Presentation PwC

www.pwc.com/se
Internkontroll och
riskhantering
- Ledning och styrelse har ansvaret!
Styrelsearbete i kommunala bolag
2015
Vad innebär styrning och intern kontroll?
- Exempel på när det brister…
PwC
Exempel på regelverk/koder
Sverige
• Aktiebolagslagen
• Årsredovisningslagen
• Lag (1997:239) om arbetslöshetskassor
USA
Asien
• Sarbanes-Oxley Act
(SOX)
• Japaneese SOX
• Svensk kod för bolagsstyrning
• FI:s föreskrifter och råd
• Principer för styrning av kommunoch landstingsägda bolag
• Kooperativ verksamhetsstyrning (ex HSB)
• Kod för insamlingssektorn i Sverige (remiss)
• Intern kontroll och styrning i staten (Ds)
• Statlig ägarpolicy
Europa
• Bolagsstyrningskoder i
respektive land
• 4:e / 7:e bolagsdirektiv
och 8:e direktivet (EU)
• Solvency och Basel
PwC
3
Definition av intern kontroll enligt COSO
Intern kontroll är en process som påverkas av styrelsen,
ledningen och annan personal, och som utformats för att ge
en rimlig försäkran om att organisationens mål uppnås
inom följande kategorier:
• Tillförlitlig extern rapportering
• Efterlevnad av tillämpliga lagar och förordningar
• Ändamålsenlig och effektiv verksamhet
PwC
4
Internkontrollplan
Enligt kommunfullmäktiges beslut ska nämnder och bolagsstyrelser utarbeta en
internkontrollplan i samband med att verksamhetsplanen upprättas. Samtliga
bolag ska även genomföra en risk- och sårbarhetsanalys (RSA), som ska ligga
till grund för det fortsatta säkerhetsarbetet. Utgångspunkten för
internkontrollplanen är att:
• Verksamheten bedrivs i enlighet med ägarens och den egna styrelsens
intentioner.
•
Lagar och gällande regler, beslut etc. följs.
•
Verksamheten bedrivs effektivt och ändamålsenligt.
• Redovisningen är rättvisande samt att uppföljningen av verksamhet och
ekonomi är tillförlitlig.
•
Säkerheten i administrativa rutiner är tillfredsställande.
•
Koncernens tillgångar skyddas.
PwC
5
Attitydundersökning om styrelsearbetet
- Vad fungerar bra och vilka är de främsta förbättringsområdena?
- Reflektioner från intervjuer med styrelsemedlemmar
Det går aldrig att bedöma hur mycket tid ett
styrelseuppdrag kommer att ta. Det går
således inte att planera in 100 procent av sin
tid, någonstans måste du ha ”slack” som ger
dig beredskap.
Anders Ullberg
Jag tycker inte att svenska arvoden når upp
till rätt nivå idag. De är för låga och det märks
särskilt när vi ska rekrytera ledamöter
utanför Norden.
Petra Hedengran
Det får inte finnas ett
”informationsglapp” mellan styrelse
och ledning i det som gäller strategi
och inriktning.
Peter Nilsson
PwC
För den som inte längre är operativ - utan bara arbetar
med styrelseuppdrag - är det en utmaning att hålla sig
uppdaterad kring nya regelverk och ny lagstiftning,
eftersom du är ganska ensam i ditt arbete.
Kristina Schauman
Riskerna diskuteras mer idag än för tio år
sedan. Det gäller att vara så förberedd som det
går, ha fungerande rutiner och planerade
åtgärder på plats.
Caroline Sundewall
En av riskerna i en styrelse är att för mycket tid
läggs på det som varit och för lite tid på det som
driver utvecklingen framåt.
Anders Ullberg
6
Vilka utmaningar är viktigast att hantera?
Prioritera med hjälp av riskanalys
Uppdrag, Vision, Mål
” En framtida händelse som kan negativt påverka verksamhetens
måluppfyllelse”
Riskkategorier:
•
Strategiska risker
•
Efterlevnadsrisker
•
Operativa risker
•
Finansiella risker
Åtgärder som möter risken bedöms som effektiva
Åtgärder som möter risken existerar men med förbättringspotential
Åtgärder som möter risken existerar inte eller bedöms som
ineffektiva
PwC
7
Vilka utmaningar är viktigast att hantera? Prioritera
med hjälp av riskanalys
5.
Funktionalitetsstörningar i
verksamhetskritiska system
8. Arbetsplatsolyckor
Hög
2. Oegentligheter
1. HSE-risker
6. Förlora
”marknadsand
elar”
7. Legionellautbrott
3. Ej ”rätt”
kompetens vid
givet tillfälle
Medel
Konsekvens
4. Fel i
extern/intern
rapportering
Låg
PwC
Osannolikt
Sannolikhet
Möjligt
Sannolikt
Stödprocesser
Huvudprocesser
Ledningsprocesser
Hantera risker som hotar verksamhetens mål i
väsentliga processer - exempel
PwC
Affärsplanering, budget
Hyra ut
fastigheter
Förvärva
fastigheter
Förvalta fastigheter
Avyttrafastigheter
Bygga fastigheter
Personal
Inköp
IT
Ekonomi
9
Riskanalys
Ta fram en internkontrollplan
Processkarta
Personalprocess
Internkontrollplan/Kontrollmatris
-Personal
#NAME?
Internal Controls Matrix
Process:
Index:
Operational HR
Risk
Likelyhood
Impact
Control objective
Control point name
Control
description/name/title
Fraud
Task / activity
Reporting
Sub process
Compliance
No
Date:
Operational
Process owner:
Control description BU/SU
Examples & information
added
Impor- Implemtance entation
level
Control owner
BU- CFS
line
mana
ger
IT
Frequency
Other
Recruite personnel
Not following the regulation when
recruiting. Noncompliance with
regulations may result in fines,
penalties, lawsuits or liabilities.
Employee relation issues may
not be appropriately handled.
Personnel file integrity and
confidentiality may not be
adequately protected. The Offer/
and Employment contract are
not compliant with regulation
including Attendo policies.
To ensure that recruited
person match defined need
Incorrect information in the
payroll master file could result in
incorrect payments or
withholdings of earned wages.
The payment is correct.
Continuous work force
planning should annually be
performed.
HR2. Approval of Posting, Review of the posting and
Offer and Employment
the candidate. Approval
contract
Offer and of Employment
contract. Check that the
recruitment add is
compliant with regulations
including Fortum policies
and laws & legislation
HR person involved in
interviews. The Offer and
Employment Contract is
approved by HR
representative and sent
back to manager.
HR3. Candidate review
process
Candidate review process.
Perform reference checks
and background
investigations on new
employees to ensure not
making the wrong choice
according to defined need
More than one person
perform the interview.
Testing
All information that has an
effect on payments are
approved.
Follow procedures i.e.
collective agreements,
actual time reported,
transactions, overtime,
extras etc.
X
The recruited person does not
match the defined need.
Individuals may be employed
who do not meet Attendo's hiring
or performance criteria.
Individuals may be hired who do
not support Attendo's high
standards of business ethics.
HR1. Work force planning Work force planning
X
Ensure correct
understanding of need for
competence and optimal
staffing
Ensure that regulations are
not violated
X
Incorrect understanding of the
need for competence / resource.
X
HR
X
PwC
X
X
Develop and retain
personnel
HR4. Approved
information in payroll
master file
X
HR
10
Sammanfattningsvis
Värdeskapande
Prioritera arbete
Inkludera och förankra
Verksamhetsplan och
riskanalys
PwC
1
Tydlig koppling mellan
förmågan att hantera
utmaningar och värdeskapande
2
Använd riskkartan för att
konkretisera utmaningar och
prioritera fortsatt arbete
3
Arbeta i workshopform, det
skapar samsyn och
genomförandekraft
4
Använd verktyget riskanalys och
internkontrollplan i samband
med verksamhetsplanering
11