrevisjon

Bokanmeldelse: Lean auditing

Det var en gang

The Bedrock of Quality

FRA NIRF

European Cybersecurity Implementation: Risk Guidance

Cybersecurity is emerging within the fields of information security and traditional security to address sharp increases in cybercrime and, in some instances, evidence of cyberwarfare. Three major factors are contributing to the need for improved cybersecurity on a global basis: ubiquitous broadband, IT-centric business and society, and social stratification of IT skills. To address cybercrime and societal changes, many governments and institutions launched cybersecurity initiatives, ranging from guidance, through standardisation, to comprehensive legislation and regulation. ISACA has released the European Cybersecurity Implementation Series primarily to provide practical implementation guidance that is aligned with European requirements and good practice. This paper focuses on risk guidance in cybersecurity.

Kurs: Introduksjon og praktisk internrevisjon

Ekstern Evaluering

Generalsekretærer informerer

Kurs: påseplikt og antikorrupsjonsdag

www.isaca.org/cyber

SIRK nr. 1 2015

INTERNREVISJON

Nye krav til bruk av internrevisjon i statlig sektor Før sommeren fastsetter Finansdepartementet krav om at statlige forvaltningsorganer med utgifter eller inntekter over 300 millioner skal vurdere om de bør etablere en internrevisjon. Samtidig kommer krav til innretning av internrevisjonen. Hva er de nye kravene? Og hvilken betydning kan regulering av internrevisjon få?

e nye kravene om internrevisjon vil fastsettes av Finansdepartementet i et rundskriv (som blir en del av økonomiregelverket) og DFØ vil forvalte kravene. Den nye reguleringen vil inneholde to hovedkrav: • statlige forvaltningsorganer som har samlede utgifter eller samlede inntekter over 300 millioner kroner i henhold til siste publiserte årsrapport skal vurdere om de bør etablere en internrevisjon. • hvordan virksomheter som velger å etablere, eller allerede har etablert internrevisjon, innretter funksjonen. Det stilles krav til organisering, kompetanse og revisjonsplaner, bruk av anerkjente standarder og informasjon fra virksomheten.

CHRISTINE VIK OG OLA OTTERDAL seniorrådgivere i Direktoratet for økonomistyring (DFØ)

Finansdepartementet vil også stille krav til f elles vurderingskriterier som virksomhetene må ta hensyn til når de skal vurdere om internrevisjon bør etableres. Disse vurderingskriteriene er: • Virksomhetens størrelse og kompleksitet (inklusiv samlede utgifter eller inntekter) •R isiko og vesentlighet • Kvaliteten på virksomhetens styring og k ontroll Slike felles vurderingskriterier skal bidra til at vurderingene som blir sendt til overordnet departement er basert på andre sentrale kriterier enn størrelse. I tillegg skal dette bidra til at vurderingene får noen fellestrekk, slik at de kan sammenlignes over tid og mellom virksomheter. Vurderingen skal gjennomføres innen 1.mai 2016 og sendes overordnet departement. Alle virksomhetene som blir berørt av kravene skal vurdere behovet for internrevisjon regelmessig, og minimum hvert fjerde år.

Veileder om hvordan v irksomheter kan gjennomføre vurderingen I DFØ forbereder vi veiledningsmateriell om hvordan statlige virksomheter kan gjennomføre vurderingen. Høsten 2015 vil vi arrangere et seminar for å gjøre veiledningsmateriellet kjent, og forberede virksomheter som faller inn under kravet om vurdering. Dette innebærer at DFØ får en tydeligere rolle når det gjelder fagområdet internrevisjon. Tidligere

Når nærmere 80 virksomheter som ikke har internrevisjon fra før blir pålagt å vurdere dette, medfører det en bevisst gjøring av hva internrevisjon er, og hvilken merverdi en slik funksjon kan gi. har DFØ kartlagt bruk av internrevisjon og internkontroll i staten og gitt ut en veileder for statlige virksomheter som vurderer å etablere en internrevisjonsfunksjon. Når rundskrivet fastsettes av Finansdepartementet vil det nye materiellet erstatte denne veilederen. DFØ vil etter hvert også se nærmere på behovet for støtte til de virksomhetene som velger å etablere en internrevisjon. SIRK nr. 1 2015

INTERNREVISJON

Hvorfor reguleres internrevisjon i staten? Bruken av internrevisjon er regulert i kommunesektoren og i finanssektoren. Flere av de store statlige virksomhetene har hatt internrevisjoner i flere år. De fleste OECD-land har en regulering av bruken av internrevisjon i statlig sektor. OECD anbefalte i sin rapport

Noen av virksomhetene som omfattes av det nye vurderingskravet er svært store målt i budsjett, og det blir interessant å se hvordan disse konkluderer og hvordan de begrunner sin konklusjon.

«Value for Money in Government» (2013) at Norge utvikler og regulerer bruken av internrevisjon i statlige virksomheter. Finansdepartementet satte høsten 2013, blant annet på bakgrunn av anbe falingen fra OECD, i gang en utredning om bruk av internrevisjon i staten. Formålet med utredningen var å etablere mer forutsigbare rammer for bruk av intern revisjon i staten ved å videreutvikle økonomiregelverket og tilrettelegge faglige standarder og annen støtte for internrevisjon. Basert på utredningsrapporten og høringsuttalelsene som er kommet, har Finansdepartementet besluttet å fastsette krav om bruk av internrevisjon i økonomi regelverket.

Hva betyr de nye kravene? Selv etter at de nye kravene om vurdering er fastsatt, vil det være frivillig for statlige virksomheter om de vil etablere en internrevisjon. Når nærmere 80 virksomheter som ikke har internrevisjon fra før blir pålagt å vurdere dette, medfører det en SIRK nr. 1 2015

bevisstgjøring av hva internrevisjon er, og hvilken merverdi en slik funksjon kan gi. Selv om virksomheten konkluderer med at internrevisjon ikke er aktuelt på nå værende tidspunkt, vil den bli mer bevisst på om styringen og kontrollen er god nok, og om det er behov for andre tiltak for å forbedre denne. Noen av virksomhetene som omfattes av det nye vurderingskravet er svært store målt i budsjett, og det blir interessant å se hvordan disse konkluderer og hvordan de begrunner sin konklusjon.

Kravene kan gi positive ring virkninger Det kan også forventes at departementene som mottar vurderingene blir mer bevisste på internrevisjon som verktøy i styringen, og behovet for internrevisjon blant sine underliggende virksomheter. Departementene skal motta vurderingene til orientering, men det vil også være naturlig at vurderingene blir et tema i etatsstyringsdialogen. Fra og med rapporteringen for 2014 skal årsrapporter for alle underliggende virksomheter følge en fastsatt inndeling, benevnelse og rekkefølge. Kapittel IV skal omtale styring og kontroll i virksomheten.

den nye reguleringen ikke omfatter et krav om at departementene selv skal vurdere å etablere internrevisjon, er ikke dette et hinder for at enkelte departement også kan gjøre en slik vurdering. En annen sannsynlig konsekvens av den nye ordningen er en bedre sam ordning mellom Riksrevisjonen på den ene siden og virksomhetene som bruker internrevisjon på den andre. Det at det stilles felles krav til hvordan internrevi sjonen skal innrettes, gjør det lettere for Riksrevisjonen å bygge sine revisjoner på arbeid som internrevisjonene har utført. Dette legger til rette for at man skal få en god arbeidsdeling mellom intern revi sjonene og Riksrevisjonen.

DFØ bistår virksomheter med vurderingen I første omgang vil DFØs hovedfokus være kravene til vurdering og bistand til de virksomhetene som skal gjennomføre en vurdering innen 1. mai 2016. Det er viktig å legge til rette for at virksomhetene får informasjon og kompetanse om hvordan en slik vurdering kan gjennomføres, og hva opprettelse av en internrevisjon kan bety for virksomheten. I den sammenheng vil også NIRF spille en rolle. Vi håper de aktivitetene vi har planlagt vil bidra til gode og velbegrunnede valg.

Det er viktig å legge til rette for at virksom hetene får informasjon og kompetanse om hvordan en slik vurdering kan gjennomføres.

De nye kravene har allerede vist seg å aktualisere behovet for vurdering av internrevisjon for noen virksomheter. Dette har sammenheng med at intern revisjonens sentrale rolle i å gi ledelsen objektive og uavhengige vurderinger av tilstanden på styring og kontroll. Selv om

VIRKSOMHETSSTYRING

DFØ som pådriver for bedre internkontroll i staten DFØ er opptatt av at statlige virksomheter og departementer faktisk forbedrer sin internkontroll. Som leverandør av kompetanse- og rådgivningstjenester ønsker vi at veiledningsmateriellet vi utgir blir tatt i bruk. I kjølvannet av at vi høsten 2013 utga nytt veiledningsmateriell på dette temaet, lanserte vi Samarbeidsforum internkontroll . Dette har vært et vellykket tiltak som har gitt 29 statlige virksomheter og syv departementer mulighet til å videreutvikle sin internkontroll i samarbeid med DFØ.

CHRISTINE VIK OG OLA OTTERDAL

seniorrådgivere i Direktoratet for økonomistyring (DFØ)

amarbeidsforumet er et møtested for ansatte i statlige virksomheter og departementer som jobber dedikert med internkontroll, og består av faste representanter fra virksomhetene som deltar. Temaene for samlingene følger DFØs metode for etablering og forbedring av internkontrollen. Deltakerene for ventes å bidra aktivt, gjennom presentasjoner og diskusjoner rundt egne erfaringer. Etter en vellykket gjennomføring av samarbeidsforum i 2013/14, har vi kjørt en ny runde med nye virksomheter og departementer i 2015.

Behov for et samarbeidsforum for internkontroll

Direktoratet for økonomistyring (DFØ) er statens ekspertorgan innenfor statlig styring. Som statlig ekspertorgan skal DFØ, med utgangspunkt i regelverket for øko nomi styring, legge til rette for god styring i staten. Den unike rollen til DFØ er å ivareta statens behov for en helhetlig tilnærming på området. Krav til internkontroll er hjemlet i Reglementet for økonomistyring §14 og Bestemmelser om økonomistyring pkt. 2.4

I en kompetansestudie DFØ gjennom førte i 2012/13 kom det tydelig frem at mange statlige virksomheter og departementer så behov for å forbedre kompetansen innenfor fagområdet internkontroll. Flere merknader fra Riks revisjonen i Dokument 1 (Riksrevisjonens rapport om den årlige revisjon og kontroll) ga samme inntrykk. Tidligere erfaringer viser at det ikke er nok bare å utgi veiledningsmateriell, og å avholde kurs og seminarer. Arbeidet med internkontroll krever kontinuitet og en prosessmessig tilnærming, og d erfor ville vi tilby kompetanseformidling som gjenspeiler dette.

Erfaringsutveksling I samarbeidsforumet legges det stor vekt på læring av hverandre og de gode eksemplene. Som navnet tilsier er hovedformålet med et samarbeidsforum nettopp at deltakerne skal kunne dele gode

eksempler og diskutere problemstillinger, for så å finne gode løsninger på felles utfordringer. De aller fleste statlige virksomheter har mye internkontroll på plass, men ofte «stykkevis og delt». System og struktur og ressurser brukt på kontroll versus verdiskapning er temaer som oppleves som utfordrende og som diskuteres mye i forumene.

I samarbeidsforumet legges det stor vekt på læring av hverandre og de gode eksemplene. Gjensidig læring I samarbeidsforumet får vi kontakt med brukermassen vår over en lengre tidsperiode, og kan bistå dem som har konkrete planer med å forbedre internkontrollen sin. Dessuten når vi ut til flere på en gang, samtidig som vi legger til rette for nettverksbygging og samarbeid mellom deltakerne både under og etter samlingene. Vi i DFØ lærer også mye av deltak erne. Dette gjør oss til bedre leverandører av kompetanse - og rådgivningstjenester. Vi har stor nytte og glede av å bli kjent med ulike statlige virksomheter og departe menter og deres arbeid med intern kontroll. Det er spesielt nyttig for oss å bli kjent med hvilke konkrete utfordringer SIRK nr. 1 2015

VIRKSOMHETSSTYRING

Foto: Kommunikasjonsenheten i DFØ

deltakerne har, samt med de gode eksemplene som finnes der ute. Det er også verdifullt å teste metoden og verktøyene vi har utviklet på fagområdet. På den måten får vi erfaringer som gjøre at vi kan tilpasse og forbedre vårt veiledningsmateriell, samt forbedre det totale tilbudet vårt.

bidrag fra deltakerne før, under og etter samlingene. Samlingene gjennomføres med en blanding av presentasjoner fra deltakerne, eksterne foredragsholdere, gruppeopp gaver, plenumsdiskusjoner og plenums-

Praktisk gjennomføring av samarbeidsforumene Samarbeidsforum er en mellomting mellom kurs og nettverk. Deltakerne møtes til på fire til seks heldagssamlinger. Møte serien gjennomføres i løpet av ca. ett år. Vi følger DFØs metode for etablering og forbedring av internkontroll, og samling ene følger temaene i «Veileder i intern kontroll». Disse temaene er: • Fundamentet for god internkontroll (styrings- og kontrollmiljø og informasjon og kommunikasjon) • Planlegging • Risikovurdering • Utforming • Implementering • Oppfølging • Rapportering DFØ planlegger og legger praktisk til rette for samlingene, men det forventes aktive SIRK nr. 1 2015

Med samarbeidsforum for internkontroll har vi funnet en arena der teori og praksis forenes. forelesninger. Deltakerne blir oppfordret til å komme med innspill til gjennomføring og opplegg fra gang til gang. Slik oppnår vi eierskap og engasjement blant deltakerne.

Forpliktende for både deltakere og DFØ For å sikre kontinuitet, ledelsesforankring og best mulig utbytte, må alle deltakere signere en «samarbeidsavtale». Denne avtalen forplikter dem til å stille på samtlige samlinger med minst én fast deltaker. I tillegg må

DELTAKERE SAMARBEIDSFORUM 2015 Virksomheter: • Statistisk sentralbyrå • Universitetet i Oslo • Fredskorpset • Norad •D irektoratet for nødkommunikasjon • Politiets utlendingsenhet • Høgskolen i Hedmark • Finanstilsynet • Helsedirektoratet • Bufdir • Høyskolen i Telemark • NTNU • Høgskulen i Volda •A rkitektur- og designhøyskolen i Oslo • Høyskolen i Lillehammer • Arbeidstilsynet • Departementer: • Justis- og beredskapsdepartementet •K ommunal- og moderniserings departementet • Nærings- og fiskeridepartementet

VIRKSOMHETSSTYRING

DELTAKERE SAMARBEIDS FORUM 2013/14 Virksomheter: • DFØ • Arbeids- og velferdsdirektoratet (NAV) • Politidirektoratet • Forsvarsstaben • Kystverket • Stortingets Administrasjon • Statens vegvesen • Politiets utlendingsenhet • Helsedirektoratet • Statens pensjonskasse • Statped • Forsvarets forskningsinstitutt Departementer: • Arbeids- og sosialdepartementet • Finansdepartementet • Kunnskapsdepartementet • Barne-, likestillings- og inkluderings departementet

har vært, og er, virksomheter og noen fra ledelsen stille på siste departementer med ulikt samling. Avtalen signeres av modenhetsnivå på intern en fra ledelsen hos virkFor mer informasjon om kontrollen.Virksomhetene somheten eller departeinternkontroll, Samarbeidsrepresenterer også svært mentet som deltar, og av forum internkontroll og ulike samfunnsoppdrag. DFØs direktør, Ø ystein kontaktpersoner besøk vår Dette har gitt gode samBørmer. nettside http://www.dfo.no/ mensatte grupper som Vi i DFØ skal gjeninternkontroll representerer mangfoldet i nom året «pushe» virkstaten, og som gir et godt somhetene til å prioritere grunnlag for læring på tvers. I kontinuitet i arbeidet med 2015 består forumet for virksom internkontroll, og hjelpe deltakerne heter dessuten av ti høyskoler og univermed å komme godt i gang. Videre er vi siteter, noe som skaper et godt potensial sparringspartner underveis i året og legger for videre samarbeid i u niversitets- og til rette for best mulig samarbeid og erfahøyskolesektoren. ringsutveksling mellom deltakerne. Det Vi i DFØ jobber for effektiv ressursbruk ble gjennomført en evaluering etter første og bedre styring i staten. Med sam runde med samarbeidsforum i 2013/14. arbeidsforum for internkontroll har vi Erfaringene og tilbakemeldingene viser at funnet en arena der teori og praksis forenes. en slik måte å jobbe på har vært svært Dermed tror vi at deltakerne står bedre nyttig. Flere av virksomhetene har tatt i rustet til å møte den utfordringen det er å bruk ett eller flere av de praktiske verktøyfå internkontrollen tilpasset risiko og ene DFØ tilbyr, og alle har kommet videre vesentlighet, samt integrert i styringen på i arbeidet med å forbedre internkontrollen. en måte som er tilpasset behovet i egen DFØ er svært fornøyd med responsen virksomhet. og påmeldingene til forumet. Deltakerne

Komplekse utfordringer – tydelige løsninger KPMG har engasjerte eksperter med lang erfaring og sterk fagkompetanse innenfor internrevisjon. Som internrevisor er vi tilgjengelig som en sentral rådgiver og sparringspartner for styret, ledelsen og fagmiljøer. Vi bidrar til kompetanseutvikling samt virksomhetens risikostyring og internkontroll. Våre tjenester inkluderer: • • • • •

Etablering av internrevisjon i virksomheten Co-sourcing: Samarbeidsavtale med internrevisjonen om gjennomføring av internrevisjoner Outsourcing: KPMG tar ansvar for helhetlig internrevisjon i virksomheten Lei en internrevisor (management for hire) Kvalitetssikring av internrevisjonen i virksomheten

Vi løser komplekse utfordringer hver dag. Fordi det er det vi kan best. Les mer på kpmg.no eller ta kontakt med oss for ytterligere informasjon: Ole Willy Fundingsrud, Director, e-post: ole.willy.fundingsrud@kpmg.no Helge Brynestad, Senior Manager, e-post: helge.brynestad@kpmg.no Magnus Digernes, Senior Manager, e-post: magnus.digernes@kpmg.no Tlf.: 04063 | kpmg.no

SIRK nr. 1 2015

RISIKOSTYRING

Rapportanmeldelse Risikoveiledningen er en av tre fagrapporter i en rapportserie fra ECI om nettsikkerhet. Veiledningen understreker viktigheten av å se nettsikkerhetsrisikoer i sammenheng med virksomhetens øvrige risikoer. For å bidra til at virksomheten opererer med et så korrekt risikobilde som mulig, anbefales det å bruke et rammeverk som dekker både kjente og mulig fremtidige nettsikkerhetsrisikoer. Av

ESA LEPORANTA,

Systems Audit Manager, Nets Norway AS

Veiledningen er

velegnet til å gi intern- eiledningen er delt inn i fem kapitler: 1) Risiko-oversikt og revisorer et kort overblikk strategi, 2) Identifi sering av over risikoer knyttet til risikoer innen nettsikkerhet, 3) Analynettsikkerhet. sering, evaluering og aggregering av nettsikkerhetsrisikoer, 4) Håndtering av risiko og 5) Ledelse av nettsikkerEuropean Cybersecurity hetsrisikoer. Implementation: Første kapittel innledes med å Risk Guidance les. Videre skal identifiserte risikoer synliggjøre at det finnes flere aktuelle aggregeres for å kunne utarbeide et rammeverk for risikostyring. Deretter Cybersecurity is emerging within the fields of information security and konsolidert risikobilde for virksomhepresenteres et overblikk over risiko traditional security to address sharp increases in cybercrime and, in some instances, evidence of cyberwarfare. Three major factors are contributing to ten. Avslutningsvis skal risikoer med rammeverket fra European Network the need for improved cybersecurity on a global basis: ubiquitous broadband, IT-centric business and society, and social stratification of IT liknende effekt plasseres i samme and Information Security Agency skills. To address cybercrime and societal changes, many governments and institutions launched cybersecurity initiatives, ranging from guidance, risiko grupper for å redusere virk (ENISA). Videre beskrives det hvordan through standardisation, to comprehensive legislation and regulation. ISACA has released the European Cybersecurity Implementation Series primarily to provide practical implementation guidance that is aligned with somhetens samlede ressursbruk. delprosessene i ENISAs rammeverk European requirements and good practice. This paper focuses on risk guidance in cybersecurity. I kapittelet om håndtering av nettkan knyttes til det mer kjente COBIT sikkerhetsrisikoer tas det som 5 rammeverket. utgangspunkt at de fleste identifiAndre kapittel om risikoidentifi serte nett sikker hetsrisikoer blir en sering vektlegger behovet for å idenwww.isaca.org/cyber realitet - før eller senere. Eventuelle tifisere nettsikkerhetsrisikoer som krav i lov og forskrifter vil medføre at kan være både direkte og indirekte European Cybersecurity Implementation (ECI): Risikoveiledning bedrifter heller ikke uten videre kan knyttet til virksomheten, virksomhevelge bort håndteringen av enkelte tens ansatte og ressurser. Det anbefarisikoer. B asert på dette, er det anbeles at virksomheten ved gjennomfalt å utarbeide COBIT 5 baserte risikoscenarier for å kunne gangen av risikoene legger tilrette for utarbeidelse av COBIT 5 fokusere på de strategisk vesentlige risikoene og for å tilpasse risikoscenarier. For en detaljert oversikt over risikoscenarier innsatsnivået til virksomhetens egenart. refereres det til en r apport på ISACAs nettsider. Flere eksempler Det siste kapittelet innledes med å vise fordelene med å bruke av nettsikkerhetsrisikoer er inkludert i rapporten, noe som bidrar COBIT 5 rammeverket. Kapittelet avsluttes med å henvise til til å øke forståelsen av området. For en grundigere g jennomgang relevante kilder som kan brukes for å systematisere virksom av r isikoer henvises det til en oversikt på ENISAs nettsider. hetens reaksjoner ved et nettsikkerhetsangrep. Det tredje kapitlet, om analysering av nettsikkerhetsrisikoer, viser innledningsvis til hvilken input det trengs ved gjennom føring av risikoanalyser og hvordan denne informasjonen kan struktureres ved hjelp av COBIT 5 rammeverket. COBIT 5 til nærmingen fokuserer på å strukturere risikomaterialet slik at det dekker hele nettsikkerhet suniverset. Etter analyse av risiko 1 materialet, skal det tas stilling til hvordan risikoene bør behandCOBIT 5 for Risk, ISACA, 2013 SIRK nr. 1 2015

INTERNREVISJON

Revisjon av personopplysninger Av

MARTIN W. STEVENS

Internrevisor, Gjensidige Forsikring

Innledning Vi har alle en interesse av at p ersonlig informasjon blir holdt fortrolig, og ikke brukes til annet formål (f.eks brysom reklame eller kriminell virksomhet) enn det vi gir tillatelse til. Det finnes heldigvis lovverk som skal beskytte oss på dette området. Personopplysnings loven gir klare føringer, og ved manglende etterlevelse kan virksomheter risikere bøter. Størrelsen på slike bøter i Norge er forventet å øke, fra nåværende 10G til 2% av virksomhetens omsetningen, i tråd med den foreslåtte nye EU-forordningen. Det er imidlertid ikke bare b oten som kan skade virksomheten. Avsløringer om svikt i oppbevaring og bruk av persondata kan fort havne i media, og således er dette en alvorlig r enommérisiko som internrevisor må ta med i sin vurdering av virksom hetens risikobilde. I artikkelen ønsker jeg å gi en del praktiske innspill til hvordan man kan legge opp en revisjon av kravene i Person opplysningsloven, og videre formidle noen av mine egne erfaringer fra å ha revidert dette området.

Områder for revisjon Personopplysningsloven skal verne individet fra at private anliggende blir offentlig kjent, derav snakker vi om at Personopplysningsloven er en lov om personvern. Å revidere virksomheten i forhold til personvernets krav er en typisk «compliance» revisjon, og da er det nødvendig først å sette seg inn i lovens krav. Selv om jeg ikke har juridisk bakgrunn, ble jeg overrasket over hvor greit det egentlig var å tilegne seg kunnskap og forståelse på dette området. I tillegg til selve loven med forskrift, kan man få mer utfyllende informasjon fra Datatilsynets nettsider. Man bør også innhente og gjennomgå interne dokumenter som omhandler hvordan

Foto: Shutterstock.com

virksomheten skal forholde seg til Personopplysningslovens krav og eventuelle krav i konsesjonsvilkår. Det forventes at det finnes en policy for behandling av personopplysninger, samt en IT-sikkerhetspolicy på overordnet nivå. Intern revisor bør blant annet vurdere om disse styrende dokumenter definerer det organisatoriske ansvaret på fagområdet i tilstrekkelig grad, og om det omfatter en beskrivelse av stillinger definert i loven, som f.eks personvernombud, behand-

lingsansvarlig og daglig behandlings ansvarlig. Revisjonen av krav i Personopp lysningsloven skal kunne gjøre internrevisor i stand til å konkludere på: 1. Kvaliteten av den overordnede ansvarfordelingen og hvordan dette er kommunisert videre til den operative delen av organisasjonen. 2. Kvaliteten på gjennomføring av overordnede krav i frontlinjen, herunder begrensninger i IT-systemer. SIRK nr. 1 2015

INTERNREVISJON

3. Hvordan oppfølging av etterlevelse av rutiner foretas, og hvordan status rapporteres til ledelsen. De primære områder i Personopplysnings loven som internrevisor kan ønske å fokusere på ut fra en risikobetraktning, kan være: 1. Vilkår for å behandle personopplysninger, herunder samtykke (§8) 2. Lovens grunnkrav til behandling av personopplysninger (§11) 3. Identifikasjon og særskilt behandling av sensitive personopplysninger (§9) 4. S lettingsrutiner (§28). 5. Informasjonssikkerhet. Det er krav om at virksomheten «gjennom planlagte og systematiske tiltak sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger» (§13). 6. Outsourcing av databehandlingen gjennom databehandleravtale (§15).

Det er uansett viktig at man i sine styringssystemer synliggjør at det er systematisk kontroll og oppfølging, samt at saker som har med personvern å gjøre blir merket spesielt. Overordnet oversikt I følge Personopplysningsforskrift § 2-4 skal det «føres oversikt over hva slags personopplysninger som behandles». Eksempel på oversikt over personopp lysninger som behandles er presentert i «En veiledning om internkontroll og informasjonssikkerhet» utgitt av Datatilsynet. Den legger opp til at man for hver informasjonstype/databehandlingsformål identifiserer følgende: 1. H jemmelsgrunnlag for å behandle opplysningene SIRK nr. 1 2015

2. Aktuell melding eller konsesjon 3. O m det omfatter sensitive opp lysninger eller ikke 4. H vor opplysningene lagres og om de overføres via eksterne media 5. P ersonopplysningenes omfang (f.eks antall kunder eller ansatte) 6. E ventuell avdeling som behandler personopplysningene 7. System-/dataeier En slik oversikt vil være en god hjelp i å identifisere aktuelle områder for revisjon, og til å konsentrere seg om f.eks de områdene som behandler «sensitive» person opplysninger (som er definert nærmere i loven) ut fra en risikovurdering.

Kompetanse Internrevisor skal vurdere om egen kompetanse er tilstrekkelig i forhold til fagkrav, og om man er i stand til å vurdere hvorvidt organisasjonen etterlever loven på en tilfredsstillende måte og eventuelt i hvilken grad beste praksis blir fulgt. I tillegg til selv å sette seg inn i nyttig og relevant materiale, kan det også være aktuelt å vurdere om man kan få utbytte av å leie inn eksterne konsulenter med erfaring fra andre virksomheter både nasjonalt og internasjonalt på dette fagfeltet.

Fremgangsmåten Når det gjelder teknikkene internrevisor kan anvende ved revisjon av krav i Person opplysningsloven, kan følgende være aktuelt: 1. G jennomgang og vurdering av styrende dokumenter 2. I ntervjuer med nøkkelpersoner innenfor området (herunder behandlings ansvarlig og eventuelt personvern ombud), samt ledere og ansatte i første linjen 3. Test av om rutinen følges 4. Vurdering av lederoppfølging gjennom mottatte rapporter og igangsatte tiltak 5. Vurdering, der aktuelt, av egen virksomhets oppfølging av ekstern data behandlers rutiner for behandling av persondata og informasjonssikkerhet. F.eks vil man kunne undersøke hvorvidt ansatte i egen virksomhet følger opp eventuelle rapporter fra operasjonell revisjon av databehandleren

DEFINISJONER HENTET FRA PERSONOPPLYSNINGSLOVEN MED FORSKRIFT Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige, SENSITIVE PERSONOPPLYSNINGER:

opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e)medlemskap i fagforeninger. Samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv, Personvernombud som har i oppgave å sikre at den behandlingsansvarlige følger personopplysningsloven med forskrift

REFERANSE TIL LOVEN OG DATA TILSYNETS INTERNETTSIDER PERSONOPPLYSNINGSLOVEN http://lovdata.no/dokument/NL/lov/200004-14-31 PERSONOPPLYSNINGSFORSKRIFT http://lovdata.no/dokument/SF/forskrift/2000-12-15-1265 DATATILSYNETS INTERNETTSIDE https://www.datatilsynet.no/ DATATILSYNETS INTERNKONTROLL VEILEDER https://www.datatilsynet.no/verktoy-skjema/ Veiledere/Internkontroll-og-informasjons sikkerhet/

INTERNREVISJON

Det kan være fristende med hensyn til en effektiv gjennomføring av revisjonen å hoppe over intervjufasen, men etter min mening er intervjuer viktige for å danne seg et grunnlag for å uttale seg om: 1. l ovens krav er tilstrekkelig formidlet til de ressurser som skal gjennomføre rutinene, 2. o m det er systemmessige eller organisatoriske svakheter som bør følges opp, eller 3. o m ledelsens oppfølgingsrolle er forstått.

Utfordrende områder Ut fra egen erfaring og drøftelser med andre internrevisorer er det en del om råder som jeg mener man bør være ekstra oppmerksomme på ved revisjon av personopplysninger:

grunn i virksomheten. Det bør ikke være slik at man legger opp til et helt adskilt opplegg for behandling av Personopplysningslovens krav. Det er uansett viktig at man i sine styringssystemer synliggjør at det er systematisk kontroll og oppfølging, samt at saker som har med personvern å gjøre blir merket spesielt. På denne måten kan svakheter i etterle-

En prinsipiell sak som bør vurderes i overordnet policy, er om morselskapets krav til organisasjonen i forhold til lokal lovgivning burde fastsettes som minimumskrav for hele konsernet. I et internasjonalt konsern kan det også være fornuftig å sørge for å legge til rette for fagfora der erfaringer med, og tekniske eller administrative løsninger på

I et internasjonalt konsern kan det også være fornuftig å sørge for å legge til rette for fagfora der erfaringer med, og tekniske eller administrative løsninger på personvernområdet drøftes.

1. Kontroll og oppfølging I Personopplysningsforskrift paragraf 2-6 stilles det krav til at bruk av informasjonssystemet i strid med fastlagte rutiner, samt sikkerhetsbrudd, skal behandles som a vvik. Her stilles det krav til at avviks behandling gjenoppretter

Foruten økte bøtenivåer bekrefter forslaget til forordningen nødvendigheten av å ha tilstrekkelige internkontrollrutiner.

normaltilstanden og hindrer gjentagelse, og at dette resultatet dokumenteres. Etter min mening ligger det til grunn et intern kontrollregime som er basert på metodikk for kvalitetskontroll, altså hvor det ligger en forbedringssløyfe fra feil som er oppstått til ny eller endret prosess. Dette må hensyntas i den operasjonelle risikostyringen som legges til

velse av krav i Personopplysningsloven rapporteres ved behov. En slik rapport bør sendes regelmessig til bl.a. behandlingsansvarlig.

2. Konflikt med andre lovbestemmelser Det kan oppstå situasjoner der det er nødvendig å fravike krav i Personopp lysningsloven. Dette gjelder f.eks for finansinstitusjoner og hvitvaskings kontroll. Slike unntak er tatt høyde for i lovens § 23. Det er viktig å kunne synliggjøre en bevisst vurdering i de tilfeller der man ikke skal følge Personopplysnings loven på grunn av krav i andre lover, eller behandling av kriminelle aktiviteter.

3. Internasjonal virksomhet Regelverket på personvernområdet vil variere fra land til land. Innen EU og EØS er det et sammenfallende regelverk, men strengheten og fokus i tilsynsregimet varierer fra land til land. En revisjon på tvers av en internasjonal virksomhet vil kreve at man forholder seg til lokale regler og tolkninger. Innen dette området kan en skandale ha renommémessige konsekvenser. For noen virksomheter vil man kunne opp leve negative opplevelser også i mor selskapets hjemland, dersom det er snakk om grove og uetiske overtredelser.

personvernområdet drøftes. Foruten å gi anledning til spredning av beste praksis, vil dette også kunne støtte de landene med begrenset anledning til å satse på dedikerte fagressurser.

Fremtidig utvikling Det forventes at en ny forordning om personopplysninger vil gjøres gjeldende i løpet av 2015. Praktisk talt vil dette ikke føre til store endringer av krav i dagens regelverk. Foruten økte bøtenivåer bekrefter forslaget til forordningen nødvendigheten av å ha tilstrekkelige intern kontrollrutiner. Fordelene med den nye forordningen er at konsesjonsordninger skal bortfalle, og regelverket vil etter hvert være mer likt over hele EU.

Avslutningsvis I denne artikkelen har jeg rettet oppmerksomheten mot noen sentrale områder ved revisjon av personopplysninger. Økt forståelse av konsekvensene av manglende etterlevelse av Personopplysningslovens krav bør føre til at internrevisorer inkluderer dette området i sin risikovurdering. Personopplysningslovens krav kan revideres og som vanlige medborgere er det også i vår interesse at det er god etter levelse av loven på dette området.

SIRK nr. 1 2015

EXECUTIVE MASTER OF MANAGEMENT

INTERN REVISJON

– Governance – Risikostyring – Intern styring og kontroll

Oppstart høsten 2015 bi.no/emm

Få forståelse for samspillet mellom virksomheters etablerte strategier og mål, og hvordan du kostnadseffektivt sikrer at målene oppnås gjennom god virksomhetsstyring. Programmet tar utgangspunkt i aktuelle aspekter av hvordan toppledelsen og styret skal få relevant informasjon om organisasjonens situasjon. Du får innsikt i hvordan bruk av intern revisjon og aktiv risikostyring og er en nøkkel til god måloppnåelse. Du lærer også hvordan den interne revisor i samspill med andre kan utøve sin funksjon. Programmet er utviklet og blir gjennomført i samarbeid med Norges Interne Revisorers Forening (NIRF).

RISIKOSTYRING

På vei mot helhetlig risikostyring INTERVJU MED ØIVIND PEDERSEN, FAGLEDER IT PRODUKSJON, VPS

Verdipapirsentralen ASA (VPS) er på vei mot å implementere en løsning som gir en helhetlig r isikostyring. Det var imidlertid ikke ønsket om å følge beste praksis innenfor risikostyring som initierte implementeringen av nytt kvalitets- og saksflytsystem. Det var behovet for å ha en effektiv og dokumentert saksbehandling og et godt CRM system som var drivende, men VPS får helhetlig risikostyring med på kjøpet. Rammebetingelser Rammene for virksomheten til VPS er gitt i egen lov med forskrift samt ved konsesjonsvilkår fra Finansdepartementet. Videre stiller Finanstil synets forskrifter om risikostyring og internkontroll og IKT krav til selskapets styring og kontroll. En ny EU lovgivning er på vei inn med ytterligere krav og med en forventet implementering i 2016/2017. Samlet sett stiller denne reguleringen krav til hvordan virksomheten innretter sin risikostyring.

ITIL basert kvalitets- og saksflytsystem

AV REIDAR DØLI INTERNREVISOR KONSERN, OSLO BØRS VPS

Selskapet har implementert et ITIL basert kvalitets- og saksflytsystem (heretter kalt KS-systemet) som er blitt et svært viktig verktøy for selskapet og som langt på vei ivaretar de kravene som reguleringen stiller til risikostyring og internkontroll. Det har blitt et viktig verktøy for Internrevisjonen. Det har også fått en del å si for styret, ved at deler av den formelle styre rapporteringen, blant annet når det gjelder oppfølging av risikostyring og internkontroll, er basert på KS-systemet. Implementeringen av verktøyet var ikke først og fremst drevet at et ønske om å innføre et verktøy til støtte for en helhetlig risikostyring. Det lå langt mer praktiske hensyn til grunn. For å finne mer ut av dette tok jeg kontakt med Øivind Pedersen som er fagleder på IT produksjon og primus motor på KS-systemet i VPS.

Samtale med Øivind Pedersen Øivind forteller at VPS hadde et annet kombinert kvalitets-, kunderelasjonshåndterings (CRM)og dokumenthåndteringssystem, og at det for ca 3 år siden satt i gang et prosjekt for å skifte ut dette. Et viktig argument for å bytte systemet var at all videreutvikling av det eksisterende systemet måtte kjøpes utenfra, hvilket kostet både tid og

penger. Det overordnede kravet til et nytt system var at det måtte gi tilfredsstillende sporbarhet i saksbehandlingen samt at det skulle ha tilfredsstillende CRM funksjonalitet. Valget falt ned på en modulbasert løsning hvor VPS er selvhjulpen med hensyn til utvikling, systemet er skalerbart mht sakstyper og det dekker behovene for CRM. VPS gikk live med det nye KS-systemet i mai 2013. Det startet pent med implementering av sakstypene avvikshåndtering og implementering av endringer. I dag er følgende hovedmoduler og sakstyper på plass: • Organisasjon/kontakt som er basis for CRMsystemet. • Sak som er skalerbart og hvor VPS har lagt opp sakstypene problem, hendelser/avvik, tiltaksoppfølging, endringer/hasteendringer, kundeforespørsler, produksjonsplan mv. • Inventar som omfatter alle produkter og tjenester med servicekrav samt kategorier for kundenes tilganger og autorisasjoner til systemer. • Avtale inneholder alle kunde- og leverandøravtaler. Det dukker stadig opp ønsker om nye bruksområder og derved nye sakstyper: • I forbindelse med at VPS er i gang med et større prosjekt med innslag av eksterne deltakere, er håndtering av eksterne konsulenter ivaretatt i KS-systemet. Hele den prosessen konsulenten skal gjennom og de godkjennelser som skal gis fra utlevering av PC og tildeling av tilganger og autorisasjoner mv helt frem til oppdraget er ferdigstilt, dokumenteres gjennom KS-systemet. • Det ble nylig lagt opp en ny e-postboks hvor alle forespørsler og kommunikasjon fra kunder vedrørende et spesielt prosjekt blir logget og fulgt opp. SIRK nr. 1 2015

Foto: Shutterstock.com

RISIKOSTYRING

• Det er etablert en egen sakstype for tiltak etter internrevisjoner hvor tiltak, ansvarlig for gjennomføring og frister er lagt inn. • Det er etablert en Issuelog som er designet etter krav i prosjektmetodikken Prince2. Dette gir eier av prosjektet en god oversikt over status på alle issues. Datovarsling legges inn der det er ønskelig, som for eksempel ved: • Oppdrag fra kunder som skal gjennomføres for kunder frem i tid. Disse registreres med dato for varsling for når forberedelsene skal starte. • Leverandøravtaler som har automatisk forlengelse hvis de ikke sies opp. Man motvirker da risikoen for at selskapet må betale for software som ikke er i bruk. Andre eksempler på positive effekter av KS-systemet er bedre kvalitet på kundebehandlingen. Den kundeansvarlige som jobber i markedet har til enhver tid oversikt over samtlige saker som er registrert på sin kunde. Dette er svært nyttig i forbindelse med kundemøter der den kundeansvarlige kan demonstrere at hun/ han har full og oppdatert oversikt over status på kundehenvendelser, kundeoppdrag osv som er registrert på den aktuelle kunde. Det var i tidligere tider også en SIRK nr. 1 2015

risiko for at flere utviklere arbeidet med å utvikle den samme funksjonaliteten uten at de var klar over det. Det er ikke lenger mulig. Pedersen legger til at han hele tiden har sett etter nye bruksområder for verktøyet. Nylig kom det inn en ny forespørsel om et opplegg for varsel til den som er ansvarlig for å utføre en kontrollhandling. Bakgrunnen for ønsket er et fremtidig EU-krav om sporing og dokumentasjon for utførelse av kontrollhandlinger/veri fisering av etterlevelse. Pedersen konkluderer med at KS-systemet fungerer godt. Det er k anskje en terskel å ta det i bruk. Rapportfunksjonaliteten er enkel, men systemet dekker det behovet selskapet har. Det er imidlertid viktig at det gjennomføres en opp følging av backlog/utestående saker og purring på gamle saker. Det er etablert et opplegg for varsling hvor det er lagt spesielt vekt på de mest risikoutsatte sakstyper. Han viser avslutningsvis til at det i løpet av de to årene KS-systemet har vært i drift er blitt generert ca 18.000 saker. Det tilsvarer omlag 35 saker per dag.

Internrevisjonen For Internrevisjonen har KS-systemet stor verdi og bruksområdene er mange. Ett eksempel er at internrevisor kan gå inn på

Verdipapirsentralen ASA (VPS) ble stiftet i 1985, i forbindelse med at norske verdipapirer gikk over fra å være fysiske papirer til å bli elektroniske. VPS er den eneste verdipapirsentralen i Norge, og leverer effektiv infrastruktur og tjenester for oppgjør og registrering av rettigheter for verdipapirer. Selskapet tilbyr registrering av alle de viktigste typene finansielle instrumenter som omsettes i Norge – aksjer, obligasjoner, egenkapitalbevis, sertifikater og fondsandeler. Produktbredden er betydelig selv i internasjonal sammenheng. VPS leverer sine tjenester til investorer og utstedere gjennom et nettverk av meglere, banker og forvaltningsselskaper. Det er disse, kontoførerne, som forvalter kunderelasjonene og som står for den daglige bruken av VPS-tjenestene.

RISIKOSTYRING

loggen over saker de siste dagene forut for et styremøte for å sjekke om det er noen spesielle forhold som bør undersøkes nærmere. Ett annet anvendelsesområde er i for analyser i forbindelse med planlegging av revisjoner, for eksempel hvis en ønsker å se på avvikshåndteringen. KS-systemet gir oversikt over forekomster i hver enhet med kategorier for alvorlighet og status i gjennomføring av tiltak. Data fra KS-systemet kan også med fordel benyttes i selve revisjonen for å måle kvalitet i saksbehandlingen og i rapporteringen til linjen og til styret. Det kan enkelt lages oversikter over antall saker av hver kategori innenfor den aktuelle enheten som viser hvor mange saker som er åpne kontra hvor mange som er lukket. Et eksempel på en slik oversikt er vist i figur 1. Det kan også gjennomføres en måling av hvor lang tid det har tatt å lukke saker, se figur 2, og videre en oversikt over alderssammensetning på de åpne sakene, se figur 3.

VPS mot en helhetlig risikostyring Selv om ambisjonen til VPS ikke først og fremst har vært å implementere en hel hetlig risikostyring, er mange av element ene kommet på plass som følge av inn føringen av KS-systemet: Det er en kontinuerlig prosess. Ressurser på alle nivåer i organisasjonen er involvert. Det er anvendt på tvers av alle enheter. Hendelser i alle kategorier blir identifisert og håndtert i forhold til den definerte risikoappetitten. Det er fokus på måloppnåelse og KS-systemet er egnet til å gi rimelig grad av sikkerhet for virksom hetens ledelse og styre. Andre deler av risikostyringen er ikke direkte linket inn mot KS-systemet og håndteres så langt utenfor systemet. Det gjelder strategiprosessen og de tilhørende handlingsplanene. Virksomhetens risikoappetitt er fastsatt i en policy og opera sjonalisert gjennom en modenhetsvurdering, men det er pt ikke funnet en hensiktsmessig måte å innlemme dette i KS-systemet. Risikovurderinger gjennomføres ved bruk av et annet verktøy enn KS-systemet, men de tiltak som etableres som følge av de løpende og årlig oppdaterte risikovurderingene følges opp ved KS-systemet.

350 300 250 200 150 100 50 0

Åpen

Lukket

Figur 1. Enheten eier 421 saker hvorav 70 åpne og 351 lukkede.

300 250 200 150 100 50 0

Figur 2 Majoriteten av saker lukkes i løpet av den første uken.

25 20 15 10 5 0 1

Figur 3 Relativt få saker har stått åpne i lengre tid enn et halvt år. SIRK nr. 1 2015

Close the gap Undersøkelser viser at det stilles økte krav og forventninger til internrevisjonens risikodekning, effektivitet og forretningsforståelse. Flere internrevisjonsfunksjoner opplever kompetanseutfordringer kombinert med en fleksibel og effektiv organisasjonsstruktur.

• å vite mer om resultatene fra våre nordiske og globale internrevisjonsundersøkelser • bistand til å etablere/videreutvikle internrevisjonen i din virksomhet • tilgang til spisskompetanse Terje Klepp Partner Tlf. 906 34 968

Tove Albrektsen Executive Director Tlf. 982 06 924

Ta kontakt med oss om du ønsker:

INTERNREVISJON

En gjesterevisors syn på internrevisjon INTERVJU MED JEANETTE ANDERSEN GJENSIDIGE

Riktig kompetanse er kritisk for at internrevisjon skal kunne gjennomføre prosjekter med nødvendig innsikt. Internasjonalt har det lenge vært praktisert rotasjons- og gjesterevisorordninger. Dette har også vært praktisert hos noen virksomheter i Norge som en naturlig del av bedriftens karriereutvikling. Internrevisjon i Gjensidige introduserte i fjor en «rotasjons- og gjesterevisor ordning», hvor ansatte inviteres til å søke for å arbeide med internrevisjonen i enkeltprosjekter eller for lengre opphold. Formålet er å bringe kunnskap fra linjen til internrevisjonen, samt gi økt innsikt i internrevisjonens systematiske arbeid på fagfeltene risikoog virksomhetsstyring og internkontroll tilbake til organisasjonen igjen. Etter intern utlysning på intranett, viste det seg å være stor interesse. Denne gangen var det Jeanette Andersen som arbeidet som kunderådgiver (nominert som ildsjel i Gjensidige) i Fredrikstad, som fikk muligheten. Vi i redaksjonen var nysgjerrige på hennes opplevelse og inntrykk fra dette oppholdet.

Jeg trodde først internrevisjon var noe kjedelige greier med tall og regnskap, og fikk derfor en åpenbaring når jeg leste på intranettet om hva en internrevisjon faktisk gjør.

Hva fikk deg til å søke denne stillingen? Godt spørsmål. Det var nok ikke alle som så den komme fra min side! Jeg hadde for det første lyst til å bidra inn i organisasjonen med kompetanse fra førstelinje, både på kundeorientering, system og fag. For det andre så var det ett ønske fra min side å tilegne meg kompetanse på metodisk og analytisk arbeid. Jeg trodde først internrevisjon var noe kjedelige greier med tall og regnskap, og fikk derfor en åpenbaring når jeg leste på intranettet om hva en internrevisjon faktisk gjør. For en overraskelse og jeg tenkte; DETTE vil jeg prøve. Hvilke opplæring og introduksjon fikk du til internrevisjon og i avdelingen? Når jeg begynte så fikk jeg faglitteratur å lese, samt e-læring fra CEB. Dette var veldig nyttig. Deretter fikk jeg gå på kurset «introduksjon til internrevisjon» i NIRF. Også ett veldig bra kurs med flinke foredragsholdere og god dialog i klasserommet. Jeg har allikevel lært mest av å jobbe med mine kollegaer. En av mine kollegaer

har «tvunget» meg inn i metodikkmalen. Jeg jobber nå i en temarevisjon, og da ser jeg virkelig nytten av å ha sine referanser og arbeidsdokumenter på stell. Det kjennes utrolig tilfreds stillende å vite at jeg kan dokumentere med «revisjonsbevis» det magefølelsen sier. Hva likte du best ved oppholdet i intern revisjonsavdelingen? Jeg synes det var veldig spennende å jobbe på konsernnivå. Få mulighet til å se de virkelig store linjene. Det var også interessant å kunne få tilgang til både ledelse og kollegaer jeg aldri har møtt før. Det var en berikelse som jeg setter veldig pris på. Hvilke kompetanse (erfaring/kunnskaper) hadde du fra før som du fikk nytte av i jobben som internrevisor? Jeg mener jeg har turt å utfordre på å gjøre det vanskelige enkelt. Bruke folkelig terminologi, og ikke for mange ord. Jeg har hele tiden hatt kundefokus, noe jeg hele tiden har sørget for å innlemme i scopet vårt. Jeg har utfordret revisjonsteamet på å trene kommunikasjon. Videre har jeg nok gitt teamet en vitamininnsprøyting med mitt engasjement og entusiasme. Hva mener du er det viktigste internrevisjon kan bidra med i en virksomhet? Jeg liker å tenke på internrevisjon som en hovedcoach for selskapet. Vi skal bidra til at vi når våre mål ved å være på «ballen» og dra i riktig retning sammen med ledelsen. Jeg mener enhver virksomhet burde ha internrevisjon, det er ekstremt verdifullt å ha den overordnede innsikt som en internrevisjon besitter. Jeg mener selvsagt også at å ha med seg gjesterevisorer ikke er annet enn positivt.

SIRK nr. 1 2015

INTERNREVISJON

Positivt, på hvilke måte da? Med positivt så mener jeg at det kan være positivt å bryte opp ett etablert avdelingsmiljø med noen nye impulser. Dessuten så vil ett vellykket gjesterevisorbesøk kunne bidra med viktig og innsiktsfull erfaring fra andre forretningsområder. Hva tar du med deg videre i din karriere fra din erfaring som gjesterevisor? Min gjesteopptreden i internrevisjon har vist meg at jeg også har analytiske og metodiske evner. Jeg har bevist at jeg kan tilegne meg og omsette ny kunnskap raskt. Videre har jeg utvidet mitt nettverk ytterligere slik at vi kan sette folk som burde prate sammen i kontakt med hverandre for at vi samlet sett skal stå sterkere rustet. Som jeg har sagt til mine kollegaer i internrevisjonen så føler jeg at jeg har kommet «hjem» i internrevisjon. Hyggelig å høre du er kommet «hjem» men hva mener du mer konkret med det? Arbeidsoppgavene er svært meningsfulle, og den strukturerte måten å jobbe på tiltaler meg. Man føler man er med på noe som er viktig for selskapets utvikling. Enkelt forklart så opplevde jeg at å kunne kombinere kundemøter (intervju) med dypdykk i prosesser eller rutiner er en fin kombinasjon.

Jeg synes det var veldig spennende å jobbe på konsernnivå. Få mulighet til å se de virkelig store linjene. Det er derfor jeg er søkt om å kunne ta videreutdanning innen risk management og finans og økonomi sesongen 2015/2016. Jeg ønsker absolutt å fortsette i internrevisjon om jeg får mulighet til det i fremtiden. Før den tid eventuelt kommer, så har jeg fått tilbud om å jobbe 6 mnd. som konsulent i Gjensidige Danmark som resultat av en revisjon jeg utførte der. SIRK nr. 1 2015

BOKANMELDELSE

Lean Auditing – Driving Added Value and Efficiency in Internal Audit JAMES C. PATERSON (2015) – JOHN WILEY & SONS

Boken synliggjør hvordan Lean metoder og t eknikker kan anvendes for å øke effektiviteten i internrevisjon. Resultatet baserer seg i hovedsak på de erfaringer som Paterson gjorde i løpet av en fireårs periode som internrevisjonssjef i AstraZeneca i UK. I tillegg har for fatteren intervjuet flere ledende skikkelser innen internrevisjon rundt om i verden og samlet deres beste forbedringsforslag i boken sin. Av

ESA LEPORANTA,

Systems Audit Manager, Nets Norway AS

oken til Paterson har totalt fire deler. Den innledes gjennom å beskrive hvorfor Lean ble aktuelt for AstraZeneca og hvilke resultater bedriften klarte oppnå ved hjelp av Lean prinsipper. Opprinnelsen og hovedprinsippene til Lean presenteres, samt hvordan Lean metoder og prinsipper kan tilpasses for bedriftens internrevisjonsfunksjon. I del 2 illustrerer Paterson hvordan Lean metoder kan brukes til planlegging og fullføring av revisjonsoppdrag. Hvert kapittel avsluttes med for bedringsforslag til internrevisjon og med egne anbefalinger til ledelsen og styret. Dette gjør boken godt egnet til dialogen om internrevisorens rolle med ledelsen og styret. En av Paterson sine anbefalinger er å bruke eksterne kunders ønsker som en vei ledning for internrevisjonens arbeid. Videre anbefales det å få avklart a nsvaret for etterlevelse av regelverket og oppfølgingen av risikoene på ledernivået under topp ledelsen. Når det gjelder gjennomføringen av revisjonsopp dragene trekkes det frem som en fordel å kunne dele leveranseansvaret mellom internrevisjonen og ledelsen i de reviderte

enhetene. Til slutt blir man minnet på at målet med revisjonsoppdrag ikke er å skrive gode rapporter, men å få til en riktig endring på et riktig tidspunkt. For øvrige anbefalinger i del 2, henvises det til boken. I del 3 tar Paterson for seg ulike revisjonsprosesser for å vise hvordan Lean metoder og prinsipper kan anvendes for å forbedre internrevisjonens underliggende arbeidsmetoder og -prosesser. I del 4 drøfter Paterson hvordan bedriften kan komme i gang med sitt arbeid for å implementere Lean i internrevisjonsprosessene. Boken fremstiller mange relevante forbedringsområder som det er en fordel å kjenne til. Samtidig er det en viss risiko for at antallet forbedringsområder blir for omfattende. Derfor presenterer Paterson leserne sine en Kano metode, som går ut på å la intern revisjonens interessenter selv definere hvilke av internrevisjonens bidrag som gir dem størst verdi. På den måten vil bidragene fra nøkkelinteressenter normalt gi et mer avgrenset utgangspunkt for forbedringer. Boken er lettlest og er verdt å lese for de som vil ha praktiske tips til forbedringer innen internrevisjon.

VIRKSOMHETSSTYRING

Stadig mer kostbart å ignorere samfunn og miljø

D Av

ANETTE RØNNOV, Senior manager, KPMG Advisory

iskusjonen hvorvidt det lønner seg å drive samfunnsansvarlig er over. Sel skapene møter strengere krav og økte forventinger til å være samfunnsansvarlige, sam tidig som endrede forretningsbetingelser gir nye muligheter. De som leverer styrker sin konkurranseevne og i økende grad blir belønnet av markedet. Selskapene som tar samfunnsansvar på alvor fremstår ofte som godt drevet. De er fremtidsrettede, ser mulighetene, har høy risikoforståelse og er flinke til å møte utfordringer. Dette inntrykket er bekreftet av forskning, blant annet en studie fra Harvard1 som studerte 180 amerikanske selskaper i nesten 20 år. Studien viser at samfunnsansvarlige selskaper har større verdiskapning og en avkastning som er 4,8 % høyere enn gjennomsnittet. Samtidig viser undersøkelsen at volatiliteten er lavere og at de også har flere langsiktige investorer. KPMGs undersøkelse i 2013 av verdens 250 største selskaper, viser at 87 % av dem adresserer hvordan samfunns- og miljømessige mega krefter påvirker selskapet, i sin rapportering til markedet. Disse megakreftene inkluder er økende og uforutsigbare følger av klimaendringer for e ksempel på eiendom og leverandørkjeder, knapphet på og dyrere ressurser, vannmangel og volatilitet i energimarkedet på grunn av økt etterspørsel og klimalovgivning. Samtidig viste undersøkelsen at de fleste sel skapene nå rapporterer om både mulighetene og risikoene disse megakreftene innebærer. UBS har uttalt at bærekraftige investeringer gir investorer konkurransedyktig avkastning i tillegg til muligheten til å ha en positiv påvirkning på samfunnet. I oktober 2014 viste Eurosif2 i sin siste studie om bærekraftige og ansvarlige investeringer, at slike investeringer har vokst med tosifrede prosenttall mellom 2011 og 2013 og med det raskere enn det euro-

peiske investeringsmarkedet forøvrig. Miljø og samfunnsansvar er i langt større grad blitt en del av b eslutningsgrunnlaget. Verdisetting av selskaper er i bevegelse ved at kostnadene og verdiene knyttet til det som kalles for ”eksternaliteter”i større grad nå tas hensyn til. Faktorer som ofte betraktes som utenforliggende, har historisk hatt liten eller ingen påvirkning på selskapers kontantstrøm og risikoprofil. Bedrifter har risikert lite ved å overbeskatte naturressurser, bruke vann ukritisk eller slippe ut avfallsstoffer. De har også sjelden blitt holdt til ansvar for de sosiale kostnadene ved å underbetale sine arbeidere eller gi dem farlige arbeidsforhold. De har tvert imot kunnet fortsette i den tro at de sparer penger og styrker sin lønnsomhet ved å drive på denne måten. Disse kostnadene har derfor ikke vært reflektert i verken regnskapet eller aksjekursen og derfor vært «ekstern». Denne tid er nå forbi! Likeledes, men med motsatt fortegn, har selskaper ikke blitt tilstrekkelig belønnet for sine positive holdninger og adferd. Dette er i ferd med å endre seg. Informasjonsteknologien gjør alt mer transparent og selskapets tiltak innen miljø og samfunnsansvar blir lettere anerkjent enten det er av myndigheter, kunder, konsumenter, underleverandører, ansatte eller aksjonærer. En konsekvens er at forretnings forholdene er i ferd med å endres dramatisk. KPMG studerte disse forholdene og identifiserte i 2012 ti megakrefter som nevnt ovenfor. Disse kreftene opererer ikke alene og heller ikke alltid på forutsigbart vis. De henger ofte sammen og påvirker hverandre. Dagens ledere er avhengige av å f orstå påvirkningene på egen organisasjon. For å lykkes i dagens marked må selskapene følgelig måle, forstå og aktivt styre verdien de skaper og forringer for samfunnet, miljøet og aksjonærene. Resultatet er nye muligheter og risikoer med store følger for selskapenes verdiskaping og verdifastsettelse.

Eccles, R.G., Ioannou, I and Serafeim G. 2012 The impact of a corporate culture of sustainability on corporate behavior and performance. Harvard Business School Working Paper no 12-035. 2 Eurosif, 2014. European SRI Study 2014. 1

SIRK nr. 1 2015

INTERNREVISJON

Det var en gang SIRK, som profesjonen internrevisjon, har endret seg over tid og det kan det være interessant og artig å ta en titt i bakspeilet på hvor vi har vært. IIA i Norge har en historie som går tilbake til 1951, men første medlemsblad ble utgitt i 1993. Bladet het Internrevisoren frem til 2011 da det skiftet navn til SIRK.

2003 fusjonerte Norsk Finansrevisorforeningen inn i NIRF. Forening begynte sitt liv som Norsk Bankrevisorforening og ble grunnlaget i 1921. Medlemsbladet deres het først Bank revisoren før det skiftet navn til Finans revisoren.

For 20 år siden – en flora av revisjonstyper I Internrevisoren var det en hovedartikkel med tittel «Revisjonsbegreper: Ryddig terminologi eller total forvirring» skrevet av Einar Halse, revisjonssjef i Telenor. I artikkelen listes opp de forskjellige typer revisjonsbegrep man kunne møte «Sikkerhetsrevisjon, Temarevisjon, Miljørevisjon, 2-partsrevisjon, 3-partsrevisjon, Pliktrevisjon, Ekstern revisjon, Lov bestemt revisjon, Intern revisjon, Finansiell revisjon, Operasjonell revisjon, Mislighetsrevisjon, HMS-revisjon, IT-revisjon, Forvaltningsrevisjon, Løpende revisjon, Value for money audit, Detaljrevisjon, Årsoppgjørsrevisjon, Regnskapsrettet r evisjon, Management auditing, Performance auditing, Kvalitetsrevisjon, Compliance auditing». Artikkelen avslutter med et godt råd «Vi bør profilere oss som internrevisorer. Dette er et enkelt konsept å forklare for foretaket på en proaktiv mate. Det er jo bedriftens reelle behov som er utslags givende for oss - ikke de lovpålagte eksterne krav til attestasjon av årsregnskapet.» I dag er det fortsatt en flora av revisjonstyper. Vi møter også i dag utfordringer om å forklare hva internrevisjon er og avklare dens rolle i forhold til compliance og risikostyring og ekstern revisjon. SIRK nr. 1 2015

For 40 år siden – noe nytt på gang som heter EDB Hovedartikkelen i Bankrevisoren var «En orientering om de revisjonsmessige spørsmål som reiser seg ved overgang til EDB» skrevet av revisjonssjef P.J. Lundgreen. I artikkelen løfter Lundgreen en anbefaling om at «tilrettelegging og bearbeidelse av de data som skal behandles i EDB-systemet må vies stor oppmerksomhet. Dette kan uttrykkes ved at det må være en gjennomført datadisiplin i banken. Svikt i datadisiplin fører til kompliserte opprettinger og avstemminger og ender ofte i rot.» Og videre «Det oppstår altså et nytt problem for revisor når banken overlater sin bokføring til en datasentral. Det tilligger hans ansvarsområde å påse at de verdier banken behandler blir tatt betryggende hand om. Men når en vesentlig del av registreringen foregår utenom huset og til dels i et maskineri som er sa komplisert at det må EDB-eksperter til for a forstå det, vil det for mange revisorer oppstå usikkerhet om hva som skjer i og rundt en datasentral. Som konklusjon vil jeg si at inn føringen av EDB-systemer i bank har avgjorte fordeler for revisjonen og bør hilses velkommen. Automatiseringen må imidlertid ikke bli noen sovepute for revisor, og kravene til hans faglige dyktighet på det kritiske revisjonsområde vil heller stige ved innføringen av EDB.» I dag er IT en integrert del av vår hverdag, men behov for innsikt i hva som foregår ved outsourcet databehandling er en like aktuell problemstilling.

KURS Påseplikten - hvor langt går ditt ansvar? Forebygging av arbeidslivskriminalitet Etter allmenngjøringsloven gjelder lønns- og arbeidsvilkårene i allmenngjort tariffavtale for alle berørte arbeidstakere, uavhengig av om man er en del av avtalen eller ikke. Allmenngjøring gjelder for områdene byggeplasser, skips- og verftsindustri, jordbruks- og gartnerinæringene, renhold og fiskeindustribedrifter. Med hjemmel i loven er det gitt en egen forskrift om informasjons- og påseplikt og innsynsrett. I forskriftens § 6 er det bestemt at hovedleverandør/ bestiller skal påse at allmenngjøringsforskrifter følges. Kurset vil dekke temaer som: • Hva som ligger i påseplikten og hvor langt den går • Hvem påseplikten gjelder for • Hva man bør se etter ved en revisjon • Eksempler fra offentlig og privat virksomhet Temaene vil bli belyst både gjennom en orientering om regelverket og gjennom eksempler og diskusjoner/ gruppeoppgaver. Forelesere vil bli gjort kjent senere. Kurset vil bli avholdt høsten 2015.

Et dagskurs i Anti korrupsjon vil bli arrangert den 15. okto ber – hold av dagen! Meld deg på vårt nyhetsbrev, se vår nettside og følg oss på sosiale medier for informasjon om øvrige seminarer og medlemsmøter som kommer høsten 2015!

INTERNREVISJON

The Bedrock of Quality Embedding quality into core internal audit practices helps Audit Leaders develop and promote the value of their services

Q Av

SALLY-ANNE PITT, Managing Partner, Pittgroup

Sally-Anne Pitt, CIA, CGAP is an internationally recognised expert in internal audit quality. She has undertaken in excess of sixty external quality assessments and has supported a number of chief audit executives to develop quality assurance and impro vement programs. Further information about her approach to audit quality can be found in her book, Internal Audit Quality: Developing a Quality Assurance and Improvement Program, Wiley (2014)

uality is both relative and unique. As a relative concept, the quality of an internal audit function can only be measured through comparison with another function or against a set of accepted standards. However, quality will also be unique for each internal audit function. What is expected and valued by one organisation may differ to another. High performing audit leaders understand what their organisation expects and values. They look for opportunities to meet these expectations through targeted, high quality assurance and consulting engagements. They demand the highest standards and quality from their team because they appreciate that this provides the greatest opportunity to meet the needs of their organisation. Quality is best delivered when it is embedded into daily activities, rather than overlaid as an afterthought. From strategic and operational planning down to daily engagement tasks, audit leaders build quality into all aspects of their internal audit function. Embedding quality does more that ensure conformance with Standards - it provides an opportunity for the internal audit function to continuously improve and evolve.

quality is the bedrock for successful perfor mance. Understanding quality and the drivers of quality allows the successful chief audit executive to ensure that the internal audit function is supporting organisational needs.

THE LINK BETWEEN VALUE, PERFORMANCE AND QUALITY

Standard 1300 - Quality Assurance and Improvement Program

Successful organisations have a clear understanding of what value looks like to their customers and stakeholders. They strive to meet quality expectations by measuring performance, and they look for opportunities to continuously improve processes and products. High performing chief audit executives understand the value proposition offered by their internal audit function and the importance that quality plays in supporting the performance of the function. While internal audit’s value proposition will vary between organisations, the importance of quality in underpinning performance will not. Developing and maintaining internal audit

The chief audit executive must develop and maintain a quality assurance and improve ment program that covers all aspects of the internal audit activity.

Developing and maintaining internal audit quality is the bedrock for successful performance.

DRIVERS OF QUALITY The Institute of Internal Auditors recognises the importance of internal audit quality and has specific standards governing quality in the International Standards for the Professional Practice of Internal Auditing (Standards). Most notably, these include:

Standard1312 - External Assessments External assessments must be conducted at least once every five years by an independent assessor or assessment team from outside the organisation. These compliance drivers (i.e. the IIA’s Standards) are important for establishing a baseline SIRK nr. 1 2015

INTERNREVISJON

for operating, particularly for newly established internal audit functions. However, the value of compliance drivers dimini shes as internal audit functions mature, as stakeholders begin to expect higher quality and increased value from internal audit. A more progressive approach to devel oping internal audit quality of the internal audit function is to focus on what is needed to drive its value proposition. When chief audit executives understand what the board, audit committee and senior management expect from internal audit, they are able to meet, and poten tially surpass, these expectations. To drive the value proposition it is useful to look at the key inputs processes and outputs associated with the internal audit function and consider how to develop, maintain, manage and monitor these.

Internal Audit Inputs Inputs are the resources required to support the internal audit function’s processes and deliver the expected outputs and outcomes. Internal audit inputs can be grouped as follows: STRATEGY AND BUDGET: The strategy binds together the internal audit function. Key components include the internal audit vision and value proposition, risk management and resource planning, articulation of key responsibilities, and the internal audit charter. When complemented by an adequate budget, a well-developed internal audit strategy will be a key driver of quality and value by ensuring that internal audit focuses on the organisation’s key priorities. STAFFING: Staffing includes the organisational structure of the internal audit function, numbers of staff and the processes used to manage and develop staff. Staffing may also include the sourcing model where additional resources are accessed through co-sourcing or outsourcing. PROFESSIONAL PRACTICES: The professional practices adopted by internal auditors are the methodologies, systems, and processes used to perform internal audit engagements as well as the reporting processes used to communicate outSIRK nr. 1 2015

puts and outcomes. These practices define the entity as a professional internal audit function distinct from external audit, program evaluation, or quality assurance activities.

The value gained from collecting information needs to justify the cost of collection. Internal Audit Activities Internal audit functions will undertake a range of activities determined through both their charter and their annual audit plan. Generally the charter will indicate the broad nature of work that internal audit will perform - for example, the types of assurance and consulting activities it will deliver - whereas the annual audit plan will include the specific engagements to be performed. These activities are all intended to produce different outputs and outcomes. Supporting each of these activities will be a set of processes. For example, an internal audit engagement plan that details the objective, scope, methodology, resources and timing of the engagement to be performed.

Internal Audit Outputs and Outcomes Outputs are the products or services that the internal audit function produces. Outcomes are the effects of these products or services on the organisation and stakeholders—the longer-term benefits or changes that result from the outputs. It is sometimes easier to measure internal audit outputs than internal audit outcomes. While the outcomes are what the internal audit function is ultimately trying to achieve, and should link back to the internal audit mission and vision, there will be a range of intermediary outputs that internal audit functions deliver that contribute to these outcomes. For

example, internal auditors should strive to support an organisation to deliver its strategy and objectives (outcome). Short-term, this will be achieved by high-level stakeholder engagement, value-adding assurance and consulting engagements, and continuous improvement of internal audit processes (outputs).

CREATING A QUALITY PROGRAM Integrating a quality program into daily activities allows chief audit executives to focus on delivering expected value, and positions the internal audit activity to continuously improve and evolve. Ideally the quality program will be aligned with internal audit’s inputs, processes, outputs and outcomes. Chief audit executives can build quality into each of internal audit’s inputs, processes, outputs and outcomes. For example, the chief audit executive should develop processes to support the staffing input which could include capability planning, recruitment, retention, performance management and professional development. For each of these elements, the chief audit executive would need to determine what quality looks like and what value they wished to achieve, and build these criteria into their procedures.

High performing audit leaders view quality as the bedrock of effective internal auditing. Performance Measures High performing audit leaders develop performance measures to determine whether quality and value have been met. Focusing measures on critical areas for the internal audit function will support continuous improvement. Effective performance metrics should be specific to each internal audit function and cover the

INTERNREVISJON

inputs, processes and outputs required to meet desired outcomes. Capturing information takes time and effort and is a direct cost to an organisation. The value gained from collecting information needs to justify the cost of collection. There is also a risk that measuring performance may encourage perverse behaviours. For example, measuring management’s acceptance of internal audit recommendations may en courage internal auditors to opt for more easily implemented solutions, regardless of their potential effectiveness. Likewise, requiring a minimum amount of time to be spent on particular types of auditing may discourage time to be spent in other areas, even if these are higher risk. Following on from the previous example, some performance metrics for the staffing input may include: • Completion of professional development planning for each internal auditor • Average professional development per internal auditor • Number of staff seconded to/from internal audit • Proportion of staff with degree and post-graduate qualifications • Number of staff involved in mentoring activities

Building Professional Standards into the Quality Program The “principles-based” nature of the IIA Standards makes it relatively simple to integrate each standard within the internal audit function’s processes. For example, chief audit executives could develop procedures covering engagement planning that requires internal auditors to develop a plan for each engagement that included an objective, scope, timing, resources and a work program. The procedures could require that this engagement plan is signed off prior to the engagement commencing. Provided that the procedures are followed, internal auditors would naturally conform with IIA Standards 2200, 2210, 2220, 2230 and 2240.

Internal and External Quality Assessments Is there still value in conducting internal and external quality assessments if quality

is embedded into an internal audit function’s key inputs, processes and outputs? Absolutely. High performing audit leaders continuously determine whether inputs are effectively and efficiently applied, processes are being followed, outputs delivered and outcomes achieved. Typically this forms part of routine supervision and performance management processes, although leading internal audit functions will also use the opportunity presented

High performing audit leaders recognise the value of independent assurance and will seek this assurance over the quality of their own internal audit function.

through ongoing monitoring to continuously improve operations. They will also periodically assess audit quality to determine the appropriateness and adequacy of policies and procedures, and the extent to which embedded quality processes support the internal audit function to deliver value to the broader organisation. Returning to the ‘staffing input’ example, the chief audit executive could pose the following questions as part of their periodic assessment: • Do internal audit staff have appropriate qualifications and experience for the positions they occupy? • Do internal audit staff possess the personal and professional attributes to operate effectively? • Is there adequate succession planning to retain critical corporate knowledge within the team? • Do internal auditors avoid any conflicts of interest when undertaking specific engagements?

• Do processes exist to feedback identified development needs to internal audit staff? • Is there adequate communication w ithin the internal audit team? Asking these types of questions, and measuring quality and value through standard operating processes and performance measures, gives chief audit executives confidence that the internal audit function is well managed, quality and value are being delivered, and that professional standards are met. It also provides excellent preparation for the internal audit function to undergo an external quality assessment. High performing audit leaders recognise the value of independent assurance and will seek this assurance over the quality of their own internal audit function. External quality assessments afford this opportunity, providing assurance that the internal audit function is a value-adding part of the organisation. The greater the reliance placed by the board, audit committee and senior management on the assurance provided by internal audit, the greater the need to ensure that internal audit is operating to a high professional standard.

A final word… High performing audit leaders view quality as the bedrock of effective internal auditing. They look for opportunities to build quality into daily processes, to ensure that internal audit engagements meet, and ideally exceed, stakeholder expectations and conform with professional standards. A quality internal audit function reflects organisational priorities and values. Embedding quality within internal audit processes supports continuous improve ment, and provides chief audit executives with confidence that they are well-positioned to meet external quality assessment requirements.

SIRK nr. 1 2015

VIRKSOMHETSSTYRING

Pilotprosjektet «human rights due diligence» “Human Rights Due Diligence” er det nye buzz-word innen samfunnsansvar. Human Rights Due Diligence betyr at bedrifter kartlegger, forebygger, begrenser og gjør rede for hvordan de håndterer konsekvensene av sin virksomhet med hensyn til menneskerettigheter.

ksemplene på menneskerettighetskrenkelser i forbindelse med næringslivsvirksomhet er mange. Kanskje husker du Rana Plaza-tragedien i Bangladesh, som fant sted 24.april for to år siden. Den åtteetasjes bygningen Rana Plaza utenfor Dahka rommet mange bedrifter, som banker og flere tekstil fabrikker. Da det ble oppdaget sprekker i bygningskonstruksjonen, evakuerte b ankene sine ansatte. Tekstilfabrikkene fortsatte imidlertid som om ingenting hadde skjedd. Dagen etter at det ble varslet om sprekkdannelser raste bygningen sammen, og 1138 mennesker omkom. I tillegg ble over 2500 ble skadet, mange kritisk. I kjølvannet av tragedien ble de multinasjonale klesfirmaene som benyttet fabrikkene i produksjonen av sine varer, kraftig kritisert for manglende oppfølging av forholdene i leverandørkjeden.

Mainstream CSR

KRISTIN HOLTER, Stakeholder as og

AASE GUNDERSEN,

International Law and Policy Institute (ILPI)

Human rights due diligence har sitt utspring i Guiding Principles on Business and Human Rights – Implementing the United Nations ”Protect, Respect and Remedy Framework”, som ble vedtatt av FNs menneskerettighetsråd i 2011. Senere er due diligence-prinsippet – på norsk ”aktsomhetsvurderinger med hensyn til menneskerettigheter” – tatt inn i en rekke internasjonale standarder for nærings livets samfunnsansvar, for eksempel OECDs retningslinjer for ansvarlig næringsliv. Pilotprosjektet Human rights due diligence er et prosjekt i regi av Norges nasjonale OECD kontaktpunkt1. Kontaktpunktet skal bidra til å gjøre OECDs retningslinjer for ansvarlig næringsliv kjent, samt å løse konflikter om etterlevelse av OECDs retningslinjer. Norske bedrifter kan klages inn for Kontaktpunktet med påstand om at de opptrer i strid med OECDs retningslinjer. Hvilke menneskerettigheter ble krenket for tekstilarbeiderne som 1

SIRK nr. 1 2015

hadde Rana Plaza som arbeidssted? Og hvem var ansvarlig?

Verdikjeden Utgangspunktet for en Human Rights Due Diligence-prosess skal være bedrift ens tydelige policy om å respektere menneskerettighetene slik de er beskrevet i FNs verdenserklæring om menneskerettighetene og ILOs åtte kjernekonvensjoner. Syerskene i Rana Plaza ble 24. april 2013 frarøvet retten til liv, men etter hva som kan utledes av arbeidsforholdene, ble deres rett til helse og en sikker arbeidsplass k renket lenge før bygningskollapsen. En bedrift har først og fremst ansvar for menneskerettighetskrenkelser den selv direkte forårsaker. Men, sier Guiding Principles on Business and Human Rights, bedriften må også søke å unngå at det skjer menneskerettighetskrenkelser hos sine leverandører og underleverandører, og “nedstrøms” i verdikjeden - hos kunder (for eksempel ved salg av avlyttingsutstyr og våpen) og ved avhending av deres p rodukter (for eksempel primitiv skipshugging hvor det benyttes barne arbeidere). Det betyr at de vestlige klesmerkene som fikk sine varer produsert på Rana Plaza også hadde sin del av ansvaret for de livstruende arbeidsforholdene. De burde ha sjekket, de burde ha visst, og de burde ha bidratt til forbedringer.

Offentlig handlingsplan Norske myndigheter ønsker at bedrifter skal kjenne konsekvensene når det gjelder menneskerettigheter av virksomheten de driver. Selskaper forventes å undersøke om de direkte forårsaker eller medvirker til, eller gjennom forretningsforbindelser indirekte bidrar til, brudd på menneskerettigheter og arbeidstakerrettigheter. Dersom det identifiseres faktiske eller potensielle brudd på menneskerettigheter, skal disse rettes opp.

Kontaktpunktets nettside er http://www.responsiblebusiness.no/. Der finnes utfyllende informasjon om både Kontaktpunktet og klagesakene de har hatt til behandling.

VIRKSOMHETSSTYRING

Derfor er Utenriksdepartementet i ferd med å utarbeide en nasjonal handlingsplan for gjennomføring av Guiding principles on business and human rights. Handlingsplanen vil identifisere hvilke offentlige virksomheter som følger opp ulike saksfelt, hva som allerede gjøres og foreslå nye tiltak. Flere andre land har utarbeidet eller er i ferd med å utarbeide slike handlingsplaner. Den norske handlingsplanen skal også styrke næringslivets oppfølging av Guiding principles on business and human rights, ved både å beskrive hva som forventes av norsk næringsliv og gi veiledning. Store foretak er allerede kjent med rapporteringsplikten om hva som gjøres for å integrere hensynet til menneskerettigheter og arbeids takerrettigheter i sin redegjørelse for samfunnsansvar i henhold til regnskapsloven §3-3c.

Støtte til eget arbeid Målet med pilotprosjektet Human Rights Due Diligence er å støtte et utvalg norske, flernasjonale bedrifters arbeid med å

gjennomføre en due diligence-prosess, i tråd med FNs veiledende prinsipper om næringsliv og menneskerettigheter og OECDs retningslinjer for ansvarlig næringsliv. Prosjektet gjennomføres som en serie på tre workshops, hvor deltakerne m ellom hver samling får tilbud om konsulent bistand, men først og fremst selv skal arbeide med bedriftens egen human rights due diligence prosess. Bedrifter som deltar i prosjektet forventes å identifisere relevante menneskerettighetsrisiki for egen virksomhet og starte arbeidet med å prioritere oppfølging av potensiell og faktisk risiko. Etter en anbudsprosess har Kontaktpunktet engasjert International Law and Policy Institute (ILIP) og Stakeholder as til å gjennomføre prosjektet og bistå med konsulenttjenester til bedriftene som deltar. International Law and Policy Institute (ILPI) leverer analytisk arbeid, utredninger, juridisk og teknisk rådgivning innen menneskerettigheter, internasjonal humanitær

rett, politisk-økonomisk risiko, land/konfliktanalyse, bistandsf orvaltning og antikorrupsjon. Stakeholder as leverer strategier, utredninger, rådgivning og konsulent tjenester innen kommunikasjon, næringspolitikk, stakeholderanalyser og samfunnsansvar. Hvilke bedrifter er med? • DNB • Griegstar • Høegh Autoliners • Jacobsen Electro • KLP Kapitalforvaltning • Kongsbergruppen • Mester Grønn • Nordea • Norgesgruppen • Orkla • Rema 1000 • Statkraft • Telenor • Western Bulk • Yara International ASA

Lansering av Veiledning for compliancefunksjonen Av

IZABELLA SALICATH,

Compliance Manager i AbbVie AS og leder for Compliance-nettverket i NIRF

2012 tok NIRF initiativet til å invitere alle interesserte i compliance til å diskutere muligheten for å etablere et compliance-nettverk. Bakgrunnen for møtet var et økende behov for faglig oppdatering, samt et forum der både teoretiske og praktiske problemstillinger kunne diskuteres. Grensesnittet og avgrensninger opp mot andre selskapsfunksjoner som controllere, internrevisorer og risk managere, samt definisjon og avklaring av begrepet compliance, var eksempler på forespørsler som NIRF hadde mottatt. Et uformelt nettverk ble opprettet og senere formalisert under NIRFs generalforsamling i 2013. Medlemmene som ble valgt til arbeidsutvalget for nettverket represente-

rer ulike bransjer, og slik sett er derfor nettverket en bred og bransjeuavhengig interesse gruppe for alle som på en eller annen måte arbeider med compliance. Arbeidsutvalget så tidlig behovet for utarbeidelse av en veileder for compliance. Formålet med veilederen er å beskrive compliancefunksjonens hensikt, ansvar og oppgaver, samt forutsetninger og suksesskriterier på tvers av bransjer. Målgruppen for veilederen er virksom heter som ønsker å etablere en compliance funksjon eller å utvikle sin compliancefunksjon videre. De ulike prinsippene presentert i veilederen kan også være nyttige for virksomheter som mangler en dedikert stilling, men som har en lignende funksjon med samsvarende arbeidsoppgaver. Internasjonalt er det blitt utarbeidet flere veiledninger for compliance som beskriver hva som skal til for å ha en effektiv compliancefunksjon innenfor

konkrete bransjer, tilpasset særskilte regulatoriske krav. Noen elementer er imidlertid gjennomgående, og kombinert med erfaring fra norske virksomheter, danner dette grunnlaget for complianceveilederen. Mot slutten av 2014 ble et utkast av veilederen sendt ut på høring til flere instanser, og arbeidsutvalget arbeider nå med å implementere alle mottatte innspill. Både kvaliteten og mengden av innspill viser at det er stor interesse for compliance, og det er viktig for arbeidsutvalget å vurdere alle innspillene nøye slik at dokumentet både får en faglig tyngde og anerkjennelse som et nyttig og godt forankret dokument. Arbeidsutvalget i nettverk compliance ønsker å arrangere et seminar om compliance i løpet av 2015 og håper i den forbindelse å lansere den endelige veilederen for compliancefunksjonen. SIRK nr. 1 2015

Foto: Shutterstock

Det er en usikker verden der ute Ny teknologi og økende globalisering har skapt en verden der spillereglene og risikobildet stadig endres. Gale beslutninger kan fort påvirke omdømme, tillit og økonomiske resultater. Er du derimot godt forberedt, kan du både redusere risikoen og åpne for nye muligheter. RSM tilbyr tjenester innenfor helhetlig risikostyring, internkontroll og informasjonssikkerhet for både små og store virksomheter, nasjonalt og internasjonalt. Det handler om å beskytte verdier, ta de riktige beslutningene og være forberedt . Det vil både du og dine kunder sette pris på.

RSM – LOKAL KUNNSKAP I ET GLOBALT NETTVERK

RSM er medlem av RSM International, et av verdens ledende tilbydere av revisjons- og rådgivningstjenester. I Norge har vi kontorer i Oslo, Bergen og Voss. Les mer på www.RSMI.no Kontakt Kent Kvalvik, mobil 965 19 700, e-post kk@rsmi.no

Celebrating

years

1964 - 2014

RISIKOSTYRING

Hva skal til for å lykkes med risikostyring? Av

LEIF TVEIDE, direktør i PwC

IRFs arbeidsutvalg for risiko styring fasiliterte et diskusjonsmøte 8. mai og samlet i den forbindelse en «ekspertgruppe» med representasjon fra et utvalg n orske virksomheter med aktivitet innenfor ulike bransjer. Hensikten var å diskutere hvordan ledende norske virksomheter legger opp arbeidet med risikostyring, hvilke utfordringer de møter, og hva som skal til for å lykkes. Møtet skulle danne grunnlag for et medlemsmøte over sommeren. Denne artikkelen oppsummerer de viktigste diskusjonspunktene.

Økt fokus på risikostyring blant norske virksomheter

DELTAKERE I NIRF’S «EKSPERTGRUPPE» FOR RISIKOSTYRING • Petter Kapstad (Statoil) • Martin Stevens (Gjensidige) • Daniel Malmberg (Yara) • Bjørn Anders Forberg (Statnett) • Rune Moen (Tine) • Malene Tungland Dolven (Risk management PhD Student)

FASILITATORER/ DELTAKERE FRA NIRF • Ingunn Valvatne (Norges Bank) • Erik Wisløff (Sykehuspartner) • Unni K. Rognlien (Forsvarssjefens Internrevisjon) • Leif Tveide (PwC)

Diskusjonen i møtet bekreftet at det er økende fokus på risikostyring blant norske virksomheter. Det kom blant annet fra at virksomhetenes styrer i økende grad engasjerer seg og utfordrer ledelsen på om man har tilstrekkelig k ontroll på kritiske risikoer i virksomheten. Dette har positive ringvirkninger nedover i organisasjonene i form av økt fokus på risikostyring. Mange virksomheter har en klar ambisjon om å integrere risikostyring i viktige ledelses- og beslutningsprosesser – og i styrets opp følging av virksomheten. I løpet av diskusjonen kom det frem eksempler på at noen virksomheter har kommet langt med dette arbeidet. Samtidig ble det presisert at de fleste virksomheter ikke har kommet langt nok. Arbeidet med risikostyring har en tendens til å bli repetitivt og er ikke alltid strategisk nok. Samtidig er det ofte personavhengig – når folk i sentrale risikofunksjoner slutter er det fare for at arbeidet ikke videreføres.

Styret må engasjere seg i arbeidet med risikostyring I den første delen av møtet fokuserte ekspertgruppen på styrets rolle i forhold

til risikostyring og hvilke faktorer som er viktige for å oppnå engasjement og involvering på styre-nivå. De viktigste diskusjonspunktene kan oppsummeres som følger: • Felles forståelse av risikostyring. For å kunne engasjere styret i en konstruktiv dialog rundt risikostyring er det viktig at

For å kunne engasjere styret i en konstruktiv dialog rundt risikostyring er det viktig at styremedlemmene har en relativ sammenfallende for ståelse av temaet.

styremedlemmene har en relativ sammenfallende forståelse av temaet. Det ble påpekt at dette ofte kan være utfordrende på grunn av hyppig utskiftning av styremedlemmer i mange virksomheter. Ekspertgruppen diskuterte viktigheten av å oppnå felles forståelse av virksomhetens risikoprofil, overordnet til nærming til risikostyring (rammeverk), og hvordan ulike typer risiko analyseres og håndteres. Ekspertgruppen trakk frem eksempler på hvordan noen jobber med målrettet opplæring av styret i form av seminarer og arbeidsmøter med fokus på risikostyring. • Dialog rundt akseptabel risiko. Ekspert gruppen diskuterte også viktigheten av SIRK nr. 1 2015

RISIKOSTYRING

å involvere s tyret i en god dialog rundt risikoappetitt/- toleranse. Styret bør ta aktivt stilling til hvilke typer risiko (og hvor mye) virksomheten ønsker å ta, og hvilke typer risiko man ikke ønsker å være eksponert for. I bank- og finansbransjen blir ofte slike diskusjoner ganske tekniske og kompliserte, men dette trenger ikke nødvendigvis å være tilfelle i andre bransjer. En mer kvalitativ tilnærming kan fungere utmerket, men dette krever at styremedlemmene forstår at det finnes både «opp-side» og «nedside» risikoer og at det ikke alltid er ønskelig å redusere risikoen. Ekspertgruppen trakk frem eksempler på at det på en del områder kan være ønskelig å ta mer risiko for å kunne utnytte potensielle endringer i pris, valutakurser og andre faktorer. • Tilstrekkelig tidsbruk og fokus på kritiske risikoer. For at styret skal kunne utføre sin rolle i forhold til å legge føringer for ledelsen og følge opp styringen av kritiske risikoer er det viktig at tilstrekkelig tid allokeres til risikostyring. Ekspert gruppen påpekte at mange styremedlemmer i praksis har «minustid» til styre arbeid samtidig som risiko rapportering ikke alltid oppfattes som relevant. Mange virksomheter har en tendens til å «snu bunken» slik at både risiko og tiltak er de samme som året før – uten at noe faktisk har skjedd verken med risikoen eller eventuelle tiltak. Det er nødvendig å fokusere på de risikoområdene hvor man kan gjøre noe, og følge opp ledelsens tiltak på disse områdene. I denne sammenheng ble det diskutert hvordan styret i noen virksomheter initierer «dypdykk» hvor ledelsen blir bedt om å analysere og utvikle tiltaksplaner for kritiske risikoområder – og rapportere status og resultater fra «dypdykket» på neste styremøte. • God risikoinformasjon. Ekspertgruppen var enig om at risikoinformasjon som gjøres tilgjengelig for styremedlemmer ofte ikke er god nok og tilpasset styrets behov. I noen tilfeller er risikoinformasjonen for detaljert og vanskelig å forholde seg til. Aggregering kan i andre tilfeller føre til overforenklinger og SIRK nr. 1 2015

generalisering, som bidrar til at risiko informasjonen blir irrelevant eller ikke kan handles på. Det er utfordrende å finne riktig balanse og ekspertgruppen påpekte at risikoinformasjon bør være

kan iverksettes for å holde risikoen på akseptabelt nivå?». Det ble også diskutert at analyse av risiko i utvikling av forretningsplaner og budsjetter ofte kan være mangelfull, for eksempel ved

Mange virksomheter har en tendens til å «snu bunken» slik at både risiko og tiltak er de samme som året før – uten at noe faktisk har skjedd verken med risikoen eller eventuelle tiltak.

beslutningsorientert og legge til rette for gode beslutninger. Beslutnings-saker som behandles i styret bør inneholde svar på spørsmålene: har dette innvirkning på risikoprofilen? I så fall, hvordan håndteres dette? Ekspertgruppen trakk også frem eksempler på hvordan man kan skape engasjement i styret ved å legge til rette for diskusjon av spesielle risikoer (eksempelvis katastroferisiko) og håndteringen av disse.

Risikostyring må integreres i ledelsens beslutnings- og opp følgingsprosesser Ekspertgruppen diskuterte videre hvordan ledelsen på ulike nivåer i virksomheten jobber med risikostyring og hva som skal til for å engasjere ledelsen. De viktigste diskusjonspunktene kan oppsummeres som følger: • Integrasjon av risikostyring i beslutningsprosesser. Ekspertgruppen diskuterte at det ofte er utfordrende å operasjonalisere rammeverk og prosesser for risikostyring på en måte som ledelsen oppfatter som verditilførende. Man påpekte i denne forbindelse viktig heten av å inkludere tilstrekkelig risiko in formasjon i underlaget for viktige beslutninger. Beslutningsunderlag bør svare på spørsmålet: «hvordan påvirker denne beslutningen virksomhetens risiko eksponering?» og «hvilke tiltak

at usikkerhet knyttet til estimater ikke er vurdert. Dette ble fremhevet som et betydelig for bedringsområde for mange virksomheter og samtidig et område hvor det er relativt enkelt å demonstrere verdien av god risiko analyse for ledelsen. • Integrasjon av risikostyring og mål-/resultatstyring. Deltakerne diskutere også utfordringer ved at risikostyring er ikke alltid knyttes til mål- og resultat styringen i virksomheten. Ofte blir dette parallelle prosesser uten tilstrekkelig integrasjon. Når resultater diskuteres bør man samtidig diskutere hvilken risiko man har tatt for å oppnå dette resultatet, og hvordan den håndteres. Det ble trukket frem eksempler på hvordan vurdering av risiko i noen ledende virksomheter er en integrert del av kvartalsvise «Business Performance Review». Dette vil ofte ha en viktig pedagogisk effekt da ledere på ulike nivåer innser viktigheten av å vurdere risiko i forhold til oppnådde resultater. • Fokus på håndtering av kritiske risikoer. Som beskrevet over i forhold til styrets arbeid, er det tilsvarende viktig at ledelsen også har fokus på håndtering av kritiske risikoer. Det synes ofte å være for mye fokus på risikovurderinger, og for lite fokus på risikohåndtering. Ekspertgruppen fremhevet at altfor ofte

RISIKOSTYRING

genereres store mengder risikoinformasjon gjennom ulike typer analyser uten at noe faktisk gjøres i forhold til forebyggende arbeid eller forbedring av beredskap. Det er derfor viktig at ledelsen faktisk håndterer risiko og at diskusjon av risiko/risikostyring i ulike lederfora fokuserer på tiltaksoppfølging og eventuelle utfordringer knyttet til dette.

Kravene til «risk managere» øker Ekspertgruppen diskuterte også hvilke krav som stilles til «risk managere» og hvordan arbeidet på tvers av ulike risikoog kontrollfunksjoner bør koordineres. Det fremkom tydelig at «risk managere» har en særdeles viktig rolle i forhold til å sikre effektiv risikostyring og at forventningene øker. De viktigste diskusjonspunktene kan oppsummeres som følger: • Forretningsforståelse. Ekspertgruppen presiserte at god forretningsforståelse er en av de viktigste suksessfaktorene for å lykkes som «risk manager». Risk Managere mangler ofte forståelse for virksom-

• Forebyggelse av «risk gaps». Ekspert gruppen fremhevet at en viktig rolle for «risk managere» er å identifisere og forebygge potensielle «risk gaps». Noen virksomheter tar for mye risiko innenfor ett område uten å forstå forholdet mellom forventet avkastning og mulig nedside-risiko. «Populære» risikoområder overfokuseres og overvurderes (for eksempel renomme-effekter), mens andre kritiske risikoområder kan være underprioritert. Risk managere er unikt posisjonert til å identifisere «risk gaps» siden en viktig rolle typisk vil være å analysere risiko på tvers av virksomheten og opparbeide seg en helhetlig forståelse av risikoprofilen som andre ledere/funksjoner mangler. • Tilstrekkelige eskaleringsmekanismer. «Risk managere» er unikt posisjonert til å forstå kritiske risikoer for virksomheten. Det er derfor viktig at man har mulighet til å eskalere bekymringer og kritiske risikoer til ledelsen og styret. Enkelte deltakere mente at «risk manager» bør ha direkte

Det synes ofte å være for mye fokus på risikovurderinger, og for lite fokus på risikohåndtering.

heten og bli oppfattet som «showstoppere» med for mye fokus på ned-side risiko. De ekskluderes ofte fra strategi arbeidet fordi de ikke forstår virksomheten godt nok og ikke har forståelse for behovet om å ta mer risiko for å videreutvikle selskapet. Det ble presisert at det ofte ikke avsettes tilstrekkelig tid til at risk manager har kapasitet til å tenke, forstå forretningen, delta i strategidiskusjoner og utvikle en forståelse hvordan virksomheten fungerer og hvilke strategiske mål den har. En god Risk manager må forstå virksomheten og omsette viten om konkrete risikoer til råd om hva som bør gjøres, og hjelper ledere til å forstå risikoen i helhetsbildet.

champions» i ulike deler av virksomheten og bruker mye tid på utvikling av disse. En erfaring var at det ofte fungerer godt når risk champions er en «senior» med god forretningsforståelse og som har tillit hos ledelsen og blant ansatte.

Behov for erfaringsutveksling og veiledning innenfor risikostyring Ekspertgruppen diskuterte avslutningsvis behovet for å utarbeide veiledning for norske virksomheter i forhold til hvordan arbeidet med risikostyring bør legges opp. Det ble påpekt at selv om det finnes internasjonal veiledning (f.eks. ISOs standard for risikostyring eller COSOs Enterprise Risk Management rammeverk) er det behov for å beskrive tydeligere hva som er hensiktsmessig for norske virksomheter. Arbeidsutvalget for risikostyring i NIRF tar dette til etterretning og kommer til å vurdere muligheten for å inkludere dette i utvalgets arbeid fremover. Ekspertgruppen uttrykte også at dette innledende diskusjonsmøtet hadde vært svært nyttig og at det er et ønske om å flere møter av denne typen – for å belyse ulike temaer knyttet til risikostyring og utveksle erfaring. Arbeidsutvalget for risikostyring i NIRF vil kalle inn til et nytt møte, hvor ekspertgruppen blant annet kan vurdere om den skal konstituere seg som et mer permanent fagforum.

rapporteringslinje til styret, og at dette ikke bør være begrenset til bank/ finans-bransjen. Andre deltakere kom med eksempler på hvordan godt samarbeid mellom risikostyringsfunksjonen og internrevisjonsfunksjonen bidrar til effektiv eskalering av kritiske risikoer siden internrevisjonen har full tilgang til styret. • Kompetansebygging på tvers av virksom heten. Ekspertgruppen påpekte i tillegg at en god risk manager utvikler virksomhetens samlede risikokompetanse, og samarbeider på tvers av fagfelt og organisasjonsnivåer. En god Risk manager forstår at man er avhengig av «risk SIRK nr. 1 2015

NYTT FRA NIRF

KURS PRAKTISK INTERNREVISJON I løpet av disse dagene vil vi gi innføring i planlegging, gjennomføring og rapportering av internrevisjonsprosjekter. Ved hjelp av case og diskusjoner vises god praksis for gjennomføring av enkeltprosjekter, men også knytningen til virksomhetens helhetlige risikostyring, revisjonens årsplan og rapportering til ledelsen og styret berøres i kurset. Formål med kurset: Gi deltakerne forståelse for hele revisjonsprosessen, med hovedvekt på praktisk gjennomføring av det enkelte revisjonsprosjekt. Dette oppnås gjennom en kombinasjon av forelesning og praktiske eksempler, diskusjoner og gruppearbeid. Kurset dekker: Praktisk gjennomføring av det enkelte revisjonsprosjekt, herunder: - Planlegging - Gjennomføring - Rapportering - Oppfølging - Dokumentasjon - Kvalitetssikring Kurset vil også gi deltagerne forståelse for koblingen til risikodrevet årsplanlegging, rapportering til ledelsen og styret og omtale spesielle forhold relatert til IT- og mislighetsrevisjon. Kurset egner seg for: Alle som ønsker seg helhetlig oversikt over innholdet i, og sammenhengen mellom, elementene i et godt planlagt, gjennomført og rapportert intern revisjonsprosjekt. Krav til forkunnskaper: Kunnskap om profesjonens etiske regler og standarder tilsvarende NIRFs kurs ”Introduksjon til internrevisjon”. Vedlikeholdspoeng (CPE): Gjennomføring av kurset gir 21 CPE-poeng for CIA, CCSA, CGAP, CFSA, CRMA og Diplomert Intern Revisor. Pris: Medlemmer: kr 9 500 Ikke-medlemmer: kr 10 400 I kursavgiften inngår bøkene International Professional Practices Framework og Implementing the International Professional Practices Framework. Tid og sted: 15 - 17 september 2015 i Oslo. Registrering første dag fra 8.30, ellers fra 9.00 - 17.00 Forelesere: Hans Oskar Hansen, utdannet jurist fra UiO, og diplomert internrevisor fra BI. Hans Oskar er seniorrådgiver i Internrevisjonen i Skattedirektoratet. Silje Tangvald-Olsen, utdannet siviløkonom fra UiA og statsautorisert revisor fra NHH. Silje jobber i Konsernrevisjonen i DNB. Hilde Tanggaard, utdannet samfunnsviter fra UiO og HiT, og diplomert internrevisor fra BI. Hilde er rådgiver i NIRF.

SIRK nr. 1 2015

Introduksjon til Internrevisjon På denne dagen vil vi gi en innføring i intern revisors roller og ansvar, begrepsavklaringer og definisjoner, samt hvilke etiske regler og hvilke krav som ligger i internrevisjonens standarder. Formål med kurset: Gi deltagerne de nød vendige grunnkunnskaper i internrevisjon gjennom introduksjon til internrevisjonens rammeverk, spesielt rettet mot de obliga toriske delene. Innholdet i kurset er nødvendig basiskunnskap for kurset Praktisk Intern revisjon. Kurset dekker følgende: • Internrevisjon – roller og ansvar, definisjoner og avgrensninger, eksempler • Governance: Hva ligger i begrepet og hvorfor er dette relevant for oss • Internkontroll • Risikostyring • De etiske reglene • De faglige standardene • Veien videre; utdanning, diplomering og sertifisering Hvem kurset er beregnet på: Nyutdannede, personer som er nye i intern revisjonen, internrevisorer som ønsker oppfriskning av basiskunnskaper, ansatte i stabsfunksjoner eller andre som ønsker mer informasjon om hvilken nytteverdi intern revisjonen kan bidra med. Krav til forkunnskaper: Ingen. Vedlikeholdspoeng (CPE): Gjennomføring av kurset gir 8 CPE-poeng for CIA, CCSA, CGAP, CFSA, CRMA og Diplomert Intern Revisor. Pris: Medlemmer kr 3 500, ikke-medlemmer kr 3 800 Dato: 8. september 2015 Tid: 09.00 – 17.00 (Registrering fra 08.30) Sted: Oslo Forelesere: Karl-Ludvig Mauland, partner i BDO Hilde Tanggaard, rådgiver i NIRF

VIRKSOMHETSSTYRING

Ikke Redd for misligheter og korrupsjon

I Av

NIGEL KRISHNA IYER, Partner i Hibis AS

en tidligere utgave av SIRK hadde jeg en artikkel med en forhåpentligvis provoserende tittel; “Who’s afraid of the red flags of fraud and corruption?“. Den var rettet mot de ledere, direktører og ekstern revisorer som mener at misligheter og korrupsjon fore kommer sjelden. Til alle de som opplever avdekking av slike forhold som dårlige nyheter og derfor foretrekker ikke å se etter det. Jeg ønsker å oppmuntre internrevisorer til å be ledere som foretrekker å stikke hode i sanden, om å reflektere over følgende: Hvis de typiske kostnader relatert til misligheter og korrupsjon ligger på mellom 1 – 5 % av salgsinntektene eller kostnader (noe de fleste under søkelser indikerer), da er det trolig mye misligheter og korrupsjon som enhver kan oppdage der ute. Dermed kan både det å avdekke eller også å unngå misligheter og korrupsjon, ses på som en god måte å spare penger på. Og de fleste mennesker ønsker å spare penger, generelt sett! Jeg var glad for å kunne bistå NIRF med korrupsjonsdebatten «Hvem avdekker korrupsjon?» på Cinemateket i Oslo torsdag 26. mars. Det var et anselig oppmøte, trass i et formi dabelt snøkaos og at Ruter innstilte alle busser. Debatten ble dekket av Aftenposten, Kapital og Fædrelandsvennen, noe som bidrar til å sette

NIRF i søkelyset når det gjelder tematikken avdekking og håndtering av korrupsjon og misligheter. Ellen Brataas som er generalsekretær i NIRF sa selv dette om debatten: «Det var kjempegøy å oppleve et så engasjert publikum, selv om snøstorm og null offentlig kommunikasjon laget hindringer for oss, delta på premieren og bidra i debatten. Det var kun positive tilbakemeldinger å høste i etterkant og jeg har fått mange henvendelser fra medlemmer som ønsker å bruke filmene internt hos seg. På en litt utradisjonell måte har NIRF klart å sette et viktig tema på agendaen, og det var godt å se at også pressen syntes det samme. Tidsskriftforeningen, Fritt ord og Kulturrådet var av samme oppfatning og bidro med midler til å støtte arrangementet.»

Et forventningsgap? En stor andel av deltakerne bidro, i tillegg til paneldeltakerne1, til en viktig og konstruktiv debatt. Jeg telte over 30 spørsmål og svar på en time. Etter en liten meningsmåling i starten av debatten slo det meg, at selv i denne salen finnes det et forventingsgap. En tredjedel av publikum var ikke revisorer, og på spørsmålet mitt: «Hvis det var vesentlige

SIRK nr. 1 2015

VIRKSOMHETSSTYRING

misligheter og korrupsjon i en organisasjon, ville du forventet at det var en revisors ansvar å finne det?», svarte de fleste «ja». De øvrige to tredjedeler av publikum besto av revisorer, og hoveddelen av disse mente at det ikke var revisors ansvar å avdekke dette. Spørsmålet var kun ment til å sparke i gang debatten, men resultatet er faktisk ganske typisk for de meningsmålingene jeg har gjennomført i Norge og flere andre land jeg jobber. Folk har ganske høye, og kanskje urealistiske, forventninger til revisor og kjenner lite til forskjellen på internog ekstern revisor, men ser på revisorer som en homogen gruppe. Jeg tror også at dette er en av de store forventingsgapene i samfunnet i dag, som det ikke snakkes om. Uansett hvordan man definerer samfunnet, er det en slags forventning til at revisor avdekker misligheter der ute. Samtidig hevder de fleste revisorer at avdekking av misligheter og korrupsjon ikke er deres hovedansvar. Det interessante og viktige problemet utkrystalliserte seg i debatten ved Erik Osmundsen i Norsk Gjenvinning, som selv har erfaringer med korrupsjon og misligheter som administrerende direktør. Erik opplevde at misligheter og korrupsjon kanskje var den mest alvorlige trusselen mot Norsk Gjenvinnings eksistensberettigelse, og han måtte foreta noen radikale og innovative grep for å bedre organisasjonen. På spørsmålet om hvorvidt han mente at revisor burde avdekket mislighetene, husker jeg at sa han svarte mere eller mindre «Nei, jeg tror ikke det.

SIRK nr. 1 2015

De leter ikke spesifikt etter misligheter, de har ikke verktøy og det er ledelsen som må lete.» Jeg antok at Erik i denne sammenhengen refererte til de eksterne revisorene? Under debatten viste vi også de tre kortfilmene «Samtalene vi helst ikke vil høre». Disse filmene2, som jeg skrev manusene til, er historier basert på hendelser som jeg har opplevd i Norge. Filmene omhandler menneskelige følelser som oppstår ved misligheter og korrupsjon. Intensjonen er å skape reaksjoner hos publikum og innlede til konstruktive debatter. Anvendelsen av filmene, som omhandler korrupsjon fra topp til bunn i en organisasjon, er ikke ment kun for revisorer, men også ledelsen og øvrige ansatte. Faktisk er det ingen «revisor» med i filmene fordi revisorer vanligvis ikke er i nærheten når disse samtalene finner sted. Filmene er laget for å skape diskusjon, som eksempelvis: • Er vi virkelig bevisst på hvor mange uetiske handlinger som foregår uten at det blir lagt merke til? • Kan jeg havne i en slags moralsk felle, der jeg finner at jeg er en liten del av problemet? • Hvor lenge er det klokt å vente før man varsler?

NIGEL JOBBER IN HIBIS AS (som har nylig byttet navn fra Septia AS), har eget film- og teaterselskap, «The Theatre of Corruption», er deltidslærer på bla. The University of Leicester School of Management og Handelshøyskolen BI. Han har i over 20 år arbeidet med å identifisere korrupsjon og misligheter. Nigel er også utdannet dramatiker, har skrevet mange bøker og avhandlinger og foreleser over hele verden. (https://vimeo.com/123597659)

Filmene er tilgjengelig for alle medlemmer av NIRF og kan gjerne brukes sammen med en kort opplæringspakke som snart er tilgjengelig hos NIRF.

VIRKSOMHETSSTYRING

Wind of change? Over flere år har jeg «samlet på» grunner til at folk, inkludert revisorer, ikke er særlig ivrige etter å lete etter røde flagg. Det virker jo så fornuftig å gjøre det, men i virkeligheten står de som søker å avdekke misligheter i fare for å bli upopulær. Grunner for ikke å gjøre noe er mange, og de varierer fra «ledelsen mener det ikke er så viktig» og «det er veldig vanskelig å avdekke», til «det er så mange andre viktigere ting å ta tak i nå» eller «det er så mange lover og retningslinjer vi må etterleve, at det er ikke tid til så mye annet». Sammen med en professor på University of Leicester School of Management har jeg skrevet en artikkel om konse kvenser av for mange lover og reguleringer, kalt «Actions speak louder than rules». Våre undersøkelser av flere hundre hendelser av misligheter og korrupsjon og intervjuer viser at ledelsen opplever å bli oppslukt av en tsunami med økende lovkrav og reguleringer, og at det er liten

Det skjer. Men for å kunne foregripe begivenheten, må du tørre å se. tid til praktisk utøvelse av arbeid relatert til misligheter og korrupsjon. Vi har også gjort oss noen tanker om hva er både formålet og konsekvensene av å blindt «huke av bokser». Som enkeltindivider gjør vi trolig dette ofte f.eks når vi kjøper fly billett eller laster ned produkter fra nettet ved å krysse av for at vi har lest vilkårene, uten faktisk å ha lest dem. Mens jeg ferdigstilte ovennevnte artikkel i påsken og forsøkte jeg å holde tritt med familiens skiturer på Ustaoset

“The Hazard of Rules” by Professor Yuval Milo and Nigel Krishna Iyer (Fraud Intelligence April 2015)

(Britiske-Indiere er vanligvis ikke født med ski på beina), ble jeg inspirert til å lage en tegning. Den har jeg kalt «The hazard of Rules» og er inkludert i artikkelen. Jeg har mottatt positive og interessante tilbakemeldinger på tegningen og styreformannen for The Institute of Management Accounting i UK, har rammet inn en kopi og hengt den opp på kjøkkenet sitt! Jeg snakket med Erik Osmundsen etter debatten 26. mars, og opplever at han har tiltro til revisorer. Han virker å være en av de sjeldne typene toppledere som har skjønt at misligheter og korrupsjon er ganske vanlig i organisasjoner. For ham er det ingen risiko, det er fakta! Det skjer. Men for å kunne foregripe begivenheten, må du tørre å se. Jeg tror heller ikke det er vanskelig å finne røde flagg. Det kreves bare tiltro, lidenskap, evnen til å lære og å bruke de rette teknikker for å finne røde flagg. Det som virkelig har oppmuntret meg de siste månedene i samarbeidet med NIRF, er kurset vi holder kalt Fraud Wizard og den pågående debatten og fruktbare samtaler med medlemmer. Jeg føler at en «wind of change» er over oss. Videre, refererte

Media til debatten som viktig og den viser at internrevisorer i Norge har noe viktig å komme med og bør bli lyttet til. Mitt råd til medlemmer av NIRF er å bruke alle verktøy du har til disposisjon (bruk filmene og egne eksempler til å

Actions speaks louder than rules.

trene på bevisstgjøring, finn røde flagg m.m.) for å overbevise ledelsen om at misligheter og korrupsjon er noe vi kan GJØRE noe med, og at å identifisere det TIDLIG faktisk er gode nyheter. Gode nyheter for alle! Folk trenger å få vite om hvem internrevisorene er og kanskje de vil assosiere bokstavene «IR», ikke bare med «internrevisjon», men også frasen “Ikke Redd”?

1 Panelet besto av Tor Steenfelt-Foss (DNB), Frank Alvern (Forsvarsdepartementet) og Erik Osmundsen (Norsk Gjenvinning) 2 Produsert av Snöball AS for Aftenposten TV, finansiert av Finansmarkedfondet i samarbeid med NIRF, NKRF, Advokatfirma Selmer, NTNU og Septia AS.

SIRK nr. 1 2015

VIRKSOMHETSSTYRING

Integrert rapportering Av

ELLEN BRATAAS,

generalsekretær i NIRF

ENHANCING INTEGRATED REPORTING INTERNAL AUDIT VALUE PROPOSITION

Fra nce N etherl a nd s N or way Sp a i n UK a nd Irel a nd

deler ved å benytte en slik rapporterings tilnærming. Men i hovedsak er veilederen ment å være til hjelp for internrevisorer og de som jobber med risiko styring ved å beskrive deres roller rundt deforskjellige elementene i integrert rapportering. Last ned veilederen fra NIRFs hjemmeside.

Foto: Shutterstock.com

apporteringskulturen har endret seg dramatisk de siste årene. Etter press fra myndigheter, investorer, kunder, ratingbyråer, innbyggere m.fl. forventes det at virksomheter rapporterer på mye mer enn kun finansiell informasjon. Gjennom integrert rapportering kan en virksomhet vise hvordan den skaper verdier over tid. Integrert rapportering handler i korte trekk om å gjøre selskapsrapporteringen mer relevant ved å gi investorer og andre interessenter bedre mulighet til å gjøre en helhetlig vurdering av et selskap. Dette gjøres ved å rapportere ikke- finansiell informasjon om miljømessige, sosiale og styringsrelaterte aspekter sammen med den tradisjonelle finansielle informasjonen. G jennom å synliggjøre sammenhengen mellom finansielle og ikke-finansielle resultatindikatorer, vil en integrert rapport gi bedre og mer utfyllende informasjon

om selskapets evne til langsiktig verdiskapning og da spesielt hvordan makroøkonomiske, samfunnsøkonomiske og miljømessige faktorer innvirker på denne. Selskaper som har tatt i bruk det nåværende rammeverket for Integrert Rapportering har erfart at det har ført til en forbedring av interne prosesser og samhandling på tvers i organisasjonen. Videre har styret og ledelsen fått bedre oversikt over hvordan selskapet skaper verdi. En mer integrert tilnærming til rapportering kan også bidra til å eliminere silo-tankegang internt i bedriften og føre til at organisasjonen får en bedre forståelse for hvordan den jobber sammen mot felles mål. For å lykkes med god integrert rapportering eksternt må det være en integrert strategi og tankegang innad i bedriften. IIA France, IIA Netherlands, IIA Norway (NIRF), IIA Spain og IIA UK and Ireland har derfor laget veiledningen «Enhancing Integrated Reporting», Internal Audit Value Proposition. Denne veiledningen inneholder informasjon til styre og toppledelse om hva integrert rapportering er og for

SIRK nr. 1 2015

VIRKSOMHETSSTYRING

IKKE-FINANSIELL RAPPORTERING

Internrevisjonens tillitsskapende rolle

D Av

MARTIN STEVENS, styremedlem i ECIIA

1. Linje

2. Linje

3. Linje

en første april 2015 ga ECIIA ut en veiledning som omhandler internrevi sjonens tillitsskapende rolle i forhold til ikke-finansiell rapportering. Tittelen på engelsk er “ Non-financial reporting: building trust with internal audit”. Nei, brosjyren var ingen aprilspøk fra ECIIA men var ment som et viktig innspill i debatten om temaet “ikke-finansiell rapportering”. EU arbeider for tiden med et direktiv om dette temaet som forventes å bli gjeldende i løpet av et par års tid over hele Europa. Formålet med å utgi denne brosjyren er å redegjøre for de oppgavene internrevisjon kan påta seg i forbindelse med de økte rappor teringskrav bedrifter kommer til å møte fremover. Det påpekes at internrevisjon kan gi verdiskapende input til bedriften i oppfyllelse av disse nye kravene. Som Thijs Smit presidenten i IIA uttrykker det “internrevisjon har en viktig rolle å spille fordi de er i enestående posisjonen i å kunne formidle et “helikopter”-blikk over organisasjonen og bistå i utvikling av en fremtidsrettet strategi på dette område.” Veilederen begynner med en oppsummering av utviklingen av EU krav til bedrifter til å publisere ytterligere informasjon utover det rent finansielle. Deretter gis det en definisjon av hva

Non-Financial Reporting: Building trust with internal audit

det menes med bærekraftig utvikling i en europeisk sammenheng. Styret og toppledelsen blir nødt til å engasjere seg i bærekraftig utvikling ikke bare på det strategiske nivået men også i forhold til rapportering og styring men også på kvalitetssikring av hele opplegget.

Økonomi De har ansvar for å samle data og implementere prosedyrene mot korrupsjon og bestikkelselser. De overvåker prosessen og handler der dette er nødvendig. Compliancefunksjonen utvikler datainnsamlingsprosessen. De definerer denne prosessen samt rapporteringsformat. De kontrollerer denne prosessen og bistår 1. linjen.

Miljø De har ansvar for å samle data om miljøforhold og definere KPIene. De overvåker prosessen og handler der dette er nødvendig.

Samfunn De har ansvar for å samle samfunnsdata. De overvåker prosessen og handler der dette er nødvendig.

HMS definerer prosessen for innhenting av relevant data. De definerer denne prosessen samt rapporteringsformat. De kontrollerer denne prosessen og bistår 1. linjen.

HR definerer prosessen for innhenting av data. De definerer denne prosessen samt rapporteringsformat. De kontrollerer denne prosessen og bistår 1. linjen.

De bekrefter at organisasjonen behandler og forvalter risikobildet og de tilhørende internkontrollsystemer på en hensiktsmessig måte, herunder vurderer hvordan den 1. og 2. forsvarslinjen funksjonerer.

Figur 1 – De tre forsvarslinjer tre dimensjoner i bærekraftig utvikling Modenhetogi de bærekraftig utvikling Internrevisjonsfokus

Leder 38

Bærekraftig utvikling er integrert i forretningsstrategien og bidrar til verdiskaping

Bidrar til integrert bekreftelse av bærekraftig utvikling gjennom uavhengig uttalelse

SIRK nr. 1 2015

2. Linje

3. Linje

Leder Moden Etterfølger

rapporteringsformat. De kontrollerer denne prosessen og bistår 1. linjen.

De bekrefter at organisasjonen behandler og forvalter risikobildet og VIRKSOMHETSSTYRING de tilhørende internkontrollsystemer på en hensiktsmessig måte, herunder vurderer hvordan den 1. og 2. forsvarslinjen funksjonerer.

Modenhet i bærekraftig utvikling Bærekraftig utvikling er integrert i forretningsstrategien og bidrar til verdiskaping Risikoer forbundet med bærekraftig utvikling blir styrt og lovkrav etterleves Lovkrav etterleves

Internrevisjonsfokus Bidrar til integrert bekreftelse av bærekraftig utvikling gjennom uavhengig uttalelse Bærekraftig utvikling integreres i både risikovurdering og revisjonsplan Aktiviteter på området bærekraftig utvikling er en del av revisjonsmandatet

Figur 2 Modenhet i bærekraftig utvikling og internrevisjonsfokus

Kapitel 4 i veilederen presenterer den etter hvert godt kjent tre forsvarslinjermodellen og hvordan den kan ses i sammenheng med de 3 dimensjoner i bærekraftig utvikling - se figur 1. Rollen som internrevisjonen kan spille vil være avhengig av organisasjonens modenhet, noe som illustreres i figur 2. Kapitel 5 tar for seg temaene inte grasjon i styring, rapportering og bekreftelse. Det anbefales koordinering av interne evalueringer og bekreftelser (f.eks risikostyring og internrevisjon) med eventuelle eksterne. Det henvises i denne sammenheng til veiledninger fra IIA og definisjoner fra “The International Integrated Reporting Council” (IIRC). Figur 3 illustrerer hvordan de forskjellige bekreftelser kan integreres. Det siste kapitlet omtaler nærmere rollen til internrevisjon også i sammenheng med

Styret: Revisjonsutvalg Risikoutvalg

implementering av kravene til bærekraftig utvikling og u tvidet offentlig rapportering. Man ser for seg at internrevisjon kan ha en rådgivende rolle ved etablering av de nye prosessene samt etter hvert en bekreftende funksjon og en rolle i å koordinere statusrapportering på en integrert måte. I denne brosjyren (som kan lastes ned på www.eciia.eu) vil en internrevisor ikke finne ukjente visjoner om intern revisjonens rolle og det er heller ikke det som er målsetning. Jeg tenker at brosjyren skal hjelpe best ved at det gis bort og deles med andre i virksomheten fra revisjons utvalget til CFO og CRO for å nevne bare noen. For disse personer vil man kunne få mer innsikt i hvordan man kan nyttiggjøre seg av internrevisjonen også på dette “nye” området og fordelen er at dette har en europeisk og internasjonal forankring i beste praksis.

Rapportering

Definerte eksterne gjennomganger

Toppledelsen

Integrert bekreftelse

2. forsvarslinje: fasiliterer og overvåker risikoer og kontroller

Integrert evaluering

3. forsvarslinje: uavhengige gjennomganger av risikoer og kontrollstyring

Evaluering

Ekstern evaluering av internrevisjons funksjonen Ekstern evaluering handler om å bidra til forbedring av internrevisjonsleveransen. Vi søker å identifisere områder som kan utvikles slik at enheten kan fortsette og i enda større grad skape merverdi i virksomheten. Den eksterne evalueringen fungerer også som en bekreftelse til ledelsen og styret på om internrevisjonen er organisert på en optimal måte og kvaliteten på internrevisjonens arbeid. I følge Standard 1312 skal en ekstern evaluering av intern revisjonsavdelingen utføres minst hvert femte år. Evalueringen utføres av en uavhengig kontrollør utenfor organisasjonen. Denne eksterne evaluering kan være i form av en full ekstern evaluering eller en egenevaluering med uavhengig ekstern validering. NIRF er internrevisjonsprofesjonens egen interesseorganisasjon med formål å styrke den faglige og etiske utviklingen innenfor internrevisjon. Vi tilbyr medlemmer et nøytralt alternativ og benytter en kombinasjon av faste ansatte og egne medlemmer med god erfaring fra internrevisjonsfunksjoner i utøvelsen av opp draget. Vi har gjennomført eksterne evalueringer av intern revisjoner fra statlig, privat og finansiell sektor. Ønsker du å vite mer om en ekstern evaluering eller er du interessert i å være med i vårt ressursteam, ta kontakt med Hilde Tanggaard, rådgiver i NIRF.

1. forsvarslinje: etablerer hensiktsmessig risikoog kontrollmiljø 1

Figur 3 Oppbygging av integrert bekreftelse SIRK nr. 1 2015

NYTT FRA NIRF

Generalsekretæren informerer AV ELLEN BRATAAS, GENERALSEKRTÆR

Det har vært en spennende vår med mye aktivitet i foreningen. Jeg vil benytte anledningen til å takke alle våre engasjerte tillitsvalgte som bidrar med kunnskap og tid, slik at tilbudet fra foreningen er under kontinuerlig utvikling og gir grunnlag for nye, spennende medlemsaktiviteter. Takk til alle tillitsvalgte som går av etter generalforsamlingen tirsdag 9. juni, tusen takk til alle som fortsetter en periode til og velkommen til alle dere som kommer inn som nye krefter.

VISSTE DU AT DENNE VÅREN…. – har nettverk Compliance innarbeidet alle høringssvarene til veileder for compliance funksjonen? Vi håper å kunne lansere veiledningen før sommeren. I tillegg lages en egen nettside for Compliance, der all informasjon, eksempler, maler og annet skal gjøres tilgjengelig og samles på et sted. – bisto nettverk Finans og ledernettverk Finans sekretariatet med høringskommentarer til forskrift om gjennom føring av Solvens II fra Finansdepartementet? – inviterte nettverk Risikostyring risikopraktikere inn til en ekspertgruppe-diskusjon rundt «helhetlig risikostyring»? Resultatene skal brukes i flere kommende aktiviteter utover høsten, noe du kan glede deg til. – klarte Konferansekomiteen å få colonialmajor Odd Reitan til å snakke om «Verdibasert ledelse» på konferansen i Trondheim? Flott gjort, siden Reitan som regel takker nei til å holde foredrag. – arrangerte NIRF korrupsjonsdebatt og filmpremiere på de tre korrupsjonsfilmene som Snöball film og manusfor fatter Nigel Iyer har laget? Filmene kan fritt benyttes i medlemmenes organisasjoner for å sette korrupsjon, etikk og varsling på agendaen. Pressen var til stede på arrangementet og begivenheten ble omtalt i Aftenposten, Kapital og Fedrelandsvennen. – inviterte BI og Programkomiteen til et halvdagsseminar der den nye veilederen om internrevisors rolle i integrert rapportering ble gjennomgått? Temaet ble eksemplifisert ved at KLP og KPMG fortalte hvordan de arbeidet med rapportering av samfunnsansvar og ikke-finansielle KPIer. – har nettverk Finans arrangert et halvdagsseminar der personopplysningslovens krav, tolkinger i bransjen, praktisk gjennomføring og revisjon sto på agendaen? – har Nominasjonskomiteen jobbet hardt med å sette opp en ny innstilling for tillitsvalgtapparatet til generalfor samlingen i juni?

– har sekretariatet i samarbeid med Merkur utviklet nye, responsive nettsider som skal lanseres over sommeren? Risikostyring og Compliance vil også få sine egne start sider. – presenterte NIRF veilederen «Audit and Risk Committees – News from EU Legislation and Best Practices» på Styreinstituttets temalunsj om Revisjonsutvalg? – arrangerte NIRF, DND, ISACA og ISF et felles medlems møte i Bergen? – avholdte ledernettverket for ansatte internrevisjons ledere en dagssamling i Bergen der korrupsjon og etikk var hovedtemaet for dagen? – har Finansdepartementets høringsnotat om etablering av internrevisjon i statlig sektor vært en prioritert sak for nettverk Statlig sektor, styret og sekretariatet? – gjennomførte IIA sin Global Body of Knowledge (CBOK) undersøkelse, verdens største undersøkelse om intern revisjon? Resultatet lanseres på den internasjonale konferansen i Vancouver i juli. – har IIA Sverige tatt initiativ til å dra i gang et «Nordic Light Audit Executive Seminar», der revisjonsledere fra Norden og Baltikum møter ledere fra det globale IIA for å diskutere og dele erfaringer på tvers av landegrensene? – lanserte foreningen fire nye kurs: rapportskriving, kurs i revisjon og oppfølging av offentlige anskaffelser, lean auditing og risk assurance mapping? – deltok Jørgen Bock (president) og Ingunn Valvatne (visepresident) som NIRFs utsendinger på IIAs Global Council, ref. Jørgens leder? – ble det gjennomført en undersøkelse om offentliggjøring av internrevisjonsrapporter i statlig sektor? – ble det jevnlig publisert artikler og meninger på bloggen og i sosiale medier?

SIRK nr. 1 2015

NYTT FRA NIRF

KONFERANSEDATOER VERDT Å MERKE SEG

NYE VEILEDNINGER OG GUIDANCE FRA IIA (ALLE KAN LASTES NED FRA NETTET)

CAE Nordic Light, 11. – 12. juni 2015, Stockholm, Sverige IIAs International Conference, 5. – 8. juli 2015, Vancouver, Canada ECIIA Conference, 19. – 22. september 2015, Paris, Frankrike NIRFs årskonferanse, 30 – 31. mai, Fornebu Oslo

GENERALFORSAMLING OG SOMMERFEST Tirsdag 9. juni klokken 16.00 – 17.00 avholdes foreningens generalforsamling i PWCs lokaler i Bjørvika. Generalforsamlingen avsluttes med en sommerfest med tapas og mingling på terrassen. Håper du har anledning til å bli med!

VI GRATULERER FØLGENDE MEDLEMMER MED NYE SERTIFISERINGER Diplomert Internrevisor - Einar Fotland, Utenriksdepartementet - Sigve Økland, Etterretningstjenesten, Forsvaret Certified Internal Auditor (CIA) - Karine Thorsell Hansen, World Food Programme Certified Government Auditing Professional (CGAP) - Ola B. Saxvik, Forsvarsdepartementet

SIRK nr. 1 2015

Enhancing Integrated Reporting; Internal Audit Value Proposition Utgitt av: IIA Frankrike, IIA Nederland, ENHANCING INTEGRATED IIA Norge, IIA Spania og IIA UK REPORTING Denne veiledningen gir kort informasjon til styre og toppledelse om hva integrert rapportering er og fordeler ved å benytte en slik rapporteringstilnærming. Men i hovedsak er veilederen ment å være til hjelp for internrevisorer og de som jobber med risikostyring ved å beskrive deres roller rundt de forskjellige elementene i integrert rapportering. INTERNAL AUDIT VALUE PROPOSITION

Fra nce Netherla nds Nor way Spa in UK a nd Irela nd

Non-Financial Reporting: Building trust with internal audit Utgitt av: ECIIA Denne brosjyren retter seg primært mot beslutningstagere i virksomheter og politikk og gir en redegjørelse for de oppgavene internrevisjon kan påta seg i forbindelse med de økte rapporteringskrav bedrifter kommer til å møte fremover bl.a. i forbindelse med integrert rapportering. Det legges vekt på at internrevisjon kan gi verdiskapende input til bedriften i oppfyllelse av disse nye kravene. Som Thijs Smit presidenten i IIA uttrykker det «internrevisjon har en viktig rolle å spille fordi de er i en enestående posisjon i å kunne formidle et «helikopter»-blikk over organisasjonen og bistå i utvikling av en fremtidsrettet strategi på dette område.» Non-Financial Reporting: Building trust with internal audit

Challenges and Expectations for the Future of Internal Audit in Banking and Credit Institutions Utgitt av: IIA Spania In consideration of the importance of the banking sector to the economy, and of internal audit’s relevance to the proper functioning of credit institutions, the Spanish Institute of Internal Auditors has identified the key challenges that must be faced, so that our profession can continue to be a key player in the good corporate governance of this sector.

NYTT FRA NIRF

Practice Guide: Creating an Internal Audit Competency Process for the Public Sector Utgitt av: The global IIA National, regional, and local level public sector internal audit activities work with government officials, boards, CEOs, and management on behalf of taxpayers, consumers of government services, and the general public. This practice guide complements the Internal Audit Capability Model by providing specific guidance on developing, implementing, and sustaining an IA-CP to ensure that the organization’s audit function has the collective knowledge, skills, and other competencies necessary to complete planned audits and to support the audit function as it evolves. The Internal Audit Competency Process attempts to match the capability level of the audit function with the internal auditor competencies needed to support it.

Governance and Risk Report 2014 Utgitt av: IIAUK Internal Audit’s Perspective on the Management of Risk; the report provides insight into a number of critical internal audit functions including organizational risk maturity and internal audit’s response to leading risks such as operations and corporate governance.

Intersecting Roles: Fostering Effective Working Relationships Among External Audit, Internal Audit, and the Audit Committee Utgitt av: IIA Audit Executive Center In the fall of 2014, the CAQ and The IIA co-sponsored three roundtable discussions in Houston, San Diego, and Kansas City. Audit committees sit at the hub of the internal and external auditors and are therefore positioned to maximize the roles of each party where there are intersecting responsibilities. Against this background, roundtable participants had a candid and robust conversation about their roles and responsibilities, their key challenges, and leading practices, all summarized in this report.

Standards for a number of years. This article aims to provide insight into the most important conclusions, points for improvement and recommendations from the assessment reports, highlighting the next steps IAFs can take in achieving quality improvement.

The Changing Role of IA: Keeping Watch for the Board Utgitt av: IIA Singapore The economic and regulatory landscape has evolved dramatically over the last decade. Risks have become more far-flung and pervasive, while control lapses are potentially more ambiguous and occur at higher levels. Boards and stakeholders need independent assurance more than ever before. But at the same time, internal audit, the provider of assurance, is undervalued by the same people who should rely on it. IA is seldom granted high standing within organisations. Instead, it is often undervalued and under-resourced. Faced with an increasingly complex business environment, IA needs to re-examine its role and evaluate its position in relation to other stakeholders. At the same time, boards and management need to up their game and be more informed in their use of IA. This report summarizes the discussions from a roundtable where top individuals from the regulatory, oversight, professional, business and academic fields were represented.

Audit Channel.tv I tråd med mottoet “Fremskritt gjennom deling av kunnskap” har IIA laget en videoside som publiserer videosnutter fra hele verden med relevant innhold for internrevisorer og andre. Såkalte “videokanaler” fokuserer på områder Følg oss for øvrig som misligheter, på Nyhetsbloggen, compliance, goverTwitter, LinkedIn, nance, risk, etikk og Facebook og mye mer. Gå til I nstagram www.auditchannel.tv og vurder innholdet selv.

Internal Audit Functions Assessed Utgitt av: IIA Nederland IIA NL has been performing external quality assessments of internal audit functions (IAFs) using the IIA’s

SIRK nr. 1 2015

Foto: Shutterstock.com

PÅ TAMPEN

Hjelp! Internrevisoren kommer…. Jeg fikk for en stund siden et godt råd som kan være nyttig i møte med en person som skal intervjues. Det går ut på å sjekke om vedkommende har vært bort i internrevisjon før. Hensikten med dette er å kunne rette opp eventuelle misforståelser om vår rolle. Basert på mine erfaringer blir man ofte møtt med et svar som ikke helt innfrir forventningene. En gang ble jeg faktisk fortalt at «jeg har jobbet i selskapet i 30 år og har aldri truffet en internrevisor før». Selv om de ikke har møtt noen fra internrevisjon tidligere, har de aller fleste en oppfatning om hva revisorer gjør og hva de er ute etter. I disse tilfellene må jeg dessverre altfor ofte forklare at regnskapsrevisjon er noe annet enn internrevisjon. «Vi i internrevisjon er opptatt av å styrke virksomhetens risikostyringsprosesser» er en vanlig innledning før jeg fortsetter med at «vi ønsker å bidra til at virksomheten lykkes». Ordene «langsiktighet» og «bærekraft» følger ofte raskt etter. De gangene jeg aner et snev av misunnelse i stemmen til intervjuobjektet når de sier «det høres ut som et meget spennende arbeid» (og de virker som de mener det), vet jeg at jeg har overgått meg selv. SIRK nr. 1 2015

Nylig reviderte jeg en avdeling der flere ansatte hadde tidligere jobbet i internasjonale selskaper. På spørsmålet mitt om de har møtt noen fra internrevisjon tidligere, fikk jeg denne gangen et bekreftende ja. Samtidig kunne jeg se fra ansiktsuttrykket til vedkommende at denne opplevelsen ikke bare hadde vært positiv. Videre fikk jeg høre at internrevisorer kan være for opptatt av å finne feil og er ute etter å «ta» noen. Det som vedkommende erfarte var at når sjefen for avdelingen fikk varsel om at internrevisjon skulle komme, ble avdelingen beordret til å finne noe å være ekstremt opptatt av og helst langt borte fra kontoret. Da revisoren kom fikk han høre at en etter en av de ansatte var «dessverre på kundebesøk». Sjefen selv ble imidlertid igjen på k ontoret for å møte «fienden». Hvorvidt de ansatte skulle bli borte fra kontoret for å ikke avsløre noe som internrevisjonen ikke skulle kjenne til eller om sjefen bare var bekymret for at arbeidet på avdelingen ville bli forstyrret og produktiviteten dale fremkom ikke i historien. Jeg velger imidlertid å tro på det siste. Hva skal vi si til noen som har vært gjennom en slik opplevelse? Jeg var fristet

til å si at «slik er det ikke her. Vi arbeider ikke slik. Vi er den snille typen revisor».» Men det låter lite profesjonelt. Vi må også være objektive, og ha integritet til å ta tak i vanskelig saker. Selv om jeg håper at vi vil fremstå som snille og greie, må vi også være bestemte hvis vi for eksempel ser alvorlige brister i risikostyringen. Kollegaen min reddet situasjonen ved å forklare hvordan vi hadde reagert hvis vi hadde oppdaget en «feil». «Vi vil gjerne forstå hvorfor «feilen» er oppstått. Vi ser på den som en indikator på at systemet ikke fungerer. Det kan igjen medføre at kontrollrutinen bør endres eller opplæringen forbedres eller…» Jeg kunne se at intervjupersonen reflekterte over dette og ville så gjerne tro at vi var annerledes enn de internrevisorer han hadde møtt tidligere. Jeg kan ikke hevde at denne åpningssamtalen hadde gitt oss en ny fan av internrevisjon. Vedkommende ga heller ikke uttrykk for at internrevisjon må være «verdens kuleste jobb.» Men på den andre siden velger jeg å tro at et frø var sådd. Resten er opp til oss - vi må klare å leve opp til de nye forventningene vi har skapt.

Returadresse NIRF Postboks 1417 Vika 0115 Oslo

www.pwc.no www.pwc.no www.pwc.no

Styring Styring og og kontroll kontroll skaper skaper verdier verdier

Kontaktpersoner Kontaktpersoner Eli Moe-Helgesen Kontaktpersoner Eli Moe-Helgesen Tlf: 952 60 113 Eli Tlf: Moe-Helgesen 952 60 113 eli.moe-helgesen@no.pwc.com Tlf: 952 60 113 eli.moe-helgesen@no.pwc.com eli.moe-helgesen@no.pwc.com Petra Liset Petra Liset Tlf: 952 60 152 Petra Tlf: 952Liset 60 152 petra.liset@no.pwc.com Tlf: 952 60 152 petra.liset@no.pwc.com petra.liset@no.pwc.com Jonas Gaudernack Jonas Gaudernack Tlf: 952Gaudernack 60 769 Jonas Tlf: 952 60 769 jonas.gaudernack@no.pwc.com Tlf: 952 60 769 jonas.gaudernack@no.pwc.com jonas.gaudernack@no.pwc.com

Bedre styring og kontroll er fellesnevnere for våre bidrag Bedre styring og kontroll er fellesnevnere for våre bidrag til økt verdiskaping. Det bygger og sikrer tilliten til din Bedre styring og kontroll er fellesnevnere for våre til økt verdiskaping. Det bygger og sikrer tilliten tilbidrag din virksomhet, det legger grunnlaget for at dere satser riktig til økt verdiskaping. Detgrunnlaget bygger og sikrer tilliten til din virksomhet, det legger for at dere satser riktig og det reduserer risikoen for negative hendelser. virksomhet, det legger grunnlaget for hendelser. at dere satser riktig og det reduserer risikoen for negative og det reduserer risikoen for negative hendelser. Store bedrifter har gjerne komplekse utfordringer og Store bedrifter har gjerne komplekse utfordringer og muligheter, hvor løsningene krever tverrfaglig samarbeid. Store bedrifter har gjerne komplekse utfordringer og muligheter, hvor løsningene krever tverrfaglig samarbeid. muligheter, hvor løsningene krever tverrfaglig samarbeid. La oss snakkes om hva våre revisorer, rådgivere, La oss snakkes om hva våre revisorer, rådgivere, advokater og regnskapsspesialister kan gjøre La oss snakkes om hva våre revisorer, rådgivere, advokater og regnskapsspesialister kan gjøre sammen med deg for å forbedre din bedrift! advokater og regnskapsspesialister kan gjøre sammen med deg for å forbedre din bedrift! sammen med deg for å forbedre din bedrift!

© 2015 PwC. Med enerett. I denne sammenheng refererer “PwC” seg til PricewaterhouseCoopers AS, Advokatfirmaet PricewaterhouseCoopers AS, © 2015 PwC. Med enerett.Accounting I denne sammenheng refererer “PwC” seg til PricewaterhouseCoopers AS, AdvokatfirmaetServices PricewaterhouseCoopers AS, juridiske enheter PricewaterhouseCoopers AS, PricewaterhouseCoopers Skatterådgivere AS og PricewaterhouseCoopers AS som alle er separate PricewaterhouseCoopers AS, PricewaterhouseCoopers Skatterådgivere AS og PricewaterhouseCoopers AS som alle er separate og uavhengige medlemsfirmaer i PricewaterhouseCoopers International © 2015 PwC. Med enerett.Accounting I denne sammenheng refererer “PwC” seg til Limited. PricewaterhouseCoopers AS, AdvokatfirmaetServices PricewaterhouseCoopers AS, juridiske enheter og uavhengige medlemsfirmaer i PricewaterhouseCoopers International Limited. Foto: Annette Larsen PricewaterhouseCoopers Accounting AS, PricewaterhouseCoopers Skatterådgivere AS og PricewaterhouseCoopers Services AS som alle er separate juridiske enheter Foto: Annette Larsen og uavhengige medlemsfirmaer i PricewaterhouseCoopers International Limited. Foto: Annette Larsen