SIRK 2 - 2012
Transcription
SIRK 2 - 2012
SIRK Styring – Internrevisjon Risiko – Kontroll Nummer 2, vinter 2012, 20. årgang Fokus på compliance Manglende hodelykt, vernebriller og hørselsvern for å beskytte mot støy fra passerende fly. , elm j h nde er og e l g ll n Ma rnebri sbelte. ve erhet sikk Gaver er ikke tilbørlig sikret. Manglende airbag. Manglende vernesko med piggsåler. Kjære julenissen Vi har identifisert en rekke brudd og mangler etter vår hms-revisjon. Vennligst korriger disse snarest. Etikkundersøkelse Prosjektrevisjon Informasjonssikkerhet Samarbeid med tredjeparter Risiko – fra budskap til erkjennelse Julen nærmer seg med stormskritt, og nisser, juletrær og pepperkakehus er i ferd med å innta både kontorlandskap og hjem. Vi må imidlertid til en annen del av bibelen for å finne tidenes første registrerte compliance-brudd; nemlig scenen der Adam tar en bit av det forbudte eplet. Avisforskrifter de siste tiår vitner om at det ikke var det siste… REDAKTØRENS Internrevisjonsstandardene definerer compliance som ”adherence to policies, plans, procedures, laws, regulations, contracts and other requirements”. Ordet compliance kommer fra det latinske complere som betyr å fylle opp. Hva rollen fylles med og ikke minst hvem som fyller rollen som compliance officer varierer fra virksomhet til virksomhet. Compliance kan begrense seg til etterlevelse av et utvalg lover og forskrifter, via fokus på utvalgte risikoområder som korrupsjon til å dekke etterlevelse av interne og eksterne lover og regler for alle virksomhetens prosesser. SPALTE For noen bransjer krever lovgiver at selskapene har en compliance-funksjon, mens man i andre bransjer står fritt til å velge. I dette nummeret ser vi nærmere på bakgrunnen for utviklingstrekk og trender innenfor compliance, og vi møter compliance officers fra en rekke ulike bransjer. Intervjuene viser bredden i både bakgrunn og fokusområder. WorldCom sett en gryende tendens til å straffeforfølge virksomheter og individer for handlinger som vurderes som uetiske og ulovlige først i etterpåklokskapens lys. Compliance-brudd kan koste virksomhetene dyrt, enten i form av bøter, tap av omdømme eller til og med fengselsstraff. I tillegg til god risikohåndtering og internkontroll, trekkes kultur og en felles etisk plattform frem av intervjuobjektene som elementer som bidrar til å redusere risiko for compliance-brudd. Artikkelen om etikkundersøkelser gir oss verdifull innsikt i hvordan Oslo Børs i samarbeid med Ernst & Young har valgt å måle kjennskap til og etterlevelse av bedriftens etiske retningslinjer, og ansattes oppfatning av ulike etiske dilemmaer som de kan møte i sin arbeidshverdag. Et fellestrekk som er vel verdt å merke seg fra intervjuene er at compliance-miljøet beskriver samarbeidet med internrevisjonen som godt. I tillegg nevner flere at de savner et forum for diskusjon og mulighet til å dele erfaringer med andre compliance-officers. Dette er gode nyheter for et fremtidig nettverk for compliance, som foreningen arbeider med i disse dager. Redaksjonskomiteen ønsker å takke alle bidragsytere til dette nummeret, og samtidig oppfordre leserne til å ta kontakt dersom dere har innspill til temaer dere ønsker å lese eller skrive om. På vegne av redaksjonskomiteen ønsker jeg dere alle en fredelig adventstid og et riktig god nytt år. Virksomheter står i dag overfor et sett av stadig mer komplekse lover og regler. I tillegg har vi siden Enron og REDAKSJONS KOMITEEN Ansvarlig for dette nummeret av SIRK Mari Vonen PricewaterhouseCoopers AS Postboks 748, Sentrum, 0106 Oslo, M: 95 26 01 60 [email protected] Reidar Døli Oslo Børs Tollbugata 2 0152 Oslo [email protected] Esa Leporanta Forsvarsdepartementet Glacisgata 1 0151 Oslo [email protected] Randi Almås Norges Bank Postboks 1179 Sentrum 0107 Oslo M: 95 76 02 88 [email protected] Se mer info på www.iia.no 2 SIRK nr 2. 2012 Kristoffer Igdun C. J. Hambros plass 2 0164 Oslo [email protected] Janne Britt Saltkjel Styrets representant Deloitte AS Postboks 347 Skøyen 0213 Oslo M: 99 12 01 95 [email protected] Innhold 2 4 6 8 12 16 18 20 22 24 26 29 31 33 34 37 42 46 48 50 51 Redaktørens spalte Styrets leder har ordet Fokus på Compliance Compliance starts at the top Trender innenfor complianceområdet Compliance officer for antikorrupsjon i Multiconsult Intervju med Compliance officer Thales Intervju med Carine Smith Ihenacho Intervju med Compliance funksjonen i DNB Markets Intervju med Frede Aas Rognlien Opprettelse av et Compliance Forum Informasjonssikkerhet underbygger god intern kontroll – og motsatt! Samarbeid med tredjeparter – en helhetlig og praktisk tilnærming der risikoen er størst Etikkundersøkelse Øvrig stoff Nettverk risikostyring Referat fra halvdagsseminar i regi av Nettverk risikostyring Prosjektrevisjon Internrevisjon av utkontrakterte sentrale prosesser Kvinner i økonomisk kriminalitet Kritikk av Riksrevisjonen – riktig eller galt? Bokomtale: Huset Rothschild Bokomtale: Omgitt av løgnere Foreningsnytt 52 53 54 58 63 Noen inntrykk fra European Conference i Amsterdam Noen inntrykk fra The IIA 2012 International Conference i Boston, USA Tillitsvalgsamlingen 2012 Nyheter fra sekretariatet, IIA og andre samarbeidspartnere På tampen NORGES INTERNE REVISORERS FORENING President Martin W. Stevens Gjensidige Forsikring Postboks 276 1326 Lysaker M: 95 75 01 92 [email protected] Programkomitéen Karl Ludvig Mauland BDO AS Postboks 1704 Vika 0121 OSLO M: 902 40 488 [email protected] Informasjons- og promoteringskomitéen Alf Martin Hanssen Statsbygg Postboks 8106 Dep 0032 Oslo J: 22 95 40 10 M: 92 21 44 66 [email protected] Redaksjonskomitéen Mari Vonen PricewaterhouseCoopers AS Postboks 748 Sentrum 0106 OSLO M: 952 60 160 [email protected] Konferansekomitéen Carl Gunnar Lunde SG Finans AS Postboks 105 1325 Lysaker M: 416 09 245 [email protected] Nominasjonskomitéen Petra Liset PricewaterhouseCoopers AS Postboks 748 Sentrum 0106 OSLO M: 952 60 152 [email protected] Foreningsekretariat Ellen M. Brataas Generalsekretær M: 97 62 05 65 [email protected] Svein Stabekk Foreningssekretær M: 93 23 79 12 [email protected] Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika, 0115 Oslo [email protected] Besøksadresse: Munkedamsveien 3 B, 3. etg. 0161 Oslo SIRK: Publikasjon fra Norges Interne Revisorers Forening, NIRF Antall utgivelser pr. år: 2 Opplag: 1.300 Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: Juni 2013 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.m. Årsabonnement: Kr. 150 Annonsepriser: Kr. 5.000 for en helside Kr. 3.000 for en halvside (mva. tilkommer) Grafisk produksjon: Dalby Grafisk Forsidebilde: iStockphoto Styrets leder HAR ORDET Lederen har ordet Jeg hadde gleden av å delta på seminaret Risiko – fra budskap til erkjennelse som ble arrangert av nettverk risikostyring. Det var en fornøyelse å skue utover den fullsatte salen. Det var tydelig at dette var et tema som fenget både de som har tittel som inneholder ordet risikostyring og andre av oss som bærer internrevisjonstittel, men er levende opptatt av kvaliteten i virksomhetens risikostyring. Dette er et synlig bevis på vårt formål om å være en forening som er opptatt av alle aspekter ved risiko- og virksomhetsstyring. For meg ville det virket dumt om vi som bor i et relativt lite land om vi som forening ikke skulle ta i mot utfordringen om å gi faglig støtte til alle de som arbeider innenfor det utvidede fagfeltet risiko- og virksomhetsstyring. I tråd med denne tankegangen opprettet NIRF i fjor nettverk risikostyring og den har til de grader nettopp vist sin eksistensberettigelse. Men i tillegg til dette har vi også hatt et oppstartsmøte med medlemmer som arbeider innenfor området compliance eller som av andre grunner er opptatt av videreutvikling av dette fagområdet. Oppstartsmøtet resulterte i nedsettelse av en arbeidsgruppe som skal fremme forslag til styret om videreutvikling av nettopp dette fagområdet. Ikke for å foregripe begivenhetene, men det er mitt håp at Generalforsamling i 2013 kan fremme et forslag om å godkjenne opprettelse av et nettverk compliance innenfor NIRF. NIRF går foran i utviklingen, men vi ser etter hvert at andre deler av den internasjonale virksomheten til IIA også begynner å diskutere i samme baner. Det er klart at på sikt må en forening som appellerer også til andre viktige kontrollinstanser som risikostyring og compliance, ta inn over seg konsekvensene dette kan ha for foreningens struktur og organisering. Dette er også noe vi allerede nå begynner å diskutere på styrenivå. På den ene siden kjenner man en viss uro for å endre den gjeldende tilstanden. Man vet hva man har og ikke hva man får. 4 SIRK nr 2. 2012 På den andre siden mener jeg at en forening som insisterer på å beholde og bevare et snevert interessefelt risikerer å gå ut på dato på samme måten som middelalderens lauger. Selvfølgelig skal man passe på at man ikke på veien ødelegger de gode verdier som finnes i foreningen i dag, men dette er noe jeg personlig ikke er redd for skal skje når det er kloke internrevisjonshoder som skal styre og overvåke utviklingen! For meg er utviklingen et steg videre på veien der internrevisorer trer frem fra skyggene og synliggjør det som opptar oss, nemlig god risiko- og virksomhetsstyring i de virksomhetene vi jobber i. Derfor gledet det meg også da jeg kunne konstatere at både NIRF sin webside og websiden til Styreinstituttet annonserer en felles konferanse i Brussel om hvordan styremedlemmer kan få nytte av internrevisjon. På samme konferanse skal det også presenteres en uttalelse om arbeidet våre respektive europeiske foreninger ECIIA og EcoDa har gjennomført om nettopp dette temaet. Det neste må være at dette dokumentet skal være mer kjent i Norge og jeg kan love at vi allerede nå arbeider med planer for dette. Som President for en høyst levende og fremtidsrettet forening er det min glede å ønske dere alle en god jul og et godt nyttår! Hvordan sikre måloppnåelse? Deloitte Internrevisjon Helhetlig forretningsforståelse og proaktiv risikostyring er avgjørende for virksomheters måloppnåelse. Deloitte kobler strategisk innsikt, bransjeerfaring og spisskompetanse innen risikostyring og internkontroll. Vi vektlegger et fremoverskuende perspektiv og nært samarbeid med våre klienter. Ta gjerne kontakt med våre eksperter for å finne ut hva vi kan gjøre for din bedrift. Kontakt: Eivind Skaug partner +47 915 18 997 [email protected] Karenslyst allé 20 0213 Oslo Tlf: 23 27 90 00 www.deloitte.no © 2012 Deloitte AS SIRK nr 2. 2012 5 Fokus på Compliance Compliance starts at the top ved Izabella Salicath, KPMG Hvordan ble den såkalte compliance officer så etterspurt og så viktig på så få år? Det er ikke lenge siden begrepet ”compliance officer” dukket opp i norske stillingsannonser, og fortsatt er det få i samfunnet som vet hva en compliance officer egentlig er. Ikke minst sliter mange organisasjoner selv med å definere oppgavene til en compliance officer, og hva en slik funksjon skal ha ansvaret for. Behovet for en compliancefunksjon er der, spørsmålet er hvordan en compliancefunksjon skal finne sin rolle i en organisasjon. Finnes det en fasit på hvordan en compliance officer bør arbeide, rapportere, og hvordan samspillet bør være med øvrige funksjoner i organisasjonen? Historisk tilbakeblikk – FCPA og SOX I USA har compliancefunksjonen eksistert lenge, gjerne i svært regulerte industriforetak, for eksempel farmasøytisk industri og innen finans. For andre bransjer kom funksjonen seilende inn som en direkte konsekvens av 2000-tallets regnskapsskandaler, med Enron som muligens det største skrekkeksempelet. For å forhindre lignende fadeser innførte amerikanske myndigheter Sarbanes–Oxley Act av 2002 (SOX) og behovet for compliancefolk ble prekært. Som et resultat av SOX, måtte toppledelsen personlig bekrefte nøyaktigheten av finansiell rapportering. Scott Cohen, redaktør og utgiver av Compliance Week, daterer starten av utbredelsen av compliancefunksjonen til år 2002 da en tale ble holdt av SEC (U.S. Securities and Exchange Commission) kommisjonær Cynthia Glassman. Der oppfordret hun bedrifter til å utpeke en "offiser for samfunnsansvar." Ansvarsområdene til funksjonen skulle inkludere etterlevelse, design og implementering av interne kontroller, retningslinjer og prosedyrer for å sikre etterlevelse av lover og regler. Fra hennes tale kan man lese: ”While the CEO cannot delegate his or her ultimate responsibility, to fully carry out the mandate of Sarbanes-Oxley and the Commission's rules, a company should have an officer with ownership of corporate compliance and ethics issues, and of what Title III of SarbanesOxley broadly refers to as "Corporate Responsibility." Sarbanes–Oxley alene er ikke ansvarlig for amerikansk fokus på compliance. Som nevnt har andre strenge amerikanske lovreguleringer også vært drivkreftene bak compliancefunksjonene. Som et eksempel kan nevnes Foreign Corrupt Practices Act av 1977 (FCPA). Som et resultat av US Securities and Exchange Commission undersøkelser på midten av 1970tallet, innrømmet over 400 amerikanske selskaper å ha utført tvilsomme eller ulovlige utbetalinger i overkant av $ 300 millioner til utenlandske offentlige tjenestemenn, politikere og politiske partier. Ett eksempel var bestikkelser foretatt av Lockheed-ansatte, der tjenestemenn fra luftfartsselskapet Lockheed betalte utenlandske tjenestemenn for å favorisere selskapets produkter. Et annet var Bananagate-skandalen der Chiquita Brands hadde bestukket presidenten i Honduras for å innføre lavere skatter. Kongressen vedtok FCPA for å hindre videre bestikkelser av utenlandske tjenestemenn og for å gjenopprette tilliten til integriteten til amerikanske virksomheter og måten disse virksomhetene drev business på. 6 SIRK nr 2. 2012 Kort fortalt er FCPA et regelverk som sammen med SOXregimet er svært utfordrende å etterleve og som gjelder for alle selskaper som er børsnotert i USA, samt deres datterselskaper. Derfor er dette også blitt relevant for norske organisasjoner. Mange selskaper i Norge er omfattet av regelverkene og har håndtert disse i mange år, for eksempel legemiddelindustri. Nå venter man også på implementeringen av UK Bribary Act, som i stor grad er like utfordrende å etterleve som FCPA, om ikke mer. Med blikket mot Europa – først bank så forsikring Baselkommittén (The Basel Committe on Banking Supervision) for banktillsyn setter standarder, retningslinjerer og anbefalinger som er normgivende for de fleste tilsynsmyndigheter. Komitéen utgjør et globalt nettverk for tilsynsmyndigheter og kvalitetssikrer det lokale tilsynssamarbeidet gjenom regionale kommitéer. 29. april 2005 publiserte komitèen en veiledning for compliancefunksjonen i banker. Ved hjelp av et sett med prinsipper, illustrerer veiledningen hvordan etterlevelse av lover, regler og standarder som styrer bankvirksomhet bidrar til å opprettholde bankenes tillit hos aksjonærer, kunder, ansatte og markedet generelt. Dokumentet inkorporerer god praksis for å kunne bistå banker i designet og implementeringen av en effektiv compliancefunksjon. Samtidig understreket komitéen at rammeverket er veiledende og ikke begrenser den enkelte bank til å selv definere den organisatoriske eller operasjonelle tilnærming. Kravet er dog at enhver bank må være forberedt på å vise at metoden som ble valgt er effektiv i arbeidet med bankens særskilte utfordringer. Professor Arnold Schilder, medlem av komitèen forklarte bakgrunnen for et veiledende dokument: “When the Basel Committee issued a first draft of this paper in October 2003, it made a conscious choice to issue a principles-based rather than a prescriptive document. Thanks to the many constructive comments received, we have further refined and clarified this approach, in particular the operational implications for smaller banks that cannot – and do not need to – put in place the same structure and processes necessary in larger or more complex institutions. The Committee expects continuing evolution in compliance risk management and will be monitoring future trends and developments with great interest.” Fokus på Compliance På forsikringsområdet har Solvency II Direktivet som beskriver kommende regler for forsikringsbransjen, presisert rollen til compliancefunksjonen ytterliggere. Målet med det nye regelverket er økt beskyttelse for forsikringstakerne, samt å bedre stabiliteten i finansmarkedene. Kravene til styring og kontroll vil også øke med det nye regelverket, herunder kravene til å formalisere og dokumentere styrings- og kontrollprosessene. Direktivets artikkel 46 hjemler kravene til en compliancefunksjon: Privat sektor Eier Ekstern revisjon Revisjonsutvalget Styret Konsernledelsen Virksomhetsområde Støttefunksjoner Intern revisjon STABER RISIKOSTYRING INTERNKONTROLL Article 46 - Internal control COMPLIANCE 1. Insurance and reinsurance undertakings shall have in place an effective internal control system. That system shall at least include administrative and accounting procedures, an internal control framework, appropriate reporting arrangements at all levels of the undertaking and a compliance function. 2. The compliance function shall include advising the administrative, management or supervisory body on compliance with the laws, regulations and administrative provisions adopted pursuant to this Directive. It shall also include an assessment of the possible impact of any changes in the legal environment on the operations of the undertaking concerned and the identification and assessment of compliance risk. Compliance i norsk regelverk og funksjonens plass i forhold til risikohåndtering, overvåkning og internrevisjon Bortsett fra særskilt lovhjemmel for compliance i verdipapirfondforskriften, er risikostyringsforskriften av 22. september 2008 det nærmeste vi kommer en generell hjemmel for compliancefunksjon innen finans i Norge. Merk at begrepet ”compliance” ikke nevnes i forskriften. Formålet med forskriften er å bedre foretakenes risikostyring og internkontroll gjennom å utdype styrets og ledelsens ansvar utover det som følger av selskapsrettslige regler og regler i særlovgivningen. Akkurat som Baselkomitèens tilnærming, er forskriften generelt utformet og presiserer at foretakenes risikostyring og internkontroll skal tilpasses virksomhetens art, omfang og kompleksitet, jf. § 2. Det er lett å se at vi beveger oss mot koblingen mellom risikostyring og internkontroll og compliancefunksjonen. Vi må heller ikke glemme internrevisjonen. For mange er det en utfordring å finne compliancefunksjonens plass i et virvar av ulike funksjoner og finne en hensiktsmessig organisering for å sikre en effektiv arbeidsfordeling. Tabellen som viser de tre forsvarslinjene er flittig brukt. Kort oppsummert skal risikoene selskapet møter håndteres av de operative ansatte. Støttefunksjonene, deriblant compliance, skal sørge for overvåkning/monitorering. I tillegg kommer internrevisjon på siden for å sørge for en uavhengig bekreftelse til styret. Det er viktig å huske på at disse prinsippene er på god vei inn i statlig virksomhet, særlig gjennom implementeringen av rammeverk for risikostyring. På den måten kan man argumentere for at ”compliance” også finnes i statlig virksomhet. 1 Førstelinje forsvaret Daglig risikohåndtering 2 Andrelinje forsvaret Risiko overvåking 3 Tredjelinje forsvaret Uavhengig bekreftelse Stat Stortinget Riksrevisjonen Regjeringen v/dep Ledelsen i virksomheten Virksomhetsområder Støttefunksjoner Intern revisjon STABER RISIKOSTYRING INTERNKONTROLL 1 Førstelinje forsvaret Daglig risikohåndtering 2 Andrelinje forsvaret Risiko overvåking 3 Tredjelinje forsvaret Uavhengig bekreftelse Selv om det er fint med billedlige oversikter, viser erfaringene at mange fortsatt har problemer med å finne en god arbeidsdeling mellom de ulike forsvarslinjene. Et eksempel til illustrasjon kan være Finanstilsynets kommentarer i forbindelse med tilsyn av et verdipapirforetak: «Finanstilsynet vil presisere at det er Foretakets Compliance som har ansvaret for kontroll av etterlevelse. Dette er imidlertid ikke til hinder for at også andre i Foretaket eller Konsernet selv har et ansvar for å sørge for etterlevelse av lover og regler. Konsernets internrevisjon kan bistå Compliance, men internrevisjonens hovedoppgave er bl.a. å vurdere om Foretakets compliancefunksjon er tilstrekkelig og effektiv, jf. vpf. § 9-10, og slik at ansvaret for kontroll av etterlevelse ligger hos Compliance og ikke internrevisjon» Oppsummering - ulike bransjer, ulik fokus, ulik organisering Det finnes compliancefunksjoner i ulike bransjer i Norge og disse funksjonene har ulik fokus og ulik måte å arbeide på. Noen arbeider med korrupsjon, samfunnsansvar og etikk, andre med konkurranserett. Fokusområdene deres skyldes utvilsomt en mer eller mindre bevisst risikoevaluering av hva de største risikoene for deres bransje er. Det som imidlertid er det aller viktigste for en compliance officer er: ”Compliance starts at the top. It will be most effective in a corporate culture that emphasises standards of honesty and integrity and in which the board of directors and senior management lead by example.” (Basel Committee on Banking Supervision). SIRK nr 2. 2012 7 Fokus på Compliance Trender innefor complianceområdet Av Eli Moe-Helgesen, PwC PwC har de siste to årene gjennomført en studie sammen med tidsskriftet Compliance Week rettet mot ledere av compliance-funksjoner, primært i USA. I årets undersøkelse deltok compliance-ledere fra 119 selskap. Undersøkelsen har til hensikt å kartlegge trender innenfor compliance-området, og retter fokus mot temaer som innhold i compliance-funksjonen, hvordan funksjonen legger mål og evaluerer måloppnåelse, bruk av teknologi og organisering. Selv om undersøkelsen retter seg mot amerikanske foretak, ser vi likevel trekk og endringer som er av interesse for norsk næringsliv. I denne artikkelen har vi oppsummert de viktigste funnene fra årets compliance-studie, og snakket med noen norske ledere for compliance-funksjoner for å høre om de kjenner seg igjen i funnene fra studien. Compliance-funksjonen er i ferd med å bli ”fastlege” Årets undersøkelse viser at compliancefunksjonens rolle stadig mer ligner fastlegens. Fastlegen gjør helsesjekk, setter mål sammen med pasienten, overvåker symptomer og indikasjoner på problemer, og sender deg videre til spesialist ved behov. Chief Compliance Officer overvåker og leder virksomhetens arbeid med å håndtere etterlevelsesrisikoer, mens det endelige ansvaret for disse oppgavene fortsatt ligger - og bør ligge – i de staber og forretningsenheter som har ressurser og kompetanse til å løse den aktuelle risikoen. veiledning om ulike regulatoriske risikoer og spørsmål. Undersøkelsen viser at scopet og omfanget av compliance-ansvarliges oppgaver utvides. For nesten alle risikoer vi har spurt om, herunder anti-korrupsjon, konkurranserett, etikk, import/eksport, leverandørkjedeutfordringer, bruk av sosiale medier, etiske retningslinjer er nå compliancefunksjonen involvert på en eller annen måte. Compliancefunksjonen jobber stadig tetter sammen med andre interne funksjoner som IT, juridisk avdeling, internrevisjon, finansfunksjon og helse/miljø/sikkerhetsfunksjon, og gir Utfordringer for compliancefunksjonene 18 Undersøkelsen viser at det er fortsatt er hindringer som gjenstår før complianceansvarlig kan sies å lede en effektiv, proaktiv funksjon. De utfordringene som oftest nevnes er fragmenterte IT-systemer, stramme budsjetter, skiftende og økende regulatoriske krav, og ikke minst utfordringer med løpende å dokumentere overfor ledelse og styre at complianceområdet er viktig, og at funksjonenes oppgaver løses på en effektiv måte. 2 17 1 14 4 10 14 15 15 5 0 2 0 19 2 7 11 1 8 SIRK nr 2. 2012 2 3 2 0 Fokus på Compliance En problemstilling som tydelig fremkommer er utfordringer relatert til måling av effektiviteten av complianceaktivitetene, eller mer presist, hvordan en forsikrer seg om at de ansatte i organisasjonen virkelig etterlever viktige lover og retningslinjer. Undersøkelsen viser at det er med god grunn – man forventer økt behov fra interessentene for bekreftelse for at organisasjonen følger lover og regler. Man forventer særlig økte forventninger fra regulatører, revisjonsutvalg og virksomhetens viktigste eksterne forretningspartnere. Bruk av teknologi Undersøkelsen viser en generell utfordring knyttet til bruk av teknologi. Et overveiende flertall av virksomhetenes governance/risk/compliance (GRC)relaterte oppgaver løses ved hjelp av desk top-programmer som Word, Excel og SharePoint. Bare for en håndfull konkrete oppgaver, som ved compliance relatert til finansiell rapportering, etikktrening, medarbeiderundersøkelser og i saksbehandling sier flertallet at de benytter teknologi. Undersøkelsen viser også at de interne funksjonene som vanligvis samarbeider om GRC-relaterte oppgaver, i mindre grad enn forventet deler IT-verktøy. Eksempelvis svarer 47 prosent av respondentene at internrevisjonen bruker ITverktøy som ikke deles med andre funksjoner. Bare 20 prosent har felles verktøy med internrevisjonen. Ad hoc-tilnærming til bruk av teknologi er foruroligende seg selv, ettersom det øker risikoen for silotenkning. Manglende deling kan føre til lite effektiv datafangst, duplisert informasjon eller inkompatible data. Mange forteller at de ikke anvender historiske data eller henter ut effekter fra allerede gjennomførte IT-investeringer. Dette, kombinert med nye utfordringer som cloud computing, bruk av sosiale medier og større datamengder på mobiltelefoner gjør det utfordrende for compliancefunksjonene å få tilgang til relevante data for å evaluere risiko. Hva er erfaringer fra norske compliance-funksjoner Vi har snakket med 6 som jobber med compliance i norske bedrifter. Et klart trekk som kommer frem i våre samtaler er utviklingen mot en mer helhetlig tenkning. De store selskapene tenker ikke bare på utfordringer som antikorrupsjon for seg, hvitvasking for seg, konkurranserett for seg. Stadig flere erkjenner at dette er temaer som griper i hverandre og at virkemidlene for å skape en god intern kultur er å etablere gode ledelseskontroller, god tone fra toppen, robuste etiske retningslinjer, god opplæring og felles system for monitorering av etterlevelse. Noen forteller imidlertid at de fortsatt har et stykke igjen å gå før man kan si at interne funksjoner som har ett eller annet complianceansvar kan sies å jobbe sammen. Det pekes av noen på at særlig risikovurderinger kan samordnes bedre, eksempelvis mellom internrevisjonen og compliancefunksjonen, og at revisjoner og monitorering også bør gjøres mer enhetlig. Organisering oppleves av noen som utfordrende. Flere peker på utfordringen i at det i dag ikke er noen definert standard eller modell for hva som er ”godt compliance-arbeid”. Alle er enige om at compliance handler om å skreddersy organisering, tiltak og prioriteringer til den enkelte virksomhet, slik man sikrer etterlevelse og god etisk atferd tilpasset den enkelte virksomhets rammebetingelser og risiko. ☞ SIRK nr 2. 2012 9 Fokus på Compliance Ellen-Katrine Thrap-Meyer, Telenor Cecilie Wetlesen Borge, Norske skog Lene Svenne, Kongsberg Gruppen Ellen-Katrine Thrap-Meyer er Group Compliance Officer i Telenor Cecilie Wetlesen Borge, Compliance Officer and Company Secretary i Norske Skog Lene Svenne, Corporate Compliance Officer Kongsberg Gruppen ”Arbeidet med å etablere en Code of Conduct for Telenor startet i 2003. I starten handlet dette om å sette en standard for konsernet, i dag har konsernet kommet langt i å ha en Code of Conduct som er fullt integrert i selskapets strategi og daglige drift”, forteller Ellen-Katrine. Etter den første implementeringen har Telenor videreutviklet standarden slik at den inkluderer flere temaer og er stadig tydeligere på hva slags etisk atferd som er viktig for konsernet. Ellen-Katrine forteller at det i Telenor er flere funksjoner som jobber med ulike elementer av compliancearbeidet. Governance-ansvaret har gjennom årene vært forvaltet av juridisk funksjon. Funksjonene som jobber med ulike deler av de interne regelsettene har hele veien jobbet tett, med en felles prosess for ajourhold, publisering og strømlinjeforming. I tillegg har konsernet etter hvert fått på plass et felles regelsett for hvordan man håndterer brudd på interne regelsett og reaksjon på avvik. På konsernnivå er ellers samarbeid på kryss og tvers nå ett av tre særlig prioriterte områder, hvor det gjøres evalueringer og settes opp korresponderende tiltak. Telenor har vært opptatt av viktigheten av at de etiske retningslinjene er eid av og forankret i styret, og Ellen-Kathrine mener at dette er avgjørende for at regelsettet skal få den oppmerksomhet som kreves for at den virkelig skal etterleves i organisasjonen. ”Ellers er en klar trend at der Code of Conduct og etisk atferd tidligere kunne presenteres som noe spesielt, så forventes det i dag rett og slett at dette er på plass”, sier Ellen-Kathrine. ”Det å ha en ansvarlig holdning reflektert gjennom de aksjoner selskapet iverksetter er i dag en forutsetning. Et godt etisk regelverk gir selskapene en tydeligere identitet. For hvem er du hvis du ikke har en Code of Conduct?” avslutter hun. 10 SIRK nr 2. 2012 Norske Skog det siste halvåret gjort organisatoriske endringer på området for internkontroll. Den tidligere internrevisjonen med selvstendig rapportering til revisjonsutvalget er omdannet til en Business Control Function (BCF). Denne skal rapportere til CFO, og dessuten ha rådgivning og beslutningsstøtte som sentrale oppgaver, til forskjell fra den mer avgrensede revisjonsrollen som internrevisjonen tidligere hadde. Compliancefunksjonen ligger i juridisk avdeling, og samarbeider med både BCF, HMS og IT om compliancerelaterte tema innen deres arbeidsområder. ”Organisering er vanskelig, men det må ikke ta oppmerksomheten bort fra formålet. Det viktige er at alle tenker helhetlig og unngår siloer, slik at vi holder kontroll over våre verdikjeder og den samlede internkontrollen gjør konsernet mer robust i prosesser, beslutninger og aktiviteter. På denne måten utnytter vi ressursene best mulig”, sier Cecilie. Cecilie viser til at compliance er et område der folks bevissthet har utviklet og utvidet seg gjennom de siste 10-15 årene, og bruker følgende bilde: ”Dette er omtrent som når vi kaster aviser og glassflasker,” sier hun. ”Til å begynne med var det uvant å kildesortere, men nå kunne det ikke falle oss inn å kaste dette i den vanlige søpla. Og nå kildesorterer vi også lignende søppel, som andre typer glass og papir. På samme måte er det med compliance. Det som var kunstig og strengt for noen år siden er naturlig i dag. Denne økte bevisstheten er selvforsterkende, og kolleger ser selv nye complianceproblemstillinger i gamle vaner.” Lene Svenne forteller at Kongsberg Gruppen etablerte sin Code of Ethics i 2004. I 2009 besluttet konsernet å etablere en Compliance-funksjon som har fokus på vedlikehold og implementering av konsernets etiske regler. Compliance-funksjonen speiler den operative organisasjonen med en ansvarlig for hvert av konsernets 4 forretningsområder. Corporate Compliance Officer rapporterer direkte til CEO, og på hans vegne til revisjonsutvalg og styret. "Vi er en forholdsvis operativ compliancefunksjon", forteller Lene. Compliancefunksjonen jobber etter en handlingsplan som baserer seg på en risikovurdering. Handlingsplanen favner en rekke aktiviteter, som vedlikehold av retningslinjer, etikk-opplæring for alle ansatte i konsernet, samt spesialtilpasset opplæring ut i fra risiko og den aktuelle ansattes rolle og behov. En sentral aktivitet av implementeringen av compliance har vært innføring av rapportering fra forretningsområdene til konsernledelsen, hvor den enkelte leder bekrefter at de etiske retningslinjer er implementert, beskriver risikoområder og forbedringsplaner mm. Aggregert statusrapport legges deretter frem for styret. Dette har vist seg som en effektiv måte å bevisstgjøre lederne og skape eierskap og involvering fra hele virksomheten. Konsernet har ikke en egen internrevisjon, men compliance-funksjonen gjennomfører et begrenset omfang av evalueringer og monitorering for å påse etterlevelse av interne og eksterne regler. Med bred erfaring fra internrevisjon har Lene en gjennomtenkt strategi for hvordan revisjoner gjennomføres på en effektiv måte, og ser generelt fordelen med at compliance og internrevisjon jobber nært hverandre. For å sikre armlengdes avstand og uavhengighet benytter compliance-funsjonen eksterne co-souringspartnere til enkelte av disse internrevisjonene. ET BEVISST VALG BDO har over 40 rådgivere som leverer og utvikler tjenester innen internrevisjon risikostyring, internkontroll, IT-revisjon, informasjonssikkerhet og gransking. Lokal forankring og nærhet til kundene er viktig for oss. Kundene våre liker det. Vi er levende opptatt av faget vårt, og målet er å gi den beste kundeopplevelsen. For mer informasjon om hva vi kan hjelpe deg med, ta kontakt med: Anders Lausund Internrevisjon, risikostyring og internkontroll [email protected] Erling Grimstad Gransking og forebygging av misligheter [email protected] Rune Waage Bank og finans [email protected] Kent M. E. Kvalvik IT-revisjon og -sikkerhet [email protected] Morten Thuve Offentlig sektor [email protected] Karl-Ludvig Mauland Tjenesteansvarlig [email protected] www.bdo.no BDO er et av Norges største revisjons- og rådgivningsselskap med 1.200 ansatte ved kontorer over hele landet. Vi tilbyr tjenester innenfor hovedområdene; revisjon, rådgivning, skatt og avgift samt foretaksservice som regnskap og lønn. SIRK nr 2. 2012 11 Fokus på Compliance Intervju med compliance officer for antikorrupsjon i Multiconsult Multiconsult er et av Norges og Nordens ledende miljøer innenfor rådgivning og prosjektering. Selskapet har mer enn 1400 ansatte som jobber innenfor fagdisiplinene olje og gass, bygg og eiendom, industri, samferdsel, energi og miljø. I tillegg til oppdrag i samtlige deler av Norge, utfører Multiconsult oppdrag internasjonalt, bl.a. i utviklingsland. Multiconsults virksomhet stiller store krav til samfunnsansvar og etisk standard. Med bakgrunn i skjerpede lovkrav mot korrupsjon og Multiconsults satsing i utlandet, har selskapet de siste par årene jobbet med å styrke selskapets håndtering av korrupsjonsrisiko. Som følge av dette arbeidet besluttet Multiconsult å etablere en rendyrket Compliance officer-funksjon med ansvar for virksomhetens antikorrupsjonsprogram. Janne Britt Saltkjel har fra i sommer innehatt rollen som Compliance officer, først som innleid konsulent fra Deloitte og fra 10. desember som fast ansatt. Funksjonen er underlagt leder for Kvalitetsstyring, Trond Kristensen, som inntil Janne Britt ble ansatt, også hadde rollen som Compliance manager. Kan du si litt om bakgrunnen for etablering av denne compliance-funksjonen? Trond: Korrupsjon er en av Multiconsults mest alvorlige risikoer. Vi har oppdrag i regioner med høy korrupsjonsrisiko, og tilfelle eller mistanke om korrupsjon kan i verste fall stenge selskapet ute av markedet. For å sikre etterlevelse av både skjerpede internasjonale lovkrav og intern nulltoleranse mot korrupsjon, er det nedlagt et betydelig arbeid i videreutvikling av policier og prosedyrer samt opplæring. Vi erfarte underveis at vi hadde et behov for både tilførsel av kompetanse og kapasitet på området. Deloitte ble januar 2012 engasjert som rådgivere, representert ved Janne Britt Saltkjel som prosjektleder og Albert Wolders som fagspesialist, for å bidra til å operasjonalisere Multiconsults antikorrupsjonsprogram. Antikorrupsjon er 12 SIRK nr 2. 2012 imidlertid ikke en engangsjobb, men et kontinuerlig arbeid som innebærer løpende risikovurderinger, integritetsundersøkelser, dilemmahåndtering, opplæring m.v. Det ble i løpet av våren besluttet å etablere en egen compliance funksjon med ansvar for den videre implementeringen og forvaltningen av det nye antikorrupsjonsprogrammet. Hva er Compliance officers mandat og hvordan er funksjonen organisert? Trond: I Multiconsult er compliance en del av avdeling for Kvalitetsstyring, noe som ikke er uvanlig i virksomheter innen rådgivning og prosjektering. Kvalitetsstyringsfunksjonen forvalter Multiconsults styringssystem, herunder system for kvalitetsplaner og usikkerhetsstyring i oppdrag, revisjoner for monitorering av etterlevelse av lover og forskrifter og interne retnignslinjer inkludert antikorrupsjon. Nyansatt Compliance officer er gitt mandat å forvalte Multiconsults antikorrupsjonsprogram, herunder gjennomføre og følge opp risikovurderinger og implementering av kontrolltiltak, integritetsundersøkelser og opplæring, oppfølging og overvåking. Mandatet er gitt av administrerende direktør. Arbeidet skal dekke både Multiconsult og datterselskaper. I tillegg er Compliance officer leder av Multiconsults Etikkråd som håndterer etiske dilemmaer av ulik karakter. Compliance officer rapporterer både faglig og administrativt til leder for Kvalitetsstyring, men har rapporteringslinje til administrerende direktør og til styret for å sikre uavhengighet. Hvilke krav stilles til rapporteringsinnholdet og er det foretatt noen revisjon av compliance-funksjonen? Trond: Inntil nå har arbeidet vært organisert som et prosjekt med rapportering av fremdrift og risikoer til en styringsgruppe, i tillegg til løpende rapportering til leder for Kvalitetsstyring. Det blir også rapportert fra prosjektgruppen med Compliance officer i spissen til administrerende direktør eller seksjonsledere når det er nødvendig. Den endelige rapporteringsformen er under utvikling, men det er klart at fokuset vil være på de områdene der risikoen er størst. Den rendyrkede compliance funksjonen er for øvrig såpass ny at den ikke har vært gjenstand for egen revisjon. Hvilken faglig bakgrunn var aktuell for Compliance officer og hva er de viktigste kvalifikasjonen? Trond: Da vi utformet Compliance officer-stillingen, var vi åpne for at vedkommende kunne være en ingeniør, økonom eller jurist. Det var videre en forutsetning at Compliance officer hadde minst 10 års fartstid i yrkeslivet etter masterstudier, hvorav mer enn fem måtte være fra risikostyring og internkontroll. De øvrige ansatte i Kvalitetsstyring er enten ingeniører eller økonomer med mange års relevant arbeidserfaring. Compliance officer i denne rollen vil dessuten ha en stor kontaktflate, og skal Fokus på Compliance man lykkes med implementeringsprosjekter som omfatter mange – eller alle – medarbeiderne, må man kunne kommunisere på en konstruktiv måte. For Multiconsult var det viktig med en løsningsorientert person med gode kommunikasjonsferdigheter både på norsk og engelsk. Janne Britt: Jeg er selv utdannet siviløkonom, og har sertifisering som CIA og CRMA. Min yrkesbakgrunn er bl.a. fra kredittrisiko og finans, virksomhetsstyring, internrevisjon samt rådgivning innen risikostyring og internkontroll. Det siste året har jeg også jobbet med antikorrupsjon bl.a. for Multiconsult. Etter hvert som prosjektet skred frem ble det tydelig at rollen i Multiconsult ikke bare ville være en overvåkende funksjon, men også kreve betydelig operasjonell involvering med både linjen (oppdragslederne) og andre deler av organisasjonen. Dette passet meg bra og var medvirkende til at jeg meldte min interesse for stillingen. Hvilke verktøy og metoder benytter dere i compliance-arbeidet? Janne Britt: Compliance-arbeidet i Multiconsult bruker ulike verktøy for risikovurdering – et for en overordnet vurdering av risikoen for korrupsjon i oppdrag - en slags screening - og et annet verktøy for et dypdykk dersom den overordnede risikovurderingen tilsier dette. Et slikt dypdykk tar for seg ulike risikoelementer som skal dekkes av et adekvat antikorrupsjonsprogram, bl.a. tiltak for å unngå bestikkelser og smøring, for å håndtere gaver og invitasjoner, innkjøp, tredjeparter osv. Denne risikovurderingen danner fundamentet for arbeidet som gjøres for å håndtere korrupsjonsrisiko i de enkelte oppdragene. Et annet sentralt element i antikorrupsjonsprogrammet er integritetsundersøkelse av tredjeparter. Vi har her etablert en metode som identifiserer «røde flagg» basert på diverse faktaopplysninger om tredjeparten. I tillegg gis opplæring der dilemmatrening er et hovedelement. Risikovurderingene, kontrolltiltak, integritetsundersøkelsene og hvem som har gjennomført opplæring, føres i registre og danner grunnlag for rapportering og oppfølging. Kan du si litt mer om hva antikorrupsjonsprogrammet og complianceoppgavene innebærer i praksis? Janne Britt: I praksis innebærer antikorrupsjonsprogrammet at korrupsjonsrisiko vurderes både i salg og tilbudsfasen og i gjennomføringen av oppdrag. Tilbudsteamene skal foreta risikoscreening ved vurdering av om man skal levere tilbud. Dersom risikoen for korrupsjon er lav, er Multiconsults vanlige rutiner for styring av oppdrag ansett for tilstrekkelige. Hvis vurderinger konkluderer med moderat eller høy risiko, skal det foretas en grundigere vurdering av risiko for korrupsjon og mulige kontrolltiltak. Hensikten er å sikre at Multiconsult kan iverksette nødvendige og egnede tiltak for å få korrupsjonsrisikoen til et akseptabelt nivå. Slike tiltak kan for eksempel være bruk av spesielt erfarne oppdragsledere, at ansatte og innleide konsulenter i oppdraget er kjent med og aksepterer Multiconsults etiske retningslinjer, at nøkkelpersoner sikres antikorrupsjonsopplæring, at det gjennomføres integritetsundersøkelser, at det er robuste rutiner for innkjøp og fakturering i oppdraget osv. Der det ikke er mulig å få risikoen ned på et akseptabelt nivå, vil det være grunn til ikke å gi tilbud. Det er viktig med tidlige overordnede risikovurderinger, slik at man kan bruke ressursene der risikoen er størst og sette inn forebyggende tiltak tidligst mulig. Dersom Multiconsult går videre og vinner oppdraget, og risikoen anses å være moderat eller høy, vil Compliance officer bistå oppdragsteamet med å få gjennomført en oppdatert og mer detaljert risikovurdering og implementerte tiltak for å ta «rest»-risikoen (iboende risiko redusert med kontrolltiltak) ned til et akseptabelt nivå. For at tilbudsteam og oppdragsteam skal kunne vurdere korrupsjonsrisiko, skal Compliance officer gi opplæring i antikorrupsjon for nyansatte og for ledere, samt innføring i verktøyene som benyttes. Compliance officer vil i samarbeid med Kvalitetsstyring gjennomføre revisjoner og stikkprøver rettet mot korrupsjonsrisiko, for å påse at verktøyene er riktig brukt og risikoene fornuftig vurdert og at egnede internkontrolltiltak er besluttet og utøves. Dette innebærer at Compliance Officer samarbeider med flere funksjoner: - Linjed, herunder tilbudsteam og oppdragsteam, for identifisering og håndtering av risikoer ☞ SIRK nr 2. 2012 13 Fokus på Compliance - Kvalitetsstyring i etablering av retningslinjer og oppfølging gjennom revisjoner - HR med hensyn til periodisk opplæring, samt særskilt opplæring av nyansatte og ledere - Økonomi for overvåking I sum betyr dette at Compliance officer vil ha utstrakt kontaktflate i virksomheten. Hvilke erfaringer har dere gjort dere så langt, mht utfordringer og suksesskriterier? Trond: Det tar tid å endre arbeidsvaner og holdninger. Multiconsult har mer enn 1400 ansatte hvorav flere hundre i rollene som oppdragsledere og oppdragsansvarlige for krevende oppdrag innen energi, olje & gass, samferdsel & infrastruktur, bygg og anlegg. For en vellykket implementering av Multiconsults antikorrupsjonsprogram, er det helt nødvendig med en compliancefunksjon som kan bistå med spiss- kompetanse på risikostyring og internkontroll rettet mot korrupsjonsrisiko, og som kan se oppdragsmengden på tvers og slik bidra til en helhetlig styring av korrupsjonsrisiko og riktig ressursbruk. I tillegg til organisatorisk synlighet, er det avgjørende med klar støtte fra toppledelsen. Det er bred forståelse og erkjennelse i organisasjonen av at korrupsjon er en alvorlig risiko som Multiconsult i høyeste grad må forholde seg til og håndtere. Det er likevel helt avgjørende at administrerende direktør Christian Nørgaard Madsen, som tiltrådte primo september, har vært og er utvetydig og klar med hensyn til viktigheten av dette arbeidet. I Multiconsult er det nulltoleranse for korrupsjon. Janne Britt: Det er jo slik at noen oppfatter min rolle som Compliance officer som en politi-rolle som først og fremst skal overvåke andre, eller fange opp svikt. Rollen er imidlertid mer operativ og forebyggende. Jeg opplever på mange måter at jeg jobber i grensesnittet mellom risikostyring, internkontroll og internrevisjon. Utfordringen for meg i tiden fremover blir å utvikle en funksjon og rolle som gjør det naturlig for medarbeidere å trekke på Compliance Officer som en rådgiver og naturlig bidragsyter i tilbuds- og oppdragsprosessen der korrupsjonsrisikoen krever spesiell håndtering. Hva kunne dere som jobber med compliance ønske var mer tilgjengelig på den faglig siden? Janne Britt: Jeg skulle gjerne utvekslet erfaringer med andre complianceenheter, både om antikorrupsjon spesielt og compliance generelt. Det vil være interessant å få mer innsikt via kurs, seminarer, nettverkssamlinger eller artikler, hvordan den enkelte funksjonen har strukturert arbeidet, hvilke oppgaver de definerer innenfor compliancefunksjonen, metoder, opplegg for rapportering, årshjul og avgrensning mot andre kontrollfunksjoner. Vi ønsker våre lesere en riktig god jul og et godt nytt år! 14 SIRK nr 2. 2012 www .pwc.no/gransking www.pwc.no/gransking Hvor godt kjenner du H vor go g odt kj enner d u egentlig dine forretningse gentlig d ine ffo orretnings fforbindelser? orbindelser? PwC Gransking er Norrge ges ledende ffagmil agmil g ljjø innen inne foreb bygging, avdekking og gransking av økonomisk kriminalitet Samfunnet sstiller tiller sstadig tadig hø yere kr avv ttil il ttransparens ransparens og eetikk tikk i nær ingslivet. Samt idig øk er Samfunnet høyere krav næringslivet. Samtidig øker sponering ffor or rrisiko isiko som følg ffølge ølge a næringslivets ek ende g lobalisering, ent en gjennom næringslivets eksponering avv øk økende globalisering, enten re egulatoriske kr avv el ler ul ike ttyper yper for fforretningsforbindelser. orreetningsfforbind or elser. regulatoriske krav eller ulike PwC tilbyr en strukturert og risik kobasert tilnærming som gir trygghet til at dinee ffor orretningsforbindelser har en transpareent strukturr, etisk for forretningsatferd erd og at de ikke forbind forbind o es med ulovlige eller uetisk sk ke handlinger. Vi har lokale og dedikerte eksperter i Norge og tilgang til et verdensomspennende nettverk k med nasjonale og regionale team verden over. Mads M ads B Blomfeldt lomffeldt Direktør 952 60 652 [email protected] eldt@n no.pw wc.com K Kristian ristian W Wey Weydahl eydahl Thaysen ey Th Thaysen Direktør 952 60 172 [email protected] E Erik rik Arvnes Arvnes Senior Manager 952 60 551 erik.ar [email protected] enerett. denne © 2012 PwC. Med ener ett. e I den nne sammenheng rrefererer eferere er “PwC” seg til PricewaterhouseCoopers AS, Advokatfirmaet PricewaterhouseCoopers AS, PricewaterhouseCoopers Skatterådgivere uavhengige International Accounting AS og PricewaterhouseCoopers useCoopers Skatterådgiver e AS som alle er separate juridiske enheter og uavhengig e medlemsfirmaer i PricewaterhouseCoopers Inter national Limited. Bård Foto: Bår d Gudim SIRK nr 2. 2012 15 Fokus på Compliance Intervju med Compliance officer Thales Thales Group er et fransk forsvar- og elektronikkselskap med 67 000 ansatte i over 50 land. Selskapet er en sentral aktør innen forsvar, luftfart, transport og sikkerhetssystemer verden over. Erik Normann Warberg er juridisk direktør og compliance officer i Thales Norge. Han er blant annet leder for foreningen Bedriftsjuristene under Norges Juristforbund, og er medlem av Fagutvalget for God Virksomhetsstyring Juristenes Utdanningssenter (tilknyttet Norges Juristforbund og advokatforeningen). 1. Hvem gir mandatet til compliancefunksjonen? Styret i Thales S.A. (det franske morselskapet) som eier 100 % av Thales Norge gir mandatet til compliancefunksjonen på globalt og lokalt nivå. 2. Har styret/revisjonsutvalget/ledelsen i din virksomhet aktivt fokus på compliance? Ja – compliance er et viktig fokus helt ifra toppledelsen i gruppen og gjennom organisasjonen. Compliance-rollen er tett knyttet til toppledelsen i selskapene i gruppen: De største landene har egne compliance direktører som rapporterer til juridisk direktør, mens i mellomstore land dekkes rollen av juridisk direktør selv. I de minste landene (med mindre enn 150 ansatte) fyller som regel administrerende direktør compliancerollen. Det er verdt å merke seg at Thales S.A. sin administrerende direktør også er selskapets styreformann i henhold til mellomeuropeisk praksis. sikre at selskapet operer trygt og sikkert, og på betryggende avstand fra gråsoner. Thales ønsker at alle ansatte skal ha gode etiske ryggmargsreflekser og kompetanse. For å sikre dette gjennomføres det omfattende e-læringsprogram, og obligatorisk samtale med Compliance Officer. En viktig del av compliancearbeidet er å tilrettelegge for at informasjon tilgjengeliggjøres og kan fremskaffes. Selskapet har utviklet en plattform med linker til relevant informasjon, som kontinuerlig holdes oppdatert. Godt trente ansatte skaper trygghet for at det tas riktige valg på alle nivåer i organisasjonen. Selskapet følger en rekke frivillige standarder som Common Industry Standards for European Aerospace and Defense og IFBEC (International Forum on Business Ethical Conduct for the Aerospace and Defence Industry). 4. Hvordan avgrensens compliancefunksjonens oppgaver? Thales har gått fra et lovperspektiv til et ERM-perspektiv. Selskapet har definert ”risk owners” som har hovedansvar for at de ulike prosessene i selskapet er compliant. Compliance-funkjonen samarbeider med risikoeierne, og er en koordinator og tilrettelegger som bidrar til at risikoeierne - med den spesifikke 3. Hva er mandatet/formålet med compliance-funksjonen? Å bidra til at lover/ regler/retningslinjer etc. overholdes i tråd med vårt samfunnsansvar. I praksis betyr dette å kjenne til hva vi skal være compliant i forhold til, ha tett samarbeid med prosesseiere i de ulike fagområdene, sørge for at medarbeidere får opplæring innen området ormålet til og for så vidt sentralt ifra funksjonen ved internkontroller osv. eksterne lover, regler og retningslinjer. Opplæring og kunnskap er alfa og omega for å forhindre compliance-brudd. 5. Hvem rapporterer compliancefunksjonen til? Compliance Officer i Norge rapporter til administrerende direktør for den norske virksomheten, samt til Corporate Compliance Director i Paris. 6. Hvilke krav stilles til rapporteringsinnholdet? En rekke krav til flere dokumenter og rutiner skal tilfredsstilles, både i dybde og bredde; compliance medarbeidere som sådan har sine rapporteringer som i stor grad ivaretar bredde og så er det en rekke rapportering og målinger/ kontroller i de ulike fagaksene. Dette for å ivareta helheten i vårt compliance regime. Prosesseiernes rapportering oppsummeres på landnivå av den lokale compliance-ansvarlig og rapporteres til Corporate Compliance Director. I tillegg identifiseres konkrete compliance-mål på prosessnivå basert på compliancerapporteringen. 7. Hvilke verktøy og metoder benytter dere i compliance-arbeidet? En kombinasjon av ”selvangivelse” innenfor hvert domene, samt felles gjennomgang av svar på flere nivåer. Der det passer har vi også kvantitative målinger. complianceCompliance-ansvarlig innebærer derfor gjennomgår ”selvangivelsen” og stiller spørsmål å bidra til å skape en kultur Formålet til compliancetil prosesseier for å sikre som hensyntar mer enn funksjonen innebærer kvalitet i svarene. Videre er derfor å bidra til å skape det utstrakt samarbeid med lover og regler. en kultur som hensyntar Corporate i denne fasen. mer enn lover og regler. For Thales er kompetansen de besitter innen sine For å sikre compliance i forhold til lover etikk et viktig element; det er viktig å fagfelt – er compliant med interne og og regler abonnerer vi på Lovdata. Vi F 16 SIRK nr 2. 2012 Fokus på Compliance mottar ukentlige oppdatereringer innenfor relevante områder, og oppdaterer interne prosesser ved behov. 8. Har avdelingen forutsetninger (kompetanse/ressurser/tilgang til informasjon) for å tilfredsstille de krav som stilles i mandatet? Absolutt – globalt sett er også dette en funksjon som er styrket de senere år i forhold til tilføring av ressurser. Som en aktør i forsvarsindustrien, og med hovedkunder fra offentlig virksomhet er det viktig for Thales å ha orden i eget hus. 9. Hvilken fagbakgrunn har de ansatte i compliance-funksjonen? Ca 80-90 % av Compliance Officers i Thales har juridisk bakgrunn, resterende er sivilingeniører og økonomer. Risk Owners som har ansvar for compliance i prosessene har fagbakgrunn i forhold til det angjeldende fagfelt. Compliance Officers trekker på ulike fageksperter ved behov. 10. Hva er de viktigste kvalifikasjonene som trengs for å jobbe med compliance? Bred og god erfaring med virksomhetens område, kundens omgivelser og spilleregler. Evne til å se ting på tvers og i sammenheng, samt vurdere reell risiko. Hos Thales er compliance integrert i forretningsprosessene og compliancerollen skal ligge så tett opp mot toppledelsen som mulig, og utføres av enten administrerende direktør, finansdirektør eller juridisk direktør. Det er med andre en rolle som ikke kan fylles av en nyutdannet eller personer som ikke har kjennskap til virksomhetsområdet. G 11. Hvordan samarbeider man med andre fagområder i selskapet og spesielt funksjonene innenfor andre og tredje forsvarslinje? Vi har et tett samarbeid både vertikalt og med andre Thales selskaper om de forskjellige aspekter som vedrører Compliance, herunder etikk og samfunnsansvar. 12. Er det noe fagmiljø som man kan dra nytte av i Norge/internasjonalt? For Thales har vi et omfattende internasjonalt nettverk med 200 jurister og advokater som de lokale Compliance officers benytter seg av. Som Compliance Officer for Thales Norge benytter jeg stort sett interne ressurser. Det er viktig å skille prosess- og fagspørsmål innenfor hvert domene. Eksempelvis ved nasjonale spørsmål knyttet til selskapsrett søker jeg råd hos mitt norske nettverk som har ekspertise innenfor dette området. på fokusområder og rapporteringskrav. Bedriftsjuristene favner bredden av ulike bransjer og industrier. 14. Hva er de viktigste utviklingstrekkene i compliance-funksjonen de siste tre årene? Funksjonen har utviklet seg fra det selvsagte - ren overholdelse av lover og forskrifter - til å ta større hensyn til samfunnsansvar og ta od governance er god business, inn over seg bedriftens omdømme. Fokuset og dette synet reflekteres i har med andre ord gått fra shareholder value virksomhetens fokus. til stakeholder value. God governance er god business, og dette synet reflekteres i 13. Hva kunne dere som jobber med virksomhetens fokus. compliance ønske var mer tilgjengelig på den faglig siden? 15. Har compliance-funksjonen vært Som leder for Bedriftsjuristene i Norges gjenstand for revisjon? Juristforbund, har vi fokusert på dette i Vi er kontinuerlig gjenstand for revisjon, flere år, og vi er blant annet ansvarlig for både internt og eksternt. Corporate fagdelen etikk og antikorrupsjon i neste Internal Audit fra Paris gjennomfører ukes store Juristkongress. I tillegg har vi flere revisjoner, og selskapet gjenstand omrettet en egen CRS-gruppe på for ekstern revisjon innenfor flere ISOLinked-in. Sammenlignet med andre standarder. I tillegg kommer revisjoner fra forsvaret knyttet til kostnadskontrollland er fagmiljøet i Norge er fremdeles regimet og nasjonal sikkerhet. lite og til dels fragmentert. Compliance-funksjonen påvirkes av bransje- og industri, både med tanke SIRK nr 2. 2012 17 Fokus på Compliance Intervju med Carine Smith Ihenacho Carine leder Statoils Compliance & Ethics team 1. Hvem gir mandatet til compliancefunksjonen? Compliance advdelingen i Statoil er en del av Statoils legal team. Avdelingen består av ca 20 personer, og ledes av Statoils Chief Compliance Officer. Mandatet til funksjonen er forankret i Statoils styrende dokumentasjon, og særlig Statoils etiske retningslinjer, som er godkjent av Statoils styre. 2. Har styret/revisjonsutvalget/ledelsen i din virksomhet aktivt fokus på compliance? Både Statoils styre og ledelse har aktivt fokus på compliance. Styret har en egen HSE og etikk-komite som møter jevnlig, og hvor etikk og compliance er en del av agendaen. Statoils konsernledelse og de forskjellige forretningsområdene har i tillegg egne etikk-komiteer, hvor compliance og etiske problemstillinger relatert til Statoils virksomhet blir diskutert. Etikk og compliance er også temaer som er sentralt i Statoils beslutningsprosesser og forretningsvirksomhet. som blant annet gir rådgivning på Statoils ansvar i forhold til UNs Guiding Principles for Business & Human Rights. 4. Hvordan avgrensens compliancefunksjonens oppgaver? Compliance arbeidet og ansvar har klare grensesnitt mot andre funksjoner innenfor Statoil, som resten av legal, avdelingen for samfunnsansvar, internrevisjonen og corporate risk. Rent formelt er oppgavene til de respektive avdelingene klart beskrevet og avgrenset i Statoils styrende dokumentasjon, hvor compliance har et overordnet ansvar for etikk og anti-korrupsjonsprogrammet og 5. Hvem rapporterer compliancefunksjonen til? Lederen for compliance advdelingen, Statoils Chief Compliance Officer, rapporterer daglig til Statoils General Counsel. Chief Compliance Officer rapporterer i tillegg jevnlig til styrets HSE og etikk komite og årlig til Statoils styre. Chief Compliance Officer har i særlige tilfelle også anledning til å rapportere direkte til Statoils CEO, styrets revisjons komite eller styrets formann. 6. Hvilke krav stilles til rapporteringsinnholdet? Rapporteringen fra compliance avdelingen skal både gi en oversikt over de forskjellige elementene av Statoils compliance program, som trening, due diligence , saker fra den etiske hjelpelinjen og oppdatering av policies, men den skal også gi innsyn i viktige eller vanskelige enkeltsaker. Detaljeringsgraden på rapporteringen vil være avhengig av om det er til styret eller annet sted i organisasjonen. 3. Hva er mandatet/formålet med 7. Hvilke verktøy og metoder benytter compliance-funksjonen? dere i compliance-arbeidet? Formålet med compliance avdelingen er Vårt anti-korrupsjons compliance først og fremst å arbeide for å redusere program består av flere elementer. risikoen for korrupsjon i Sentrale områder er Statoils virksomhet. Men vi kommunikasjon og oppormålet med compliance har i tillegg til gruppen for læring, due diligence, etikk & anti-korrupsjon risiko-vurderinger, avdelingen er først og fremst også to andre grupper i monitorering, utarbeiå arbeide for å redusere risikoen delse av prosedyrer og compliance avdelingen. Den ene er gruppen for policies, involvering av for korrupsjon i Statoils Integrity Due Diligence ledelsen og aktiv deltavirksomhet (IDD), hvor formålet er å gelse i prosjektarbeid. utføre due diligence på I tillegg har vi Statoils Statoils potensielle business partnere, ellers et rådgivende ansvar, men i etiske retningslinjer, som gjelder for alle for å sikre at Statoil ikke inngår forretpraksis er det en flytende overgang hvor ansatte, og Statoils etiske hjelpelinje, ningsforhold med selskaper som kan personer fra de forskjellige avdelingene hvor ansatte kan ringe eller sende epost skade Statoils omdømme eller utsette jobber tett ammen på ulke prosjekter. for å få råd eller rapportere om Statoil for annen risiko. Vi har også en Dette er både en styrke for compliance eventuelle misligheter eller brudd på de gruppe som dekker hvitvasking, arbeidet i Statoil og gjør arbeidet for oss etiske retningslinjene. sanksjoner og menneskerettigheter, og i compliance mer interessant. F 18 SIRK nr 2. 2012 Fokus på Compliance 8. Har avdelingen forutsetninger (kompetanse/ressurser/tilgang til informasjon) for å tilfredsstille de krav som stilles i mandatet? Ja. Vi har en kvalifisert avdelingen, med dedikerte ansatte, med ulik bakgrunn, som til sammen har den kompetanse vi mener er nødvendig for å sikre et tilfredsstillende compliance-arbeid i Statoil. 9. Hvilken fagbakgrunn har de ansatte i compliance-funksjonen? Det er mange advokater i compliance avdelingen, som er spesialister innenfor relevant lovgivning på anti-kosrrupsjon og andre rettsområder som omfattes av avdelingens mandat, som sanksjoner, hvitvasking, konkurranse og menneskerettigheter. Vi har i tillegg analysepersonell innenfor vår IDD avdeling, med bakgrunn i innkjøp, finans og kontroll. Vi har også en gruppe av etikk eksperter, som følger opp våre etiske retningslinjer og hjelpelinje. V 10. Hva er de viktigste kvalifikasjonene som trengs for å jobbe med compliance? Det er selvsagt viktig å ha en god forståelse av gjeldende lovgivning innenfor anti-korrupsjon og annen relevant lovgiving. Men det er også utrolig viktig å ha en god forståelse for den virksomheten selskapet driver, inkludert hele verdikjeden, og generelt forståelse for business. I tillegg så er en del av arbeidet til compliance å gi opplæring og veiledning, og da er det alltid en fordel å være tålmodig, lyttende og ha evne til å omgås andre personer. 11. Hvordan samarbeider man med andre fagområder i selskapet og spesielt funksjonene innenfor andre og tredje forsvarslinje? Vi samarbeider tett med mange andre fagområder i Statoil. Vi har blant annet et nært samarbeid med internrevisjonen på flere områder, som for eksempel granskning. Vi har også godt samarbeid med resten av juridisk avdeling, andre stabs funksjoner som finans og kontroll, men ikke minst med de forskjellige forretningsområdene, og da særlig i de landene vi opplever som mest risikoutsatt. Det samme gjelder til dels også publiseringer. Et område som kanskje kan utvikles bedre er tilbudet om ekstern sertifisering av compliance funksjoner. 14. Hva er de viktigste utviklingstrekkene i compliance-funksjonen de siste tre årene? Den viktigste utviklingen vi har sett de tre siste årene er de stadig økende kravene til hva som skal omfattes av et 12. Er det noe fagmiljø som man kan «best practice» anti-korrupsjons dra nytte av i Norge/internasjonalt? compliance program. For noen år siden Ja, absolutt. Vi arbeider tett på eksterne var det kanskje tilstrekkelig for et rådgivere, og da særlig advokater som er selskap å vedta en Code of Conduct, eksperter innenfor anti-korrupsjon. Vår men vi ser nå at kravene til et godt erfaring er at de strengeste kravene til et implementert compliance program anti-korrupsjons program følger av inneholder elementer som due diligence engelsk og amerikansk lovgivning, så vi av alle potensielle forretningspartnere, har god kontakt med advokatkontore systematisk opplæring av ansatte, compliance som en del av risikovurdering i alle i arbeider tett på eksterne prosjekter, jevnlig monitorering av rådgivere, og da særlig prosesser og ikke advokater som er eksperter minst et aktivt engasjement fra innenfor anti-korrupsjon. ledelsen. som dekker disse områdene. I tillegg så 15. Har compliance-funksjonen vært ønsker vi å sikre at vi til enhver tid har en compliance avdeling som følger «best gjenstand for revisjon? practice» på området, og vi har derfor Ja, compliance avdelingen var gjenstand også flere nettverk med compliance for en intern revisjon i år, hvor formålet avdelinger til andre selskaper, både i var å se på effektiviteten til compliance Norge og internasjonalt. Vi følger i avdelingen og hvorvidt den opererer i tillegg opp internasjonale initiativer på henhold til styrende dokumentasjon. Vi anti-korrupsjon, som Global Compact har i tillegg i år hatt en gjennomgang av og PACI. hele vårt anti-korrupsjons compliance program av våre eksterne rådgivere for å 13. Hva kunne dere som jobber med sikre at det er i overensstemmelse med compliance ønske var mer tilgjengelig krav og forventinger ikke bare etter på den faglig siden? norsk lov, men også UK Bribery Act og Vi mener at det i utgangspunktet er mye US Foreign Corrupt Practices Act. tilgjengelige ressurser på den faglige siden. Når det gjelder kurs og seminarer innenfor anti-korrupsjon, er problemet heller å velge i skogen av tilbud. Korreksjon fra forrige nummer: Det var Jurgita Petkevičiūtė fra SEB Norge som sto for intervjuet i 2012-1 «Audrius Šapola – sikkerhet og risikostyring i SEB Bank i Litauen. Artikkelforfatterens navn var dessverre falt ut. SIRK nr 2. 2012 19 Fokus på Compliance Intervju med Compliance funksjonen i DNB Markets, Hanne Leirbukt Pedersen Hanne Leirbukt Pedersen er leder av Compliance i DNB Markets. DNB Markets er et forretningsområde i DNB Bank og teller 740 medarbeidere. Compliancefunksjonen disponerer 9 årsverk inklusive lederen. Verdipapirhandelloven med forskrift setter spesifikke krav til funksjonen. 1. Hvem gir mandatet til compliancefunksjonen? Konsernpolicy for Compliance og konsernets utdypende retningslinjer for Compliance er vedtatt av konsernstyret i DNB. I tillegg er det utarbeidet en skriftlig retningslinje for innholdet i DNB Markets’ compliancefunksjon. 2. Har styret/revisjonsutvalget/ledelsen i din virksomhet aktivt fokus på compliance? Ja. Group Compliance Officer (GCO) i DNB lager en årlig rapport til styret. Compliance Officer i DNB Markets lager en kvartalsvis rapport til ledelsen i DNB Markets, med kopi til Group Compliance Officer og til konsernrevisjonen i DNB. Det er lagt til rette for at alvorlige hendelser skal rapporteres fortløpende til Group Compliance Officer, som rapporterer videre til aktuelle interessenter. Ellers får leder av Markets løpende informasjon om små og store hendelser. Compliance i DNB Markets har opplevd en økt interesse og fokus de siste årene. 3. Hva er mandatet/formålet med compliance-funksjonen? Compliancefunksjonen er en uavhengig funksjon som identifiserer, vurderer, gir råd om, tester og rapporterer compliancerisiko. Dette innebærer i praksis: • Rådgivning, veiledning og opplæring • Overvåking av endringer i rammebetingelser • Risikovurdering og plan for compliancearbeidet • Utarbeidelse av rapporter • Dokumentasjon 20 SIRK nr 2. 2012 Compliancefunksjonen har i løpet av de siste årene opplevd en sterkere grad av formalisering med tiltagende dokumentasjonskrav til det arbeidet som utføres. Finanstilsynet uttalte i 2010 følgende i sine endelige merknader etter tilsyn i DNB Markets: Foretaket plikter å ha en effektiv og uavhengig kontrollfunksjon med nødvendig autoritet, ekspertise og ressurser. Kontrollfunksjonen skal gjennom løpende kontroll, regelmessige vurderinger og iverksetting av eventuelle tiltak sikre at foretaket oppfyller sine forpliktelser. Det forventes fra Finanstilsynets side gjennomføring av risikovurderinger og etablering av tiltak, kontroller, logging av hendelser og formell rapportering av compliancesituasjonen. 4. Hvordan avgrenses compliancefunksjonens oppgaver i forhold til andre funksjoner (interne kontroll funksjoner, intern revisjon) Compliance sitter nærmere Forretningsområdet enn Internrevisjonen, og Compliance ønsker også i større grad å jobbe forebyggende. Når det gjelder avgrensingen mot andre interne kontrollfunksjoner kan det sies at disse jobber mer mot kontroll av transaksjoner og eksponering, mens Compliance jobber mer mot oppfølging av megleratferd og etterlevelse av god forretningsskikk. Avgrensning til andre funksjoner oppleves ikke som en stor utfordring for Compliance i DNB Markets. 5. Hvem rapporterer compliancefunksjonen til? I DNB har GCO det overordnede ansvar for compliancefunksjonen. Det er etablert en complianceansvarlig i hvert forretningsområde, hvor Compliance i DNB Markets er en av disse. Leder for Compliance i DNB Markets rapporterer til leder av en stabsdivisjon, som igjen rapporterer til Konserndirektør. Leder av Compliance har også en parallell rapporteringslinje til GCO. 6. Hvilke krav stilles til rapportinnholdet? Den kvartalsvise compliancerapporten inneholder en vurdering av compliancesituasjonen og beskriver eventuelle trender. Spesielle hendelser, kontroller eller aktiviteter omtales, og eventuelle større klagesaker beskrives nærmere. Aktiviteter mot DNB Markets’ internasjonale enheter omtales. Videre kommenteres foreslåtte og vedtatte endringer i rammebetingelser. Compliancefunksjonen i DNB Markets mottar også kopi av rapporteringen fra de tilsvarende funksjonene i en rekke utenlandsenheter, som alle har lokale Compliance Officers. 7. Hvilke verktøy og metoder benytter dere i compliance-arbeidet? Compliancefunksjonen gjennomfører egne, halvårlige risikovurderinger som ender opp i en tiltaksplan som beskriver risikoreduserende aktiviteter og kontroller. Forut for risikovurderingene intervjues ledere for de ulike divisjonene om utvikling og risiko innenfor eget ansvarsområde. Vi benytter oss også av andre kilder når vi vurderer risiko: Strategidokumenter, forslag til nye Fokus på Compliance rammebetingelser, medieoppslag, tilsynsrapporter, revisjonsrapporter, klagesaker, hendelser, mv. Vi prioriterer tiltak og aktiviteter etter hvilke områder som har høyest risiko. Verktøyene er ellers først og fremst egenutviklede logger for aktiviteter, kontroller, hendelser, klagesaker, operasjonelle feil etc. Compliance har tilgang til alle relevante systemer, og det gjennomføres daglige kontroller knyttet til transaksjoner. Det gjøres også ad hockontroller i tilknytning til enkeltoppdrag. 8. Har avdelingen forutsetninger (kompetanse/ressurser/tilgang til informasjon) for å tilfredsstille de krav som stilles i mandatet? Ja, avdelingen har de rette forutsetninger. Sammensetningen av strategisk-, systemog forretningsmessig kompetanse gir gode forutsetninger for en vellykket gjennomføring av arbeidet. Evnen til å forstå risiko og til å prioritere mellom oppgaver er viktige forutsetninger for å lykkes. 9. Hvilken fagbakgrunn har de ansatte i compliance-funksjonen? De fleste ansatte i avdelingen har økonomi-utdannelse. Noen har revisjonsutdannelse og -bakgrunn. Det er ingen jurister i avdelingen, men funksjonen jobber tett sammen med DNBs juridiske avdeling, som har en gruppe som er spesielt allokert til forretningsområdet. Det aller viktigste er at de som jobber med compliance i DNB Markets forstår forretningsvirksomheten og de største risikodriverne. Compliance må kunne samarbeide og kommunisere med ledere og ansatte og må kjenne og forstå virksomheten – det er det viktigste. 11. Hvordan samarbeider man med andre fagområder i selskapet og spesielt intern kontroll funksjoner/ intern revisjon? Compliancefunksjonen har et godt samarbeid med Internrevisjonen. Vi diskuterer risiko, utvikling, risikovurderinger og bruker hverandres arbeid. Det er også et utstrakt samarbeid med Konsernjuridisk som har syv jurister som er dedikert til forretningsområdet. miljø. Det finnes dog ikke så mange kursmuligheter. Det finnes mye på faglig oppdatering og på nye lover og rammebetingelser, men det finnes ikke mye på fagområdet compliance som sådan. Det kom imidlertid nye guidelines fra ESMA nå i sommer som gir mye input på den faglige siden. Sertifiseringsordninger for compliance officers finnes ikke i Norge. I UK er vi kjent med at det er etablert en form for sertifiseringsordning i regi av FSA. 14. Hva er de viktigste utviklingstrekkene i compliance-funksjonen de siste tre årene? Det har skjedd mye i løpet av de 5 siste 12. Er det noe fagmiljø som man kan årene. Arbeidet til compliance funkdra nytte av i Norge/internasjonalt? sjonen har blitt stadig mer formalisert og Det er etablert et eget nettverk i regi av kravet til den prosessen som compliance Norges Fondsmeglerforbund hvor det følger fra risikovurdering og planarrangeres møter jevnlig. Nettverket er legging, til gjennomføring og rapportering med tilhørende dokumentasjonskrav, nærmer 10. Hva er de viktigste ompliancefunksjonen i seg de kravene som gjelder kvalifikasjonene som innen intern revisjon. DNB Markets nyter godt av trengs for å jobbe med Compliancefunksjonen i compliance? et relativt stort internt miljø. DnB Markets har økt fra Det aller viktigste er å 6 til 9 medarbeidere i løpet holde på integriteten, først og fremst opptatt av gode rammeav disse årene. samtidig som compliance må opptre på betingelser for virksomhetene, og en slik måte at de blir brukt også som 15. Har compliance-funksjonen vært compliance er et område som verdirådgivere. En compliance officer må gjenstand for revisjon? papirforetakene kan diskutere og kunne spille på lag samtidig som samarbeide på. Ja, compliance funksjonen er revidert av hun/han må ha evne til klart å si fra der Konsernrevisjonen i DNB, med tilfredsdet er nødvendig. Compliance må ut i 13. Hva kunne dere som jobber med stillende resultat! Funksjonen ble også forretningsområdet og oppsøke de compliance ønske var mer tilgjengelig vurdert av Finanstilsynet i et tilsyn i enkelte miljøene for å holde seg opppå den faglig siden? 2010. datert. Dette er spesielt viktig i og med Compliancefunksjonen i DNB Markets at en av rollene for Compliance er å nyter godt av et relativt stort internt jobbe forebyggende. C SIRK nr 2. 2012 21 Fokus på Compliance Intervju med Frede Aas Rognlien Frede er Head of Group Compliance Norway i SEB Norge 1. Hvem gir mandatet til compliancefunksjonen? For SEB er dette enkelt: SEB opererer i Norge som filial og faller inn under kravene i MiFID som jo er tilsvarende som lovkravene etter verdipapirhandelloven. Det er således et lovbestemt om at vi skal ha en compliance-funksjon. Mandatet til funksjonen er gitt av styret gjennom instruks. Den norske filialen har ikke noe eget styre, men det er fastsatt en lokal compliance instruks med bakgrunn i en instruks fastsatt av styret i banken. I tillegg er det inngått diverse konserninterne avtaler mv angående styring og fordeling av oppgaver. 2. Har styret/revisjonsutvalget/ledelsen i din virksomhet aktivt fokus på compliance? Ja absolutt. SEB har også en egen Audit and Compliance Committee som er en undergruppe i styret. Totalt sett er vi ca 70 stykker som jobber med compliance på gruppenivå, hvorav 5 i Norge. Jeg oppfatter at vårt arbeid er etterspurt og verdsatt av både styret og ledelse sentralt og lokalt. 3. Hva er mandatet/formålet med compliance-funksjonen? Mandatet er i stor grad hjemlet i lov og forskrift. Hovedoppgaven er å bidra til å sikre at vi som selskap opererer innenfor lovens rammer, nærmere bestemt de regler som er spesifikke for vår virksomhet, så som finanslovgivningsloven, verdipapirhandelloven, med andre ord rammene som følger av konsesjonsbelagt virksomhet. Compliance-funksjonen fokuserer i all hovedsak på overholdelse av disse lovene og regelverk/instrukser utledet av dette. Annen lovgivning som for eksempel skatteloven og arbeidsmiljølovgivning mv faller etter min oppfatning utenfor mandatet til compliance, og håndteres av andre i konsernet. Det er verdt å merke seg at oppfølging av også konkurranserett og personopplysnings- 22 SIRK nr 2. 2012 loven ligger innenfor ansvarsområdet til compliance hos SEB. Hvordan dette er i andre selskaper kjenner jeg ikke til i detalj. 4. Hvordan avgrensens compliancefunksjonens oppgaver? Grensene mellom compliancefunksjonen og risk management (første linje), risk kontroll (herunder operational risk control) (annen linje), internrevisjonen (tredje linje) og juridisk avdeling skal være tilpasset virksomhetens art og omfang. Det som i utgangspunktet kan ansees som uklare grenser med glidende overganger basert på kompetanse og erfaring tydeliggjøres gjennom instruksverk og det årlige planarbeidet. Det sentrale prinsippet er at compliance ikke skal ha en aktiv rolle i forretningsmessige beslutninger, men det forhindrer ikek at vi f eks kan være en premissleverandør (rådgiver) til de kommersielle prosesser. Vårt fokus er å gi råd og anbefalinger knyttet til compliancerelaterte forhold, men funksjonen har ingen vetorett. Eksempelvis vil vi i kommersielle prosesser fokusere på f eks den faktiske etterlevelse av informasjonssperrer og interessekonflikter, men ikke ta stilling til de kommersielle betingelser i mandater. Arbeidet til compliance-funksjonen kan kanskje også sammenlignes med kvalitetskontrollfunksjoner i produksjonsselskap som jo har som en sentral jobb å bidra til at selskapet oppfyller lov- og forskriftskrav knyttet til produksjon og produkter. 5. Hvem rapporterer compliancefunksjonen til? Compliance-funksjonen rapporterer kvartalsvis til styret. I tillegg rapporteres det til leder av virksomheten i Norge og en gruppe ledere innenfor filialen i Oslo. 6. Hvilke krav stilles til rapporteringsinnholdet? Tradisjonelt sett hadde compliancefunksjonen fokus på rapportering om nye eller kommende regler, lovendringer og korrespondanse med myndigheter. Fra dette har vi beveget oss mot et mer operasjonelt fokus der vi rapporterer på hva vi har gjort med hensyn til monitorering, undersøkelser og kontroll. På mange måter kan dette sammenlignes med et comfort/assurance view tilvarende det internrevisorene gjør. I tillegg rapporterer vi funn fra konkrete undersøkelser, eksempelvis av rådgivning, transaksjoner, AML eller markedsmisbruk. Denne rapporteringen er ment å være et verktøy for ledelsen å se hva som skjer, forstå risiko og trender slik at de kan iverksette de nødvendige tiltak endringer. 7. Hvilke verktøy og metoder benytter dere i compliance-arbeidet? Compliance-avdelingen har etablert et automatisert markedsovervåkningssystem som gir alarmer i forhold til handler, og et tilsvarende system på hvitevaskning. Disse systemene benyttes i stor grad som et alternativ til ansattes innrapportering av hendelser. I tillegg benytter vi oss av informasjon fra front- og back office systemer samt kommunikasjon (f eks lydlogger). Per i dag har avdelingen ikke noe eget støttesystem for compliance funksjonen, men det arbeides sentralt med dette. 8. Har avdelingen forutsetninger (kompetanse/ressurser/tilgang til informasjon) for å tilfredsstille de krav som stilles i mandatet? Ja, basert på avdelingens definerte oppgaver har vi det. Vi har tilgang til all informasjon, noe som også er fastsatt i Fokus på Compliance instruksen. Enkelte systemer har vi selv valgt å ikke ha direkte tilgang til, men får den nødvendige tilgang til informasjon ved behov. 9. Hvilken fagbakgrunn har de ansatte i compliance-funksjonen? I Oslofilialen har vi tre jurister, samt en person med bankfaglig bakgrunn. I tillegg er den compliance-ansvarlige i SEB Kort også jurist. Juridisk kompetanse og forståelse er viktig, da vårt arbeid jo i veldig stor grad består i å vurdere etterlevelse av regler. 10. Hva er de viktigste kvalifikasjonene som trengs for å jobbe med compliance? I tillegg til de kvalifikasjonene som følger med en juridisk bakgrunn er kompetanse om og forståelse av virksomheten helt sentralt. Videre fordrer det en trygghet på det rammeverket virksomheten operer innenfor; her en praktisk og pragmatisk forståelse sentralt - vi ønsker ikke å bli oppfattet som paragrafryttere. I tillegg kreves en god porsjon erfaring, man må være trygg på seg selv og ha høy grad av integritet. derimot bør det være slik at avlønning av ansatte i compliance-avdelingene skal være uavhengig av inntjeningen i selskapet, med mindre slike bonusordninger er helt generelle og ikke knyttet opp til subjektive vurderinger fra forretningssiden. 11. Hvordan samarbeider man med andre fagområder i selskapet og spesielt funksjonene innenfor andre og tredje forsvarslinje? Vi samarbeider tett med både andre og tredje forsvarslinje, i tillegg til juridisk avdeling. Fysisk sitter vi tett på både risk control og internrevisjonen. Vi avholder felles møter med linjen i forbindelse med risikovurderinger for å redusere belastningen på linjen. Videre søker vi å 13. Hva kunne dere som jobber med compliance ønske var mer tilgjengelig på den faglig siden? Personlig tror jeg ikke at flere seminarer eller sertifiseringer er løsningen. Det som derimot gir stor verdi er workshops der vi kan utveksle erfaringer på et dypere nivå. Hva gjelder sertifisering knytter det seg en rekke utfordringer til slike ordninger, blant annet i forhold til sanksjonering. Det aller viktigste er å sikre kompetanse hos de om jobber med compliance. 14. Hva er de viktigste utviklingstrekkene i compliance-funksjonen de siste tre årene? Myndighetene forventer dokumenterte kontrollaktiviteter, noe som kan gå på bekostning av complianceyndighetene forventer funksjonens rådgivende dokumenterte kontrolloppgaver. Compliancefunksjonen er, etter min aktiviteter, noe som kan oppfatning, mer gå på bekostning av verdiskapende i en pro aktiv rolle der man compliance-funksjonenes bidrar til å sikre rådgivene oppgaver. etterlevelse gjennom økt forståelse av rammene for hva virksomheten kan og ikke kan gjøre. fordele oppgaver for å forhindre dobbelt- Vi vil ikke være internpoliti, men ønsker arbeid, og sikre at vi ikke ser på de å bli oppfattet som en medspiller. samme områdene. Planleggingen koordi- For at compliance-funksjonen skal neres med andre ord slik at vi kan bygge fungere optimalt er vi avhengige av en på hverandres arbeid og kompetanse. god og åpen dialog med linjen. ”Compliance by walking around” der vi 12. Er det noe fagmiljø som man kan bidrar til å bygge en kultur med færre dra nytte av i Norge/internasjonalt? negative hendelser, brudd og tap er Det norske fagmiljøet har vært relativt derfor en sentral del i vår tilnærming. spredt. Vi i finansbransjen har tilgang på 15. Har compliance-funksjonen vært seminarer og informasjon fra Fondsmeglerforbundet, i tillegg til gjenstand for revisjon? seminarer i regi av Finanstilsynet og Ja, Group Internal Audit har revidert Børsen. Fagmiljøet har blitt mer aktivt compliance-funksjonen. etter innføringen av formelle krav i 2007. M Arbeid med compliance krever at man står opp for sine standpunkter og kan underbygge disse og man må da også , til en viss grad, være økonomisk uavhengig og kunne tåle konsekvenser av en eventuell konflikt. Jeg må skynde meg å understreke at jeg vil tro at et slikt konfliktnivå vil høre med til de absolutt sjeldenheter og jeg har selv ikke vært i nærheten av å oppleve det. Jeg har sett at enkelte vil gå så langt som å fastsette regler om krav til etterlønnsavtaler, men det tror jeg ikke er noen nødvendig eller god løsning. Dette er diskutabelt, men Ny sertifisering – les mer på s. 60 eller www.iia.no CRMA Certification in Risk Management Assurance SIRK nr 2. 2012 23 Fokus på Compliance Opprettelse av et Compliance Forum Av Ellen Brataas, generalsekretær Mange NIRF-medlemmer jobber innen compliance eller reviderer compliance-området og i tråd med foreningens strategi om å samle forskjellige fagmiljøer, inviterte presidenten og generalsekretæren til diskusjon for å lufte interessen for å etablere nettverk/forum innen compliance. 26 personer syntes initiativet var bra og selv om ikke alle hadde anledning til å møte denne dagen, var 12 personer tilstede første gang. Det finnes flere uformelle compliance-grupper i Norge på forskjellige nivåer samt bransjespesifikke miljøer, men det finnes ingen egen forening for compliance. I Sverige har man til eksempel en ideell, upolitisk og nasjonal yrkesorganisasjon for Compliance Officers, www.complianceforum.se. Dette forumet ble opprettet for å gi Compliance Officers muligheten til å treffes og diskutere utfordringer man møter i hverdagen i rollen som Compliance Officer. Interessen for nettverket er stor og utbyttet av å dele erfaringer verdifullt. I Sverige finnes det i dag 150 medlemmer fra alle typer av finansielle virksomheter, forsikringsselskaper, kredittinstitusjoner, verdipapirforetak, betalingsinstitutter og børser. Grunntanken til forumet er at rollen som Compliance Officer er den samme i ulike virksomheter, selv om spesifikke regelverk styrer den enkelte virksomhet. Mye gjøres på compliance-området internasjonalt. Blant annet finnes det en global sertifisering «Certified Compliance & Ethics Professional, CCEP» som kanskje NIRF kunne være formidler av i Norge. Sertifiseringen administreres av den amerikanske organisasjonen The Society of Corporate Compliance and Ethics (SCCE); som er “a non-profit, member based organization for compliance professionals.” Vi tok en runde rundt bordet blant de fremmøtte hos NIRF og ikke overraskende har mange av våre medlemmer de samme utfordringene knyttet til compliance. Utfordringene har to ulike vinklinger: 1. Den ene utfordringen kan vinkles mot relasjonen internrevisjon – compliance, eksempelvis: hvordan finne de riktige kriteriene ved revisjon av compliance-funksjonen, bedre klarhet av grensesnittet internrevisjon/compliance, hvordan samkjøre arbeidet mellom forskjellige kontrollfunksjoner. 2. Den andre vinklingen som ble identifisert rundt bordet er et felles behov for en bedre forståelse av hva som inngår i compliance-begrepet, eksempelvis: en tydelig definisjon av compliance, hva omfattes av scopet (compliance dekker mer enn etikk og antikorrupsjon), ønske om maler, et rammeverk og beste praksis å se hen til, hva inngår i rollen som compliance officer og hvordan best organisere funksjonen, konkrete og praktiske kurs og erfaringsutveksling. Om forumet skal være et generelt nettverk, eller om det er hensiktsmessig å dele inn i bransjer er pt. et åpent spørsmål. Kanskje vil det være mulig å fornorske mye av det arbeidet som 24 SIRK nr 2. 2012 er gjort internasjonalt. Under møtet ble det foreslått å gjennomføre en undersøkelse for å kartlegge behov og klargjøre status i Norge. Hvordan compliance er organisert i ulike bransjer og hvordan funksjonen arbeider i forhold til internrevisjon og risikostyringsfunksjonen kan også være en oppgave for studenter på Master of Management studiet i internrevisjon på BI. Medlemmene må selv konkretiserer nærmere hva forumet/ nettverket skal stå for, så som formål, avgrensning og hva som skal gjøres videre. Et nettverk skal formelt godkjennes av generalforsamlingen, men det er ingenting i veien for å etablere et mer uformelt forum i en oppstartsfase. Under møtet ble det konstituert et foreløpig arbeidsutvalg som skal konkretisere struktur og innhold nærmere: – Anders Lausund, BDO – Eli Moe-Helgesen, PwC – Kathrine Stang-Ottersen, Norges Bank – Erik Andersson, DNB – Janne Britt Saltkjel, Deloitte (styrets representant) Det blir spennende å følge med på hva arbeidsutvalget velger å prioritere og hvilke aktiviteter vi kan se frem i mot i 2013. Komplekse utfordringer - tydelige løsninger Virksomheter står stadig overfor krav til gjennomføring av nye regulatoriske krav. Økt kompleksitet på dette feltet tvinger frem endrede bedriftskulturer, organisasjonsstrukturer og ledelsesfokus. KPMG leverer et bredt sett av tjenester innen for compliance-området som sikrer våre kunders evne til å navigere fleksibelt i et dynamisk regulatorisk farvann. Våre tjenester inkluderer: • Helsesjekk Compliance- egenevalueringsverktøy • GAP-analyser i forhold til etterlevelse av spesifikke lover og regler • Fasilitere utvikling av og implementering av prosesser, rutiner og retningslinjer som reduserer compliance-risiko • Etablering av compliance-funksjon For ytterligere informasjon kontakt: Sverre Lunde, Director e-post: [email protected] Helge Brynestad, Senior Manager e-post: [email protected] Beate Brovig Auke, Senior Associate e-post: [email protected] Les mer om våre tjenester innenfor Compliance Services på kpmg.no SIRK nr 2. 2012 25 Fokus på Compliance Informasjonssikkerhet underbygger god intern kontroll – og motsatt! Informasjon er en kritisk viktig, immateriell og uoversiktlig ressurs, og samtidig en forutsetning for verdiskapning. Flere virksomheter opplever det imidlertid som svært utfordrende å definere prislappen på informasjonen. Hva er den egentlig verdt? Informasjonssikkerhet har etter en rekke hendelser de siste årene, fått økt fokus. Det er nå viktig å se på hvordan fageksperter innen henholdsvis intern revisjon, intern kontroll, risikostyring og informasjonssikkerhet kan samarbeide om effektive styringsprosesser. Av Roger Ølstad, PwC Informasjonssikkerhet handler om å identifisere og beskytte informasjon som er av betydning for virksomheten. Tradisjonelt snakker vi om at informasjon: - Ikke skal komme uvedkommende i hende (konfidensialitet) - Ikke manipuleres av uvedkommende (integritet) - Er tilgjengelig på oppfordring (tilgjengelighet) I dagens marked er Internettsikkerhet (Cyber security) ett av de hyppigste temaene knyttet til informasjonssikkerhet. Dette bekreftet blant annet World Economic Forum (www.weforum.org) i fjor, da de i sin Global Risks report 20111 trakk Internettrusselen (Cyber threat) frem som en av de 5 viktigste truslene virksomheter bør ha et øye med. Informasjonssikkerhet ved tjenesteutsetting/offshoring (cloud computing), eller ved en stadig forventning om å få alle nødvendige tjenester tilgjengelig på egne enheter (consumerization, bring your own device), anerkjennes i årets Global Risks report2 som viktige bidragsytere til et stadig økende trusselbilde. Det å kunne være online overalt til enhver tid anses i dag som en selvfølge, og vi forventer på samme måte at sikkerheten er ivaretatt. Tidligere kunne det se ut som om mange sidestilte informasjonssikkerhet med ITsikkerhet - hvordan vi kunne få kontroll over og sikre informasjon i mer komplekse systemer samtidig som at trusselbildet og angrepsvektorene i IT-verden blir stadig mer sofistikerte. Stadig flere virksomheter ser imidlertid ut til å erkjenne at ikke teknologien eller IT- avdelingen alene kan sørge for den motstandsdyktighet som er nødvendig for å beskytte informasjon som er av betydning for virksomheten. Ofte sporer man sikkerhetsbrudd tilbake til at ansatte har gjort noe de ikke skulle ha gjort, enten tilsiktet eller utilsiktet. Det er ikke mulig å konfigurere et IT-system til å forhindre alle mulige uønskede gjerninger fra våre betrodde ansatte og samarbeidspartnere. Hvem har for eksempel fullstendig kontroll på hva slags informasjon som fyker ut via e-post daglig? Hvordan vet vi at sensitiv informasjon ikke lekker til uvedkommende? Med dette dukker opplæring og bevisstgjøring (awareness) opp som meget relevante temaer innen informasjonssikkerhet. Verdien av virksomhetskritisk informasjon Informasjonssikkerhetstiltak baseres som regel på et risikoperspektiv, hvilket innebærer at de bygger på en kartlegging av både trusler og sårbarheter som kan føre til brudd på enten konfidensialitet, integritet eller tilgjengelighet. Informasjonssikkerhetsrisiko formuleres som en bestemt (uønsket) hendelse og hvilken konsekvens denne hendelsen har for forretningen. Vi prater gjerne om informasjonsrisikostyring. Hva skjer dersom en bestemt type informasjon kommer i gale hender? Hva skjer dersom viktig styringsinformasjon ikke er tilgjengelig når den trengs? Et helhetlig perspektiv på risikostyring krever at vi involverer forretningssiden, først for å forsikre at akseptansekriterier for risiko er etablert, deretter for å formulere forretningsmessige konsekvenser ved gitte hendelser, som regel forbundet med enten økonomisk tap eller http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2011.pdf http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2012.pdf 3 http://www.idg.no/computerworld/article258207.ece 1 2 26 SIRK nr 2. 2012 negativt omdømme. Dette er erfaringsmessig kompliserte øvelser. Forretningen sliter med å estimere hvor stort økonomisk tap en gitt informasjonssikkerhetshendelse kan ha, eller vil få? Det samme gjelder omdømmerisiko. Hvordan skal forretningen vite i hvilken grad en sikkerhetshendelse vil eskalere til omkringliggende miljø eller media? Disse utfordringene fører i mange tilfeller til en symptomatisk umodenhet i risikovurderinger forbundet med informasjonssikkerhet, i form av at de ikke baseres på en felles plattform av konsistente finansielle betraktninger, eller at de ikke forholder seg til reelle forretningsmessige akseptansekriterier. I andre omgang kan dette gjøre risikovurderingen til en kostbar skrivebordsøvelse som ikke tilfører forventet verdi. Risikovurderingene ville styrkes dersom fagekspertise innen både intern revisjon, intern kontroll, risikostyring og informasjonssikkerhet konsolideres i enda sterkere grad for å trekke frem de forretningsmessige verdiene av virksomhetskritisk informasjon. Fokus bør rettes mot sammenhengen mellom forretningsmessig strategi og målsettinger, og virksomhetens krav til informasjonssikkerhet. Infonomi – et springbrett videre? Med hensyn til verdien av virksomhetskritisk informasjon leser jeg med stor interesse Peter Hidas’ artikkel i Computerworld fredag 26. oktober3, om forskjellen mellom hvordan toppledelsen omtaler virksomhetens informasjon (eller beslutningsgrunnlag), og hvordan informasjonen faktisk håndteres. Svært ofte mangler Fokus på Compliance informasjon både verdsetting og en bevisst forvaltning og distribusjon som andre tradisjonelle aktiva. Gartner er i ferd med å skissere et fag som heter infonomi. Det sies at vi lever i informasjonsalderen, men informasjon regnes ikke som aktiva selv om den i mange sammenhenger omtales som et immaterielt aktivum (som copyrights og patenter). Hvorfor er ikke dataenes verdi inkludert i årsberetningen? Hidas begrunner i sin artikkel dette med at informasjon betraktes som biprodukter av forretningsprosesser og forretningstransaksjoner, og at det er nettopp her feilen ligger: Informasjon er ofte hovedproduktet i prosesser og transaksjoner. Hvorfor tenker ikke regnskapsførere og økonomidirektører på samme måte? International Accounting Standards Board definerer et aktivum som en ressurs som organisasjonen har kontroll over, som er resultatet av tidligere hendelser, og som høyst sannsynligvis vil kunne bidra til at økonomiske fordeler vil tilflyte organisasjonen. Det er vanskelig å forstå informasjon og datagrunnlag på en annen måte enn at det faller inn under denne definisjonen. I et intervju med Financial Times4 mener Gartners Doug Laney at infonomi vil være et godt verktøy for toppledelsen: - For CEO fordi det vil understøtte muligheten til å beramme en hensiktsmessig diskusjon om informasjonsverdier og understøtte en kultur som innebærer økt bevissthet rundt hvordan informasjon forvaltes som et viktig element for forretningsmessig ytelse og transformasjon. - For CFO vil infonomi kunne gjøre det enklere å tydeliggjøre dataenes potensiale og faktiske verdi for organisasjonen. I annen rekke vil dette kunne være meget verdifullt i forbindelse med investeringer og kontraktering. - For CIO kan infonomi bidra til å forsterke rollen som forvalter av denne stadig mer strategisk viktige ressursen. De fleste initiativer forbundet med IT handler om å levere informasjon inn til ulike forretningsprosesser, og ikke om teknologien i seg selv. Teknologien representerer en kostnad som må veies opp mot verdien av informasjonen som tilgjengeliggjøres for forretningen. Dette er kritiske betraktninger for plan4 legging og rettferdiggjøring av investeringer innen IT. Med dette som utgangspunkt kan infonomi føre til gode argumenter for at CIO bør ha en fast plass rundt bordet ved etableringen av virksomhetens overordnede strategi. I tilfelle informasjonsverdien var inkludert i balanse og årsberetning ville det åpenbart være enklere å si noe om det konkrete økonomiske tapet dersom et gitt sett med data kom på avveie eller ble forringet som en følge av manipulasjon. Utfordringen med å vurdere omdømmekonsekvensen vil sannsynligvis være den samme, men kanskje ikke lenger like relevant? Dersom man har et bevisst forhold til hvor mye informasjonen er verdt, bør det egentlig ikke være særlig interessant å snakke om omdømmekonsekvens ved informasjonssikkerhetsbrudd. Dette ville i de fleste tilfeller ligge implisitt som en følge av verdien av dataene. I risikovurderinger knyttet til informasjonssikkerhet kunne vi da ha fokusert 100 % på verdien av informasjon, og forhåpentligvis rapportert et mer konsistent og anvendelig beslutningsgrunnlag. Også her tror jeg fagekspertise innen intern kontroll, intern revisjon, risikostyring og informasjonssikkerhet kan ha mye å hente på tettere samarbeid og kommunikasjon. Hvor er hvilken informasjon? En informasjonssikkerhetsmessig risikovurdering skal resultere i et beslutningsgrunnlag som muliggjør optimalisert ressursbruk på beskyttelse av informasjon. Tradisjonelle IT risikovurderinger retter ofte oppmerksomheten typisk mot forretningsmessige sikkerhetskrav i ulike deler av infrastrukturen; systemer, servere eller applikasjoner. En åpenbar fordel ved denne tilnærmingen er at den har klare avgrensninger med hensyn til prosess eller system. Den gir imidlertid begrenset kontroll på informasjon fordi den kun belyser risiko i en enkelt prosess eller et enkelt system. Dersom den samme informasjonen flyter igjennom andre prosesser eller systemer, vil risikoen bare være delvis adressert. Tatt i betraktning dagsaktuelle temaer som outsourcing og offshoring vet vi at store deler av virksomhetens beskyttelsesverdige informasjon befinner seg andre plasser enn bare innen organisasjonen eller på organisasjonens IT aktiva. For eksempel sendes det daglig mengder med informasjon via e-post, eller mobile enheter benyttes til overføring eller lagring. Bevisst implementering av beskyttelsesmekanismer i teknologien som benyttes er viktig, men ikke tilstrekkelig. Et mer helhetlig perspektiv på informasjonssikkerhet oppnås gjennom et bevisst forhold til informasjonsverdienes fullstendige livssyklus – fra tilvirkning til destruksjon. Virksomheten bør prioritere å få oversikt over: - hvor informasjonen opprettes - på hvilke måter informasjonen kan være gjenstand for behandling eller endring, og hvor - via hvilke kanaler informasjonen kan deles/distribueres - på hvilke måter informasjonen tilintetgjøres En slik tilnærming handler om erkjennelsen av at informasjonstyper i løpet av sin levetid kan passere en rekke ulike systemer, forretningsprosesser eller lagringsmedier. Risikonivået for en bestemt informasjonstype vil variere avhengig av både system, prosess og medium. Økt risiko kan for eksempel forekomme ved berikelse (verdiøkning) i forbindelse med behandling, eller når vi velger å lagre data på en ukryptert minnepinne. Figur 1. Informasjonslivssyklus De to tilnærmingene kompletterer hverandre. Livssyklustankegangen følger en spesifikk informasjonstype fra vugge til grav, mens system-/prosesstankegangen kan ta for seg mange informasjonstyper samtidig, dog kun innenfor et gitt system eller en gitt prosess. Tilnærming bør velges ut i fra interesse: Eier av en ☞ http://www.ft.com/intl/cms/s/0/27476ad4-a6a5-11e1-968b-00144feabdc0.html#axzz2BpDuRtbs SIRK nr 2. 2012 27 Fokus på Compliance informasjonstype vil høyst sannsynlig være interessert i livssyklusen, og kan hente støtte fra risikovurderinger som går spesifikt på systemene som inngår i denne. Eier av et system eller en forretningsprosess ønsker antakeligvis først og fremst et bilde av hvordan systemet er rustet sikkerhetsmessig for å tilfredsstille de forretningsmessige krav og målsettinger som nettopp dette systemet er tiltenkt å skulle oppfylle. Finansiell rapportering – et eksempel Figuren nedenfor illustrerer prosessen hvordan informasjon om virksomhetens finansielle resultater tilvirkes og behandles, samt hvordan risikoen knyttet til konfidensialitet, integritet eller tilgjengelighet kan vurderes ulikt underveis. Informasjonen fanges først opp fra ulike handelssystemer inn i en database, og konsolideres deretter i et rapporteringsverktøy. Fra rapporteringsverktøyet kan vi hente ut rapporter som grunnlag for presentasjoner, skriftlige dokumenter eller for publisering på web. Resultatene kan frigis når alt er forberedt og utarbeidet. administrasjons- og kirkedepartementet (FAD) meddelt i tildelingsbrev at informasjonssikkerhet skal være høyt prioritert og en kontinuerlig oppgave med sterk forankring. For å gjøre innrapporteringen på informasjonssikkerhet fra virksomheter enhetlig og enklere, forbereder FAD innføring av et rapporteringssystem basert på ISO/IEC 27001. For effektiv etterlevelse av føringene fra FAD bør internrevisorer og informasjonssikkerhetseksperter i det offentlige etablere et samarbeid som dyrker felles forståelse for hvordan et ISMS kan integreres med øvrige styringssystemer. Flere virker å ha en oppfattelse av at et ISMS er etablert og ivaretatt så lenge virksomheten har etablert en god struktur for styringsdokumentasjon. Dette er en misforståelse som legger betydelige begrensninger for en vellykket investering. Tidligere var det altså slik at man anså denne styringsdokumentasjonen som relevant utelukkende for IT-prosessene, men her har det som nevnt vært en positiv utvikling i løpet av de siste årene. Figur 2. Informasjonssikkerhetsrisiko under finansiell rapportering. Styringssystem for informasjonssikkerhet (ISMS) ISO/IEC 27000-serien gir gode føringer på hvordan man skal etablere et styringssystem for informasjonssikkerhet (ISMS, Information Security Management System). ISO/IEC 27001 og standardens omkringliggende veiledninger og standarder benyttes av virksomheter ofte som en strategisk tilnærming til informasjonssikkerhet. I offentlig sektor har Fornyings-, 28 SIRK nr 2. 2012 Risikovurderingen er det mest sentrale elementet i et styringssystem basert på ISO/IEC 27001. Med utgangspunkt i denne skal det gjennomføres en bevisst prosess for etablering av kontrolltiltak og måleparametere som skal forsikre effektiv deteksjon og håndtering av avvik. I tillegg skal det etableres konkrete rutiner for læring etter et avvik, slik at virksomheten kan dokumentere kontinuerlig forbedring av informasjonssikkerhetsinitiativene. En god operasjonalisering av kontinuerlig forbedring virker ofte å være en av de største utfordringene ved å få et ISMS til å fungere. Mange virksomheter baserer denne ”kontinuerlig forbedringen” på at ansatte oppfordres til å melde i fra dersom de ser forbedringspotensialer. Dette er en for enkel løsning på et fundamentalt element i et ISMS, som undergraver potensialet i styringssystemet. Konkrete rutiner for kontinuerlig forbedring kompletterer risikovurderingen. Dette handler om oppfølging og måling av veldefinerte kontrollaktiviteter, som en forsikring om at disse fungerer som de skal. Kort fortalt ligger selve gevinstrealiseringen i et ISMS i nettopp disse rutinene. Dette betyr at den store investeringen det uansett vil være å implementere, drifte og vedlikeholde et ISMS, vil være langt fra optimalisert dersom det ikke legges vekt på å etablere slike rutiner. Sentrale karakteristika ved et vellykket ISMS er dermed: 1. At det finnes en realistisk sammenheng mellom sikkerhetspolicy, scope for styringssystemet, bevisst utforming av kontrollaktiviteter og risikohåndteringsplan 2. At verdien av informasjonen som forvaltes er definert i den totale livssyklusen for informasjonen 3. At det er etablert gode rutiner for kontinuerlig forbedring Informasjonssikkerhet er først og fremst et forretningsanliggende der eier av verdiene stiller krav til sikringen av disse. Videre har de samme eierne ansvar for å følge opp et effektivt og fungerende styringssystem for informasjonssikkerhet. Selve kontrollutførelsen vil fortsatt i stor grad være realisert gjennom ITavdelingen. Samarbeid for god styring og kontroll Etablering av intern kontroll tilknyttet informasjonssikkerhet, samt revisjon av dette, handler ikke bare om å utarbeide eller verifisere dokumentasjon. Minst like viktig er det å få på plass verdiskapende prosesser for styring og kontroll over informasjonsverdier, noe som krever et nært samarbeid mellom fagekspertise innen internrevisjon, intern kontroll, risikostyring og informasjonssikkerhet. Fokus på Compliance Samarbeid med tredjeparter – en helhetlig og praktisk tilnærming der risikoen er størst Av Kristian Thaysen, Erik Arvnes, Mads Blomfeldt – PwC Forensic Services Integritetsrisikoen ved samarbeid med eksterne parter kan være betydelig. Det går knapt en dag uten at man i dagspressen kan lese om norske selskaper som gjennom samarbeid med andre parter, har blitt eksponert for uheldige omstendigheter. Eksempler på dette er bruk av agenter eller joint venture-partnere med tette relasjoner til offentlige beslutningstagere, bruk av underleverandører som benytter seg av barnearbeid, eller partnere innblandet i korrupsjon. Det er et økende fokus på risikoen knyttet til eksterne parter, og mange norske virksomheter må forholde seg til regulatoriske krav på området. Uavhengig av regulatoriske og formelle krav finnes også klare forventninger fra ulike hold, eksempelvis Nærings- og handelsdepartementet. Et helhetlig program for å håndtere risikoen ved samarbeid med tredjeparter handler om å identifisere, vurdere og håndtere risikoen knyttet til virksomhetens tredjeparter. Med tredjeparter i denne sammenheng forstås leverandører, kunder, distributører, rådgivere, agenter, joint venture-partnere og andre man forholder seg til eller støtter seg til for å utøve sin virksomhet. Vi vil se nærmere på hvordan man kan implementere et helhetlig program for å håndtere denne risikoen. Et viktig element i et slikt program er gjennomføring av integrity due diligence av potensielle samarbeidspartnere der risikoen er betydelig. Dette går vi også nærmere inn på i artikkelen. Helhetlig program for håndtering av tredjeparter Å lykkes med implementeringen av et helhetlig program handler om å forstå både hvilken risiko og hvilke muligheter tredjeparter representerer for din virksomhet. Enten det handler om risikoen for økonomiske tap, eller risikoen for ikke å etterleve regulatoriske krav, ligger nøkkelen i en risikobasert tilnærming. Ikke minst er en slik tilnærming nødvendig for å gjøre implementeringen overkommelig for virksomheten, både med tanke på kostnader, kapasitet og kompetanse. Den risikobaserte tilnærmingen bør være styrende for både utformingen av pro- grammet og for de løpende prosessene under programmet. Vi har laget en liste over 20 punkter vi mener at gir et godt utgangspunkt for å bygge et helhetlig program. Listen er naturlig nok generisk og må leses med utgangspunkt i forståelse av egen virksomhet. 20 punkter til hjelp ved implementering av tredjepartsprogram 1) Et helhetlig program for håndtering av tredjepartsrisiko må ha støtte fra selskapets ledelse, og viktigheten av programmet må kommuniseres tydelig. 2) Programmet må dekke hele virksomheten, og noen grunnleggende nøkkelfaktorer er: a) Å identifisere hvilke typer tredjeparter som skal inngå i programmet. b) Å implementere et system for risikoklassifisering av tredjepartene. c) Å gi veiledning som beskriver hvilket minimumsnivå for due diligence som skal gjelde for de ulike nivåene, og hva som er typiske risikomomenter man bør være oppmerksom på (”røde flagg”). 3) De som er ansvarlig for programmet må bygge forståelse i organisasjonen for hvorfor man har et tredjepartsprogram. Man må få fram at det handler om helhetlig risikostyring, og ikke bare etterlevelse av regulatoriske krav. 4) Programmet må sikre at nivået på due diligence er tilpasset løpende kunnskap om risiko. En sjekklistebasert ”one size fits all”-tilnærming er ikke tilstrekkelig. 5) Programmet må sørge for at risikoen vurderes og relevant due diligence gjennomføres, før man inngår nye avtaler. 6) Formålet med programmet og selskapets forventninger til tredjeparter må kommuniseres tydelig internt og eksternt. 7) Kostnader knyttet til etterlevelse av programmet må være forhåndsgodkjent, og kostnadsallokeringen må være tydelig avtalt internt. 8) Due diligence-prosesser bør være sentralt koordinert. 9) Det må stilles entydige og ufravikelige krav til at alle tredjeparter gir tilstrekkelig informasjon og bidrar gjennom due diligence-prosessen. Due diligence-prosessen må være risikobasert med hovedfokus på relasjoner som innebærer særlig risiko. Eksempelvis bør man sørge for å få kunnskap om: a) Den reelle eierskapsstrukturen. b) Tredjepartens historie, aktiviteter og struktur. c) Bakgrunnen til nøkkelpersoner. d) Hvorvidt selskapet eller nøkkelpersoner har vært involvert i ulovlige eller uetiske aktiviteter. e) Hvilke rettslige prosesser eller andre tvister tredjeparten har vært involvert i. f) Omdømmet til tredeparten og nøkkelpersoner og eventuelt andre risikofaktorer som er relevant for relasjonen. 10) Informasjon gitt av tredjeparter bør verifiseres gjennom andre kilder, og ”røde flagg” må identifiseres og håndteres. 11) Godkjenning av tredjeparter forbundet med særlig risiko bør løftes til et høyere nivå i organisasjonen enn normalt. 12) Undersøkelser med utgangspunkt i ulike risikoområder må koordineres (integritet, insolvens, operasjonelt mv.) for å unngå dobbeltarbeid og for å sikre en koordinert tilnærming til tredjeparten. 13) Due diligence-prosessen, herunder risikovurderinger, må dokumenteres grundig. 14) Informasjon fra due diligence-prosessen bør lagres sentralt i virksomheten. 15) De som er ansvarlig for programmet må ha tilstrekkelig kapasitet og kompetanse til å gi støtte til organisasjonen gjennom prosessen. Om nødvendig bør man velge en eller flere eksterne rådgivere som kan bidra ved behov, og om nødvendig sikre uavhengige vurderinger. 16) Kontrakter med tredjeparter må reflektere selskapets krav og forventninger til tredjeparten, og inneholde relevante bestemmelser knyttet til etikk, anti-korrupsjon, revisjonsrett mv. 17) Selskapet bør etablere retningslinjer for når og hvordan man skal benytte en eventuell revisjonsrett. Dersom man velger å benytte dette som en forebyggende aktivitet, bør det kommuniseres til de tredjepartene det gjelder så tidlig som mulig. 18) Informasjon om tredjeparter må vedlikeholdes og oppdateres. Risikovurderinger bør gjentas regelmessig med en frekvens tilpasset risikoen. 19) Informasjon knyttet til due diligence-prosessen bør lagres i et hensiktsmessig system som sikrer nødvendig informasjonsflyt både internt og eksternt. 20) Due diligence-programmet må være gjenstand for løpende evaluering og forbedringer basert på selskapets erfaringer og eventuelle endringer i rammebetingelser og krav. SIRK nr 2. 2012 ☞ 29 Fokus på Compliance Integrity due diligence prosessen Formålet med å gjennomføre integrity due diligence er på rett tidspunkt å identifisere risiko som følger av en eksisterende eller potensiell relasjon med en tredjepart. Innsatsen i hvert enkelt tilfelle må være tilpasset iboende risiko, og ikke minst eventuell risiko som avdekkes gjennom prosessen. Due diligence handler om å skaffe seg tilstrekkelig og presis beslutningsinformasjon. Due diligence-prosessen kan forenklet illustreres slik: Praktisk tilnærming knyttet til tredjeparter forbundet med særlig risiko Særlig risiko krever særlige forholdsregler og særlige tiltak for å overvåke risikoen. I noen tilfeller vil det ikke være tilstrekkelig å stille spørsmål til tredjeparten og å gjennomføre eksterne undersøkelser, men nødvendig å gjennomføre en målrettet revisjon. Et slikt behov oppstår unntaksvis, og må være forbeholdt spesielle grupper av tredjeparter som for eksempel agenter/markedsrepresentanter eller joint venture-partnere. Hvis det er snakk om en eksisterende partner kan man ha sikret seg revisjonsrett gjennom kontrakten med tredjeparten. For enkelte grupper tredjeparter bør en vurdere å stille vilkår om slik revisjonsrett samt faktisk gjennomføring av slik revisjon før avtalen inngås. En revisjon av en tredjepart har mange fellestrekk med en spesialrevisjon i egen virksomhet, men likevel med noen avgjørende forskjeller, herunder: 30 SIRK nr 2. 2012 • Tredjeparten er ofte ikke vant til å bli revidert på denne måten • Kontaktpersoner og organisasjonen er ikke kjent på forhånd • Tredjeparten er ofte underlagt lover og regler som fraviker fra det man er vant til • Tredjeparten opererer ofte i land med ulik kultur, forretningspraksis og forretningsetikk enn det man er vant til • Tredjepartens styrende dokumenter og prosesser er ikke kjent på forhånd • Tredjepartens it-systemer, herunder regnskapssystem er ikke kjent på forhånd Planlegging og fastsetting av revisjonskriterier Informasjonsinnhentingen bør starte så tidlig som mulig, og innhentet informasjon bør løpende danne grunnlag for detaljplanleggingen. Revisjonsprogrammet og revisjonskriteriene må tilpasses risikoen og formålet med revisjonen, og dessuten være dynamisk med tanke på hvilken informasjon som er tilgjengelig. I planleggingen kan det være hensiktsmessig å ta utgangspunkt i hvilken kunnskap man ønsker å oppnå fremfor hvilken dokumentasjon man ønsker å gjennomgå. • Relevant og tilgjengelig dokumentasjon kan være på fremmed språk • Dokumentasjon kan i mindre grad være tilgjengelig • Tredjeparten får ikke nødvendigvis fullt innsyn i rapporten Disse forskjellene, og omstendighetene rundt en tredjepartsrevisjon, innebærer at tilnærmingen må være noe annerledes. Basert på våre erfaringer fra slike revisjoner, vil vi særlig nevne følgende: Kommunikasjon Kommunikasjonen med tredjeparten bør skje i regi av de som normalt håndterer relasjonen. Virksomhetens krav og forventninger, herunder bruk av revisjon som et virkemiddel, må kommuniseres tydelig. Det er avgjørende at tredjeparten forstår formålet med revisjonen. Når revisjonen er gjennomført, bør observasjonene forelegges tredjeparten for kommentarer før rapporten ferdigstilles. Tredjeparten bør også få se observasjonene slik de fremkommer i den endelige rapporten. Gjennomføring Revisjonen bør inkludere et besøk til tredjeparten, men denne delen bør være spisset og behovsstyrt. En stedlig revisjon binder opp ressurser hos tredjeparten og kan oppleves som utfordrende med tanke på behov for konfidensialitet. Det er viktig å vise hensyn til dette og diskutere praktiske løsninger, som anonymisering av informasjon, bruk av uavhengige revisorer og tydelig avgrensning av omfang. Det kan være hensiktsmessig å bruke kjente transaksjoner (med egen virksomhet) som utgangspunkt for å vurdere hvorvidt regnskapet reflekterer faktiske transaksjoner, om selskapet har grunnleggende interne kontroller på plass mv. Fokus på Compliance Etikkundersøkelse Av Hanne Oppen Bieker og Elin Thrane, Ernst & Young, og Reidar Døli, Oslo Børs VPS Bieker Thrane Døli 1. Formål Spørreundersøkelser kan være nyttige verktøy for ledelsen i en bedrift til å fange opp det som rører seg i organisasjonen, samt bekrefte eller avkrefte et inntrykk. Undersøkelser kan også benyttes for å måle etterlevelse av ulike retningslinjer og rutiner på. Forutsetningen er at undersøkelsen er utformet med basis i klare mål, at den er tilstrekkelig kvalitetssikret og forankret i organisasjonen, samt at resultatene tas hånd om på en korrekt og løsningsorientert måte. Oppnås dette, har man et svært godt verktøy til å iverksette tiltak der de trengs mest, samt måle utvikling over tid. Denne artikkelen tar utgangspunkt i gjennomføringen av en etikkundersøkelse i Oslo Børs VPS-konsernet (OBVPS) i oktober 2012. Konsernet består av Oslo Børs, VPS, Oslo Clearing og Oslo Market Solutions. Internrevisjonen i OBVPS har en co-sourcingsavtale med Ernst & Young og etikkundersøkelsen er resultatet av et samarbeidsprosjekt. Undersøkelser med fokus på etikk kan måle alt fra kjennskap til og etterlevelse av bedriftens etiske retningslinjer, til ansattes oppfatning av ulike etiske dilemmaer som de kan møte i sin arbeidshverdag. Når man utarbeider en etikkundersøkelse, er det viktig at man først tar stilling til hva man ønsker å oppnå, eksempelvis: • Har alle i organisasjonen har lest de etiske retningslinjene og konsulterer disse ved tvil? • Brytes bedriftens etiske retningslinjer eller lover og regler regelmessig og i så fall hvorfor? • Har ansatte opplevd trakassering og diskriminering, og i så fall om de har varslet om dette? Blir varslene fulgt opp tilfredsstillende? I vårt tilfelle ønsket vi å favne alt dette uten at undersøkelsen ble for lang og da med risiko for lav svarprosent. I tillegg tok vi stilling til mer tekniske spørsmål: • Ønsker man å åpne for innspill fra de ansatte i kommentarfelt? • Skal undersøkelsen være anonym? Dette er ofte en forutsetning for å få mer oppriktige svar og høy svarprosent. • Ønsker man å kunne skille mellom svarene med hensyn til kjønn, alder, geografi og avdelingstilhørighet? Dette gir et godt grunnlag for målrettede tiltak, proaktive eller reaktive, da man enkelt kan identifisere hvor skoen trykker mest. På den annen side kan enkelte la være å svare ærlig, eller ikke svare i det hele tatt, da undersøkelsen mister noe av sitt anonyme tilsnitt jo flere demografiske detaljer det bes om. • Legger tidligere undersøkelser som man skal måle årets resultater opp mot, føringer for utformingen? Etikkundersøkelser som gjentas som hos OBVPS, er svært treffsikre med hensyn til å måle trend i en organisasjon, både på overordnet nivå og avdelingsvis. I tillegg kan effekten av iverksatte tiltak måles og justeres dersom tiltakene ikke virker som planlagt. Skal man måle trend kreves det at de ansatte i stor grad tar stilling til de samme spørsmålene og problemstillingene hver gang. Det innebærer at man alt fra første undersøkelse sørger for at innholdet er gjennomtenkt, forankret og testet, samt at man har et mottaksapparat og en analyse- og rapporteringsfunksjon som fungerer. 2. Forankring Oslo Børs VPS er avhengig av høy etisk bevissthet hos sine ansatte og en tillit i markedet for å eksistere. Noen sider ved bevissthet om etikk lar seg måle ved registrering av hendelser, avvik og oppnåelse av kvalitetsmål. Konsernet har likevel funnet det nødvendig å gjennomføre etikkundersøkelser for å måle kunnskap og bevissthet om etikk hos de ansatte. Det ble gjennomført en undersøkelse i selskapene i 2009 med en oppfølging av enkelte spørsmål i 2010. I mellomtiden har etikk vært tema i avdelings- og allmøter, det er gjennomført etikkquiz, dilemmatreninger og det er lagt ut informasjon på intranettet, men i 2012 var tiden inne for å måle tilstanden igjen. Formelt sett er undersøkelsen gjennomført som en internrevisjon, og forankret i de enkelte styrer ved at revisjonsplanene er godkjent der. 3. Planlegging, utarbeidelse av spørsmål og utsendelse av test Det heter seg at som man spør, får man svar. Dette tilsier at nytteverdien av undersøkelsen er avhengig av at det er lagt ned et grunding arbeid i forbindelse med utforming av spørsmålene. Forutsetningen for gode spørsmål henger igjen sammen med klargjøring av formålet med undersøkelsen. Hvis formålet ikke er klart nok, har spørsmålene en tendens til å bli upresise. Resultatet kan bli for mange spørsmål, svak kvalitet og lav ☞ SIRK nr 2. 2012 31 Fokus på Compliance svarprosent og at man ender opp med en undersøkelse som gir begrenset verdi. I den aktuelle undersøkelsen ble det tatt utgangspunkt i spørsmålene fra undersøkelsen i 2009. Kommentarer til spørsmålene den gang bidro til enkelte justeringer i spørsmålene og/eller svaralternativene i 2012. Vi valgte også å bygge ut undersøkelsen med enkelte tillegg der resultatet av forrige undersøkelse tilsa at dette burde undersøkes noe nærmere. Enkelte spørsmål og svaralternativer kom det lite ut av sist og disse ble utelatt denne gang. Vi sto til slutt igjen med 15 spørsmål hvorav 12 var de samme som ved forrige undersøkelse og 3 var nye spørsmål. Det var dessuten gjennomført en medarbeidertilfredshetsundersøkelse tidligere i 2012. Ett tilleggsspørsmål tilkom som resultat av denne da et avdekket forhold egnet seg til oppfølging i etikkundersøkelsen. Respondenter i spørreundersøkelser bruker gjerne et ”Vet ikke”- eller ”ikke aktuelt”-alternativ hvis det er mulig. Dersom det ikke åpnes for dette, tvinges respondentene til å ta stilling til noe som de ikke kan svare. Dette kan forringe kvaliteten av undersøkelsen, og bedriften kan gå glipp av verdifull styringsinformasjon om at mange ansatte som faktisk ikke har tilstrekkelig informasjon til å svare på det aktuelle spørsmålet. I OBVSP valgte vi å bruke ”Ikke aktuelt” dersom vi vurderte dette som et reelt svaralternativ. For spørsmål der man ønsker at de ansatte eksempelvis skal ta stilling til en påstand, ble alternativet hvor respondenten ikke skulle gjøre seg opp en mening fjernet. I analysefasen er det viktig å være seg bevisst disse valgene, da de har stor betydning for tolkning og senere rapportering. Grundig vurdering og formulering av svaralternativene er en viktig del av å utarbeide en profesjonell spørreundersøkelse, og vi jobbet mye med formulering av svaralternativene for å sikre at resultatene skulle bli så presise som mulig. De nye spørsmålene med svaralternativer ble deretter testet ut på 8 medarbeidere i konsernet, noen fra hvert selskap. Denne testen resulterte i nyttige tilbakemeldinger som ble innarbeidet før undersøkelsen ble sluppet til samtlige medarbeidere. 4. Informasjon til de ansatte og utsendelse Utsendelsen av spørreundersøkelsen foregikk ved at Internrevisor la ut informasjon på hjemmesiden til selskapene. Det ble opplyst at de ansatte om kort tid ville motta en forespørsel om å delta i spørreundersøkelsen. Hver enkelt mottok deretter en e-post fra Internrevisor med link til spørreundersøkelsen hos Ernst & Young. De ansatte visste dermed at det var en autorisert undersøkelse de deltok i og man trengte heller ikke oppgi e-postadressen til hver enkelt ansatt. De fikk en uke på seg til å svare. Vår erfaring tilsier at hvis ikke ansatte svarer på slike undersøkelser ganske raskt etter at de mottatt dem, går hele undersøkelsen i ”glemmeboken”. Det ble derfor gjennomførte Internrevisor en purrerunde etter en uke før undersøkelsen ble stengt etter ca 14 dager. 32 SIRK nr 2. 2012 5. Rapportering Som tidligere omtalt øker mulighetene for treffsikker måling og rapportering ved å skille respondentene med hensyn til eksempelvis avdelingstilhørighet, kjønn og alder. Utarbeidelse av én rapport på selskapsnivå, for så å bryte denne ned avdelingsvis, ga i OBVPS et godt grunnlag for å iverksette målrettede og effektive tiltak. Det har vært viktig å vurdere hensiktsmessighet og anonymitet i oppsplittingen vi valgte for konsernet. Små avdelinger kan gi et feilaktig bilde av resultatene ettersom hver ansatts svar har langt større vekting enn for en stor avdeling. Lav svarprosent kan gi samme skjeve bilde. Kanskje er det kun de som har tid til å besvare som har gjort det, eller de som er spesielt engasjert eller opprørt over noe? I slike tilfeller har vi slått flere små avdelinger sammen for å få et mer representativt utvalg. Etter at resultatene har blitt analysert har Internrevisor involvert relevante nøkkelpersoner og ledere for å diskutere resultatene samt identifisere aktuelle tiltak. Generelt er det hensiktsmessig å integrere tiltakene i en konkret handlingsplan eller selskapets årshjul, samt fordele ansvar og tidsfrister. Av og til kan det være hensiktsmessig å nedsette arbeidsgrupper basert på enkelte resultater, eksempelvis bekymringsfulle resultater på områder som mobbing og trakassering, eller manglende kjennskap til varslingskanal. OBVPS har benyttet seg av arbeidsgrupper for oppfølging av enkelte resultater. De ansatte har krav på å få vite hvilken informasjon undersøkelsen ga, men hvordan resultatene kommuniseres bør være gjennomtenkt. Tiltakene bør være identifisert og avklart når resultatene presenteres for de ansatte slik at respondentene tas på alvor. Sist, men ikke minst, er det viktig å evaluere gjennomføringen av undersøkelsen slik at man kan gjøre justeringer til neste gang. Hos OBVPS har vi blant annet diskutert: • Hvorvidt vi oppnådde ønsket svarprosent. • Om noen avdelinger eller selskap var under- eller overrepresentert i svarprosent, og hva forklaringen kunne være på dette. • Resultater og tilbakemeldinger som indikerte at de ansatte ikke hadde en omforent forståelse av spørsmålet. • Hvordan rapporteringen av undersøkelsen ble mottatt. • Hvorvidt tidligere implementerte tiltak så ut til å gi resultater eller om justeringer eller en helt ny tankegang var påkrevet. Ulike svar og reaksjoner kan skyldes at de ansatte ser ulike sider av organisasjonen, men også at de har ulike referansepunkter og standarder. Dette er spesielt aktuelt i et konsern som OBVPS. Kontinuerlig arbeid med felles begreper og kultur sikrer en mer omforent oppfatning av hva som skal være standarden. Repeterende undersøkelser indikerer om vi er på rett vei. Ø v ri g s t o f f Nettverk risikostyring 19. juni 2012 formaliserte NIRFs generalforsamling opprettelsen av et nytt nettverk for risikostyring. Dette utfyller NIRF-nettverkene som allerede er opprettet på andre fagområder, herunder finans, statlig sektor, misligheter og ledere (ansatte internrevisjonsledere og revisjonsledere i finans). Allerede i april ble det første møtet med tema ”Risikokultur” avholdt, dette ble en formidabel suksess med stort oppmøte og god tilbakemelding. Temaet som beskrives nedenfor, ”Risiko – fra budskap til erkjennelse”, er det andre møtet i nettverkets historie. Nettverk risikostyring administreres av NIRF og koordineres av et bredt sammensatt arbeidsutvalg som består av NIRF medlemmer fra offentlig og privat sektor. Disse tillitsvalgte, som ble formelt valgt på NIRFs generalforsamling for perioden 2012-2014, er: • • • • • • Erik Wisløff (leder) – Telenor Rune Johannessen - Nordea Unni Kristine Rognlien – Helsedirektoratet Inger Wraamann – konsulentselskapet A-2 Kari Øvsthus – Sparebanken Vest Rune Waage - BDO Nettverket, som er åpent for alle, har som formål å øke deltakernes kompetanse gjennom å dele kunnskap og erfaring knyttet til risikostyring, både til bruk i virksomheter og i internrevisjon. Målsettingen er at nettverket skal bli en møteplass for alle som arbeider med eller har interesse av fagområdet. Det er ønskelig at nettverkets medlemmer vil være pådrivere og bidragsytere til NIRFs seminarer og kurs, og planen er å gjennomføre 1-2 medlemsmøter i semesteret. Det er også etablert en rekke andre risikomiljøer i Norge og det tas sikte på å kontakte noen av disse for å undersøke muligheten for å samordne satsingen og kunne tilby aktiviteter på tvers av medlemsmassen. Ved oppstart av nettverket ble det sendt ut en spørreundersøkelse (Questback) til foreningens medlemmer for å klargjøre hvilke temaer som deltakerne ønsket fordypning i. Hele 346 svar ble mottatt, dette betyr at det er stor interesse og entusiasme for nettverket. Når det gjelder fokus ble det utrykt interesse for de fleste risikotyper, men strategisk, finansiell, misligheter, anskaffelser/ outsourcing, IKT og prosjektrisiko ble fremhevet som særskilt interesante. Når det gjelder kommunikasjonsform ble forelesninger/kurs fremhevet, tett etterfulgt av praktisk orienterte innlegg fra virksomheter og diskusjoner/rundbordsmøter. Når det gjelder bruk i virksomheter var det ønskelig at det fokuseres både på risikoanalyse som verktøy og risikostyring for måloppnåelse, mens det for internrevisjon ble ønsket fokus på internrevisors bruk av risikostyring i årsplanlegging/ oppfølgning så vel som revisjon av risikostyring i virksom- heten. Det ble også mottatt en rekke nyttige kommentarer og gode råd til det videre arbeidet. Det tas i første omgang sikte på å kommunisere aktiviteten i nettverket gjennom nyhetsbrev, artikler, samt informasjon på NIRFs nettsider. Det vil etterhvert bli opprettet en mailingliste over nettverkets medlemmer. SIRK nr 2. 2012 33 Ø v ri g s t o f f «Risiko – fra budskap til erkjennelse. Hva kjennetegner virksomheter som har en god erkjennelse av risiko og risikostyring?» Referat fra halvdagsseminar i regi av Nettverk risikostyring Av arbeidsutvalget i Nettverk risikostyring v/Kari Øvsthus, senior risikoanalytiker i Sparebanken Vest og Rune Waage, partner i BDO Risk Advisory Services Om foredragsholderne/ paneldeltakerne: Bård Olesen er divisjonsdirektør i Administrasjonsdivisjonen i Helsedirektoratet, og innehar en sentral funksjon i Helsedirektoratets beredskaps- og krisearbeid. Helseog omsorgsdepartementet delegerer operativ ledelse av helseberedskapen til Helse-direktoratet. Jørgen Kosmo ble høsten 2005 utnevnt til riksrevisor. Han har siden 2006 vært leder for Riksrevisjonen. Kosmo var vararepresentant på Stortinget i perioden 1981 til 1985, før han ble fast representant. Kosmo var forsvarsminister i perioden 1993–1997, arbeids- og administrasjonminister i perioden 2000–2001 og stortingspresident i perioden 2001 til 2005. Alexandra Bech Gjørv er advokat og næringslivsleder. Hun ledet 22. juli-kommisjonen som utredet erfaringer fra terrorangrepet mot Regjeringskvartalet og Utøya. Rapporten fra 22. juli-kommisjonen, ble overlevert statsministeren 13. august 2012. Bech Gjørv er har vært ansatt i Norsk Hydro ASA og Statoil ASA, og har innehatt en rekke styreverv. Fra 2010 har Bech Gjørv vært partner i Advokatfirmaet Hjort. Underdirektør Dagfinn Buset leder seksjon for sikkerhetsvurdering i Nasjonal Sikkerhetsmyndighet (NSM). Han har ansvar for strategisk analyse av den nasjonale sikkerhetstilstanden og implementering av objektssikkerhets-regelverket (installasjoner, anlegg, bygninger med mer som er av strategisk betydning for samfunnet). 34 SIRK nr 2. 2012 Det var en entusiastisk president i NIRF, Martin Stevens, som ønsket velkommen til fagseminar i regi av det siste skuddet på stammen av nettverk under NIRF – Nettverk risikostyring. Han innledet med å si at risikostyring er et område hvor NIRF tar mål av seg til å være ledende nasjonalt, og at dette var en av årsakene til at nettverket ble etablert. Han viste videre til den nære sammenhengen mellom risikostyring og internrevisjon, samt at risikostyring er viktig for virksomheter, samfunn, liv og helse. Presidenten uttrykte også at han gledet seg til arrangementet, noe han ikke var alene om. En fullsatt sal – et resultat av rekordstor påmelding – bar bud om stor interesse for seminarets tema og foredragsholdere. «Risikovurderinger ved store og vanskelige beslutninger i Helsedirektoratets helseberedskaps- og krisearbeid» var overskriften på dagens første foredrag som ble holdt av Bård Olesen, divisjonsdirektør i Helsedirektoratet. Potensielle alvorlige hendelser stiller krav til samfunnssikkerhet og beredskap. Helsedirektoratet har vært involvert i mange av de store krisehendelsene som har berørt Norge i nyere tid, for eksempel flodbølgekatastrofen i 2004, svineinfluensaen i 2009/2010 og terrorangrepene i Oslo og på Utøya i 2011. Denne typen kriser gir øvelse i håndtering, og Helsedirektoratet har foretatt evalueringer i etterkant for å vurdere hva som gikk bra og hva som kunne vært gjort bedre, for deretter å jobbe målrettet med de tiltak som ble identifisert. Olesen valgte i sin fremstilling å skille mellom risikostyring på ”en vanlig dag” på den ene siden, og risikostyring ved kriser på den andre. Han poengterte at de to likevel henger sammen, ved at god kontroll på risiko på en vanlig dag fører til bedre beredskap når krisene kommer. Hvis du har god kontroll på risiko på en vanlig dag, er du bedre forberedt på overraskelsene. Ø v ri g s t o f f Som et verktøy for den løpende risikostyringen har direktoratet utviklet en måltavle etter modell av balansert målstyring. Informasjonen aggregeres opp for ulike nivå og dersom måltallene tilsier det, blir tiltak iverksatt. Systemet reflekterer hvor risikoen er størst, og gir lederne mulighet til å fokusere på det som er viktigst. Sentralt i Helsedirektoratets styring under kriser står en overordnet nasjonal helse- og sosialberedskapsplan. Behovet for en slik plan ble avdekket etter tsunamikatastrofen. Planen definerer blant annet ansvar og roller, og skal bidra til samordning av krisehåndteringen. Kriseplanen er, ifølge Olesen, et godt eksempel på læring etter håndtering av en katastrofe, noe direktoratet er svært opptatt av. Også etter terrorangrepene 22. juli har Helsedirektoratet gjennomført en evaluering for å identifisere hva som kan gjøres bedre, til tross for at helsevesenet fikk skryt i ettertid for hvordan det håndterte krisen. Et punkt som Olesen poengterte, er at mediebildet gjerne blir ubalansert i forbindelse med kriser, og at dette kan utfordre forestillingen om at man har kontroll på risikobildet. Helseberedskapsloven stiller krav om utforming av risiko- og sårbarhetsanalyser (ROS). I risikovurderingene er det ikke fokus på enkeltscenarioer, men på det å ha en robust krisehåndteringsorganisasjon som kan møte ulike typer av trusler, ettersom det, i følge Olesen, er krisens natur at den blir annerledes enn det som kan forutses. Det er krisens natur at den blir annerledes enn det som kan forutses. Når det gjelder terrorhandlingene 22. juli 2011, delte Olesen noen av sine personlige erfaringer med tilhørerne. Da han i all hast kom seg til arbeidsplassen sin etter å ha fått avbrutt ferien, var folk godt i gang med oppgavene sine. Helseog omsorgsdepartetmentet hadde mistet lokalene i bombeangrepet. Det fantes planer for reservelokaler, som man aldri hadde trodd man skulle få bruk for. HOD ble innlosjert hos Helsedirektoratet og var de første som fikk nye lokaler. Olesen uttrykte tilfredshet med at de hadde klart å løse situasjonen. ressursene uten god risikostyring. Viktigheten av at beslutningstakere har et godt beslutningsgrunnlag når de skal foreta valg, ble trukket frem. Dette er et sentralt element i risikostyringen. Olesen brukte en del tid på å snakke om betydningen av samarbeid, både i relasjon til hendelsene 22. juli og generelt. Samarbeid på tvers av ulike enheter kan være vanskelig, og han filosoferte litt rundt spørsmålet om vi som nasjon har en utfordring med dette. Han påpekte viktigheten av slikt samarbeid når det gjelder krisehåndtering. Kravene i samfunnet er store og hvis man skulle dekke alle behov som beskrives, ville statsbudsjettet blitt ”dobbelt så stort”. Prioritering må derfor til, og det må være balanse mellom det vi skaper og det vi bruker. Her har Finansdepartementet og Økonomireglementet viktige roller. Kosmo fremholdt at det er mulig å forene effektivitet og kontroll, og nevnte forenkling som et stikkord i denne forbindelse. Et annet viktig poeng som sto sentralt i foredraget, var at evaluering handler om å lære. Og at læring handler om å endre atferd. Dagens neste innleder, Jørgen Kosmo, Riksrevisor i Riksrevisjonen, hadde fått i oppdrag å snakke om «Hvordan Riksrevisjonens budskap innvirker på den offentlige sektors tilnærming til risiko». Kosmo tok utgangspunkt i innføringen av mål- og resultatstyring i offentlig sektor. Forvaltningen skulle styre prioriteringen og tildele midler i henhold til budsjett gjennom tildelingsbrev. Noen av utfordringene med mål- og resultatstyringen har vært tendenser til ”silotenkning”, og at målene blir stadig flere og at tildelingsbrevene blir mer ønskelister enn prioriteringer. Her har risikostyringen en viktig rolle. Risikostyring er å finne ut hva som er viktigst og styre ressursene dit hvor risikoen er størst, i stedet for å styre stykkevis og delt. Risikostyring er å finne ut hva som er viktigst og styre ressursene dit hvor risikoen er størst. Foredragsholderen fokuserte mye på lederansvaret i denne forbindelse. Lederne må sørge for at man jobber med de viktigste tingene, og ikke skyve ansvaret over på andre. Han mente at det er vanskelig for en leder å prioritere Riksrevisoren trakk også frem risikostyringens betydning i planleggingsprosesser. I et samfunn vil det alltid være ønsker om å bevege seg fremover, og Riksrevisjonen må være i samme bevegelse som resten av samfunnet. For å unngå feilinvesteringer, må vi se fremover, selv om det kan være vanskelig. Vi må ha et godt bilde av hvor vi skal, og hvilke risikoer som kan hindre oss i å komme dit. Dersom dette ikke er på plass, ligger det i lederansvaret å si fra om dette. Kosmo oppsummerte med å si at han ønsket å synliggjøre at risikostyring er et verktøy for effektiv drift og riktige prioriteringer, i en virksomhet som er i bevegelse. Risikostyring er et verktøy for effektiv drift og riktige prioriteringer, i en virksomhet som er i bevegelse. Hendelsene 22. juli 2011 satte sitt preg på seminaret. Dette ble, naturlig nok, spesielt tydelig under foredraget til Alexandra Bech Gjørv, leder for 22. juli-kommisjonen, som bar tittelen «Erkjennelse av risiko som grunnlag for god risikostyring – med bakgrunn i erfaring og arbeidet i 22. juli-kommisjonen». Som foredragsholderen selv uttrykte det, ”å bruke den vinden man har i seilet når noe har skjedd”. ☞ SIRK nr 2. 2012 35 Ø v ri g s t o f f Gjørv delte med tilhørerne de refleksjoner hun hadde gjort seg i forbindelse med at hun ble forespurt av statsministeren om å lede 22. juli-kommisjonen. Det første valget var om hun skulle ta på seg oppdraget overhodet og bli en del av den bredt sammensatte gruppen som ble oppnevnt. Deretter skulle det velges fremgangsmåte og metodikk for å løse oppdraget på best mulig måte. Når det gjaldt sistnevnte, gjorde kommisjonen seg nytte av rapportene som ble laget i USA etter 11. september, etter angrepene i London i 2005, etter BPs utslipp i Mexico-gulfen samt rapport fra undersøkelseskommisjonen av 1945! En beskrivelse av deler av 22. julihendelsene ble gitt, herunder gjennomføringen av politi- og redningsarbeidet i ulike faser. Fra rapportens hovedkonklusjoner fremhevet Gjørv en del punkter for læring som var spesielt relevante for seminarets tema: • • • • Metodikken omfattet blant annet befaringer og besøk, gjennomgang av dokumentasjon, innsamling av tekniske og andre data som foto, video, lydlogger og teledata, samt formelle forklaringer og andre samtaler. Her var det elementer i arbeidsmåter som kunne fremkalle en viss gjenkjennelse hos en internrevisor, selv om oppdraget det her var snakk om hadde et annet omfang og en annen alvorlighetsgrad enn det en internrevisor vanligvis kommer borti. Når det gjelder den mye omtalte saken om sikring av Regjeringskvartalet, kan en internrevisor også her nikke gjenkjennende, til noen av komponentene fra COSO-rammeverket. Risikovurdering, risikohåndtering og vurdering av kontrollaktiviteter var til stede ”etter boka”, men de viktige kontrollaktivitetene ble aldri gjennomført til tross for at kritisk risiko var identifisert og krevde tiltak. Foredragsholderen delte noen observasjoner angående hva som hadde forårsaket dette. Sikringssaken var blitt overført fra prosjekt hvor en hadde ”streng” metodikk for risikoanalyse, ansvar og tidsfrister for gjennomføring, til vanlig drift. Et sted på veien hadde risikoforståelsen forvitret. Det var aldri politisk uenighet, men ingen ”eide” prosjektet. Videre ble det unnlatt å føre tilsyn og kontroll. Et sted på veien hadde risikoforståelsen forvitret. Det var aldri politisk uenighet, men ingen ”eide” prosjektet. 36 SIRK nr 2. 2012 • å erkjenne risiko og ta lærdom av øvelser å gjennomføre det man har bestemt seg for, bruke planene som finnes koordinering og samhandling er viktig å utnytte potensialet som finnes i IKT-systemer betydningen av ledelsens evne og vilje til å klargjøre ansvar, etablere mål og treffe tiltak for å oppnå resultater Med innledernes foredrag som bakteppe, startet paneldebatten med tema «Hva kjennetegner virksomheter som har en god erkjennelse av risiko og risikostyring?». Bård Olesen og Alexandra Bech Gjørv utgjorde, sammen med Dagfinn Buset, deltakerne i debatten som ble ledet av Knut Grotli, viseadministrerende direktør og partner i BDO. Debatten var sentrert rundt tre tema, der det første var risikoforståelse og risikokultur. Spørsmålet om hva slags risikokultur vi har i Norge ble reist. I denne forbindelse ble det påpekt at en ikke nødvendigvis kan overføre risikovurderinger fra andre land direkte til Norge. Vurderingene må tilpasses situasjonen vi har i Norge. De land som har mest erfaring med krisehendelser, fremstår gjerne som bedre til å håndtere dem. Norge har så langt vært et fredelig hjørne, men når trusselnivået øker uten at tiltakene holder følge, får vi økt risiko som resultat. Når trusselnivået øker uten at tiltakene holder følge, får vi økt risiko som resultat. Et annet viktig tema som ble debattert var risikoappetitt. Her ble det trukket frem at det kan kreve politisk mot å kommunisere noe annet enn nulltoleranse. Risikotoleransen synes å bli stadig mindre, og dette gjør det vanskelig å ta prioriteringsdebatter, for eksempel knyttet til risiko i trafikken eller hvilken behandling som skal tilbys eldre pasienter. Men som det ble påpekt: den absolutte sikkerhet finnes ikke! Vi må kunne forholde oss til kalkulert risiko. Lederes ansvar i forhold til dette ble påpekt; ikke alle ledere med ansvar har erkjent at de ved ikke å gjøre noe faktisk har akseptert risiko. Ikke alle ledere med ansvar har erkjent at de ved ikke å gjøre noe faktisk har akseptert risiko. Debatten berørte den potensielle svakheten ved å vurdere risiko ut fra sannsynlighet og konsekvens, der risikoer med høy konsekvens kan bli nedprioritert hvis de har lav sannsynlighet. En alternativ tilnærming hvor det blir lagt større vekt på identifisering av verdier og vurdering av sårbarhet og truslene mot disse ble nevnt av Dagfinn Buset fra NSM. Passende nok var dagens siste tema ”veien videre”. Noen av synspunktene som kom frem her kunne tyde på en viss pessimisme med hensyn til fremtiden, mens andre ga et mer optimistisk inntrykk. Det synes klart at trusselbildet har blitt mer alvorlig, og at mer avansert teknologi er tilgjengelig også for dem som truer sikkerheten. Spørsmålet er om vi klarer å holde tritt med utviklingen og beskytte våre verdier. Eksplisitte anbefalinger er gitt i rapporten fra 22. juli-kommisjonen, som vil kunne utvikle læringskulturen i etatene. Justisdepartementet har gitt kort høringsfrist på rapporten – det er et signal om at det haster! Det var enighet om at det er viktig at kritikerne sier fra ”høyt og tydelig”, at en er fremadskuende, og at det settes fokus på tiltak og forbedring. Hvis dette kommer på plass, kan vi tillate oss en forsiktig optimisme for fremtiden. Ø v ri g s t o f f Prosjektrevisjon – Hvordan kan prosjektrevisjon øke mulighetene for at prosjektet lykkes i å nå sine målsettinger? Arve Rafteseth, partner, Deloitte Janne Britt Saltkjel, senior manager, Deloitte Prosjekter er ofte forbundet med nybrottsarbeid, utvikling, endring og ny læring, og krever således spesielle ferdigheter eller kompetanse. I motsetning til løpende kjerneprosesser, som utvikles og forbedres over tid, skal prosjekter lykkes «på første forsøk». Dette medfører en betydelig risiko; undersøkelser viser at over 2/3 av større prosjekter ikke lykkes i å nå målsettinger eller møte forventninger. Hvordan kan revisjon av prosjektet bidra til vellykkede prosjekter? «Prosjekt» er et svært vidt begrep, men betegner typisk midlertidige, planmessige aktiviteter for å gjennomføre en vurdering eller endring, med klare målsettinger, tidsplaner og organisering. De fleste virksomheter har flere prosjekter gående på samme tid. Risikoen korrelerer med prosjektets størrelse og kompleksitet, og kan også få negative konsekvenser for interessenter, områder og målkategorier utenfor prosjektet. Mislykkede prosjekter og dårlig styrte prosjektporteføljer, kan således koste virksomheten dyrt, i form av feilslått ressursbruk, ineffektivitet, dårlig kvalitet i leveranser til kundene, stress og friksjon mellom medarbeidere samt tap av renommé. Ut i fra et risikoståsted bør derfor prosjektrevisjon inngå i internrevisjonens årsplan og utføres i tråd med IIAs standarder for internrevisjon. Risikoer i prosjekter og hvordan revidere dem Selv om prosjekter kan være av svært forskjellig karakter og størrelse, er det noen grunnleggende elementer ved prosjektstyringen som er felles for alle. Disse kan danne et utgangspunkt for risikovurdering og definisjon av revisjonskriterier. • • • 1. Overordnet organisering og prosjektstyringsstruktur En effektiv prosjektstyringsstruktur er ryggraden i et vellykket prosjekt. Fundamentalt for god prosjektstyring er prosjektets mandat – en realistisk tidsplan med hensiktsmessig detaljnivå, samt klar organisering med prosjektleder, eventuelle delprosjektledere, deltakere, styringsgruppe og ev. spesialistgruppe og referansegruppe. Etter vår erfaring er de vanligste prosjektstyringsrisikoene: • Utilfredsstillende definisjon av prosjektets formål/scope, krav og forventninger, som kan medføre at prosjektet ikke klarer å realisere ønskede resultater og mål. • Utilstrekkelig kommunikasjon med interessenter, som kan føre til manglende engasjement, og påvirke prosjektleveransen negativt. Utilstrekkelig definisjon av tidsramme, ressursbehov og avhengigheter, som kan resultere i forsinkelser og budsjettoverskridelser. Svak styring av tredjeparter og underleverandører og uklar definisjon av roller og ansvar, som kan føre til tvister, uenigheter og forsinkelser. Manglende kontroll på endringer i rammebetingelser og forretningsmessig utvikling, som kan føre til at prosjektet eller programmet leverer en utdatert løsning. For å avdekke svakheter eller bekrefte styrker i prosjektstyringen, kan en egnet tilnærming være å gjennomgå prosjektets - formål - tidsramme og tidsplan - kostnadsestimat - ressurstilgang - kommunikasjon - anskaffelser - metode for styring av risikoer - metode for kvalitetssikring Både risikobildet og andre forhold ved virksomheten eller rammebetingelsene som kan påvirke prosjektets risikoer, bør vurderes kontinuerlig gjennom hele prosjektsyklusen. Dette kan dreie seg om f.eks. viktig prosjektstøtte, samarbeid med eller hensyn til interessenter, tilpasning til den øvrige prosjektporteføljen, samt virksomhetens forretningsrisiko og bedriftskultur. En tidlig gjennomgang av styringsstrukturen kan gi klare indikatorer på potensiell prosjektrisiko. ☞ SIRK nr 2. 2012 37 Ø v ri g s t o f f 2. Økonomi: Kostnadskontroll og fremdrift Økonomisk styring er kritisk for mange prosjekter. Et svakt definert business case og urealistisk estimering av kostnader og gevinster kan ødelegge for et prosjekt fra starten, mens svak budsjettkontroll kan føre til galopperende kostnader gjennom prosjektets levetid. Revisjon av de økonomiske styringsparameterne kan identifisere forhold som potensielt kan ødelegge et prosjekt. Vanlige prosjektstyringsrisikoer er etter vår erfaring: • Dårlig definerte business cases med ufullstendige eller urealistiske kostnader og verdivurderinger, som fører til uriktige investeringsbeslutninger av ledelsen. • Uklar eller unøyaktig kalkulering av gevinster, som fører til suboptimale investeringer og et prosjekt som verken vil nå sine mål eller få anerkjennelse for oppnådde resultater. • Begrenset forståelse for prosjektets helhetlige, finansielle risiko, og/eller de ulike tilnærmingene til styring av disse, som igjen kan føre til mangelfullt beslutningsgrunnlag, misforstått risikotoleranse, feildimensjonerte avsetninger og uventede kostnader. • Dårlig budsjettstyring og svak kobling til ressursstyring og endringsledelse, som fører til galopperende kostnader og store overskridelser. For å fange opp risikoene og forbedre økonomisk styring, kan prosjektrevisjonen: • Vurdere om business case har realistiske og fullstendige kostnadsog verdivurderinger, og hvorvidt erklærte gevinster er oppnåelige. • Vurdere prosjektets eksisterende prosesser og kontroller for økonomisk styring, og gi pragmatiske anbefalinger for hvordan styrke kostnadskontroll, transparens og sammenheng med andre disipliner i prosjektstyringsstrukturen. • Analysere prosjektets budsjett og resultat, for å vurdere hvordan man ligger an i målsetting eventuelt identifisere forhold som bør håndteres • Bruke kvantitative analyser til å estimere prosjektets finansielle eksponering og gevinstene ved risikoreduserende tiltak, for å sikre at viktige interessenter har pålitelig informasjon om potensielle kostnader. 38 SIRK nr 2. 2012 3. Testing/feilsøking/kvalitetssikring Testing er en kritisk fase for mange prosjekter; dette kan gjelde software og IT-systemer, så vel som prosesser og verktøy. Utilstrekkelig testing kan medføre vesentlige feil i ferdig utviklet produkt eller tjeneste, uhensiktsmessige og ineffektive prosesser eller verktøy som ikke lar seg implementere. Resultatet er prosjekter som ikke oppfyller sitt mandat og heller fører til slitasje på organisasjonen. Gjennomgang av de kritiske testfasene i god tid kan identifisere mulige problemer før det er for sent og bidra til å sikre at prosjektet skaper verdi. Etter vår erfaring er de mest vanlige prosjektstyringsrisikoene at: • Brukere blir for lite eller for sent involvert i testprosessene, som kan føre til at systemet ikke møter brukernes behov. • Testfasene er komprimert, kombinert eller overlappende med utvikling eller utrulling. • Ikke-spesialisert personell styrer testingen og gjennomfører uformelle testprosesser. Dette kan resultere i at systemet tas i bruk med vesentlige svakheter. • Testdata er utilstrekkelig, og kvaliteten i selve testingen blir for dårlig, slik at systemet settes i drift med signifikante svakheter. Alle de ovennevnte prosjektstyringsrisikoene kan resultere i at systemer settes i drift med betydelige svakheter. En prosjektrevisjon bør ta utgangspunkt i anerkjente metoder og rammeverk for testing, planlegging, gjennomføring, implementering, rapportering og oppfølging. Denne metodikken kan anvendes helt eller delvis, avhengig av prosjektets karakter og prosjektrevisjonens formål. 4. Prosesser Prosjekter kan medføre store endringer i en virksomhets prosesser, enten midlertidig, i overgangsfaser, eller mer permanent som et direkte resultat av effektiviseringsprosjekter. Ved å revidere prosessene kan utfordringer eller kontrollsvakheter identifiseres og rettes opp før prosessene rulles ut. Etter vår erfaring, er typiske risikoer i forbindelse med utforming og implementering av nye forretningsprosesser at: • • • • Midlertidige og/eller manuelle tilpasninger og løsninger, ment for overgangsfaser, blir værende tross manglende egnethet og kontroll. Mangel på hensyn til oppstrømseller nedstrømsprosesser, kan føre til problemer eller sammenbrudd i prosessflyten. Mangel på hensyn til konsekvensene for nye prosesser og kontrollrammeverket, kan føre til brudd på lover og regler, samt økt risiko for misligheter. Mangel på ledelsens forståelse av støtte til transformasjonsprosjekter, kan føre til at eventuell motstand mot endring ikke håndteres på en konstruktiv måte. En prosjektrevisjon kan f.eks. innebære: • Vurdering av hvorvidt forslag til nye eller endrede prosesser er egnet for formålet. Vurderingen kan også ha spesielle fokus, f.eks. om prosessens utforming bidrar til å sikre etterlevelse av regulatoriske krav. • Gjennomgang av kommende eller gjeldende overgangsfaser for å identifisere mulige svakheter og pragmatiske løsninger. • Bekreftelse på at prosessendringene er forankret i virksomhetens strategiske mål og bidrar til at disse nås. 5. Implementering/operasjonalisering/ lansering Endringer har en iboende risiko for å feile, og konsekvensene av at det går galt øker i takt med størrelsen på prosjektet og kompleksiteten i å iverksette det (“Go Live”). En gjennomgang før iverksetting kan gi bekreftelse og således trygghet for at overgangen/cutover er tilfredsstillende planlagt, og identifisere risikoer som kan true en vellykket implementering. Det er en rekke kritiske risikoer i lanseringsfasen: • Utilstrekkelig eller mangelfull testing av en tilbaketrekningsstrategi, i tilfelle det blir nødvendig, kan føre til at forretningskritiske prosesser bryter sammen, med direkte konsekvenser for kunder, brukere, ansatte eller andre interessenter. • Mangel på koordinering av testing i forretningsprosessene kan resultere i følgefeil forårsaket av avhengigheter mellom teknologi, personer og prosesser, som gjør at forretningsprosessene risikerer å bryte sammen ved lansering. Ø v ri g s t o f f • • Utilstrekkelig testing eller generalprøve (dry run) ved datamigrasjon/overføring kan påvirke datakvalitet og -integritet, med konsekvenser for forretningskritiske prosesser, samt inntekter og resultater. Mangel på komplette overgangsplaner fra prosjekt til støtteaktiviteter for vanlig drift, er forbundet med risiko for brist i prosessene etter lansering selv om lanseringen i seg selv var vellykket. Bekreftelse på at klargjørings- og overgangsplaner (operational readiness plan) er robuste før lansering og cutoff reduserer risikoen betydelig. Det kan f.eks. være aktuelt å innhente teknisk bistand etter behov for å oppnå en slik bekreftelse. Ut i fra denne fasens kritiske betydning, vil vi anbefale en koordinert tilnærming ved revisjon av denne. Fokusområder kan være gjennomgang og evaluering av: • Prosedyrer for tilbaketrekning og krisehåndtering ved feilet lansering. • Styring av cutover-prosessene, inkludert egnetheten ved MI, kommunikasjonsstrategien og beslutningsprosessen for lansering. • Egnetheten i prosjektets metode for klargjøring, datamigrasjon og lansering. • Opplegg for ledelse og opplæring av medarbeidere gjennom overgangsfasen. Gitt viktigheten av “Dag 1”, kan det være aktuelt å søke sterkere bekreftelse enn vanlig, som å: • Foreta sanntidsøvelser av forretningsprosesser i et «offline»-modus, for å sikre at virksomheten er klar. • Simulere realistiske scenarier med flere hendelser som inntreffer samtidig, inkludert sjokktest (uforutsigbare risikoer uten kriseplaner). til menneskelige faktorer, i store prosjekter kan være: • Ineffektiv kommunikasjonsstrategi som verken engasjerer eller mobiliserer de ansatte. Dette kan føre til demotiverte og utrygge ansatte. • At ulikheter i arbeidskulturer eller arbeidsformer når enheter eller organisasjoner blir slått sammen ikke blir vurdert, hensyntatt eller tilfredsstillende håndtert. Dette kan medføre vedvarende «de og oss» holdninger og konflikter mellom to leire • Mangel på strukturert kartlegging av kompetanse- og kapasitetskrav for nye enheter eller miljøer, som kan føre til at ledelsen undervurderer ressurs- og innsatsbehovet for opplæring og tilpasning til nye forhold. • Manglende hensyn til lover og forskrifter, som kan føre til brudd på f.eks. arbeidsmiljøloven, med fare for rettslige konsekvenser og skade på omdømme. Der gjennomføring av et prosjekt avhenger av aksept og involvering av medarbeidere, bør revisjonen fokusere på prosjektets endringsledelse, og revisjonsteamet anbefales å fokusere på kritiske konsekvenser for ansatte, brukere og kunder. 7. Datamigrasjon Datamigrasjon er ofte en kritisk del av et prosjekt; spesielt ved systemimplementeringer. En omfattende evaluering av denne fasen kan avdekke kritiske forhold før en migrasjon, og bidra til at man unngår krevende og kostbart arbeid med å gjenopprette eller korrigere ubrukelige eller ufullstendige data. De vanligste risikoene etter vår erfaring, er: • • • • En teknisk drevet tilnærming som ikke i tilstrekkelig grad hensyntar forretningsprosessenes behov og krav til kvaliteten i dataene som migreres. Dette kan gjøre dataene ubrukelige for virksomheten. Manglende vasking av data før migrasjon, som kan ramme datakvaliteten. Tidspress ødelegger muligheten for å kjøre full migrasjonstesting i forkant, og kan føre til mislykket migrasjon. Rutiner for avstemming og kvalitetssikring er mangelfulle, og fører til dårlig datakvalitet. Datamigrasjon er et delprosjekt, og når det skal revideres kan revisjonsteamet ta utgangspunkt i datamigrasjonsstrategi, og planlegging, metoder og ressurser for risikokartlegging. Det vil også være naturlig å gjennomgå virksomhetens klargjøring for lansering/cutover. Eksempel En prosjektrevisjon kan vektlegge alle eller noen av ovenstående punkter, avhengig av hvilke risikoer som anses som mest vesentlig og hvor i syklusen prosjektet er. En anerkjent tilnærming er å speile prosjektets egen struktur. Dette gir gjennomganger tilpasset prosjektets egen livssyklus, raskt fokus på de enkelte nøkkelområdene og fordypning i underliggende risikoer. Figuren under viser hvor det kan være aktuelt å undersøke og teste de ulike elementene. ☞ Prosjektrevisjon 6. Menneskelige faktorer – ansatte, brukere eller kunder Prosjekter kan ofte ha stor betydning for vanlig drift og stab, men påfølgende endringer og reaksjoner blir ofte ignorert. Negative reaksjoner til et prosjekt kan påvirke prosjektets muligheter for å lykkes, men en tidlig plan for endringsledelse kan avdekke risikoer før det er for sent. Vanlige risikoer, knyttet SIRK nr 2. 2012 39 Ø v ri g s t o f f Suksessfaktorer for hensiktsmessig og effektiv prosjektrevisjon Til forskjell fra revisjon av vanlige driftsprosesser, er tidsbruk helt kritisk for prosjektrevisjon. Risikobildet endrer seg med prosjektets fremdrift, og en standard rapporteringssyklus kan fort gi utdaterte observasjoner og anbefalinger, som da ikke kommer til nytte. Det har ofte vært en utfordring for internrevisjoner å balansere kravet til hurtighet mot kravet til grundighet og etterlevelse av standardene. Enda vanskeligere blir det når prosjektrevisjon misoppfattes, og gjennomføres over samme lest som internrevisjon av vanlige driftsprosesser. Internrevisorer har lang erfaring med standard internrevisjoner og metodikk tilpasset slike, men gjerne liten erfaring med prosjekter og ingen metodikk tilpasset prosjektrevisjoner. For å takle disse utfordringene og håndtere prosjektrisikoer, må internrevisjonen vektlegge: • Kompetansesammensetning • Hurtighet • Fleksibilitet For tilfredsstillende prosjektrevisjon bør internrevisjonen vurdere behovet for spisskompetanse i det enkelte prosjekt i henhold til IIAs STD 1210. Generelt bør prosjektrevisjonsteamet ha: • Erfaring med prosjekt- og/eller programledelse (gjerne erfaring med standard prosjektmetodikk som Prince 2, PMI og PMBok) • Kompetanse på risikostyring og internkontroll • Bransjeerfaring er en fordel • Gode kommunikasjonsferdigheter • Evne til holistisk tilnærming En teamsammensetning som inneholder både medlemmer med tung og relevant prosjektledererfaring og medlemmer med kompetanse på risiko, kontroll og internrevisjon, gir det beste utgangspunktet for en nyttig prosjektrevisjon. Som nevnt kan det også være aktuelt å benytte spisskompetanse innen spesielle områder, f.eks. teknisk ekspertise ved evaluering av plan for datamigrasjon, eksperter på endringsledelse ved implementering og involvering av ansatte mv. Mangel på prosjekterfaring i internrevisjonen kan kompenseres ved innleie av ekstern ekspertise, opplæring eller mobilisering av eksperter fra andre deler av organisasjonen, som ikke selv er delaktig i prosjektet som revideres. Hurtighet og fleksibilitet kan innarbeides i prosjektrevisjonsspesifikk metodikk. Eksempelvis bør rapporteringen tilpasses prosjektets syklus for å sikre at observasjoner og forbedringsforslag raskt kommuniseres til interessenter, og før nøkkelbeslutninger treffes. Forkortede rapporteringslinjer, f.eks. ved direkte dialog med prosjektleder istedenfor via linjeleder, der fokuset holdes på svakheter og pragmatiske anbefalinger, kan bidra til endring før kritiske beslutninger er truffet og prosjektets leveranse er rammet. God prosjektrevisjon kan således spare virksomheten for store tap. Innføring i internrevisjon På denne dagen vil du få en innføring i internrevisors roller og ansvar, begrepsavklaringer og definisjoner, samt hvilke etiske regler og hvilke krav som ligger i internrevisjonens standarder. Formål med kurset: Vedlikeholdspoeng (CPE): Gi deltagerne de nødvendige grunnkunnskaper i internrevisjon gjennom introduksjon til internrevisjonens rammeverk, spesielt rettet mot de obligatoriske delene. Innholdet i kurset er nødvendig basiskunnskaper for øvrige kurs. Gjennomføring av kurset gir 8 CPE-poeng for CIA, CCSA, CGAP, CFSA, CRMA og Diplomert Intern Revisor. Kurset dekker følgende: - Internrevisjon – roller og ansvar, definisjoner og avgrensninger, eksempler - Governance: Hva ligger i begrepet og hvorfor er dette relevant for oss - Internkontroll - Risikostyring - De etiske reglene - De faglige standardene - Veien videre; utdanning, diplomering og sertifisering Hvem kurset er beregnet på: Nyutdannede, personer som er nye i internrevisjonen, internrevisorer som ønsker oppfriskning av basiskunnskaper, ansatte i stabsfunksjoner eller andre som ønsker mer informasjon om hvilken nytteverdi internrevisjonen kan bidra med. Krav til forkunnskaper: Ingen. 40 SIRK nr 2. 2012 Pris: Medlemmer kr 3 500 Ikke-medlemmer kr 3 800 Tid: 6. februar 2013, 09.00 – 17.00 Sted: Bjørvika Konferansesenter, Oslo Forelesere: Ellen Brataas (CIA, CRMA, CISA), generalsekretær i NIRF Karl-Ludvig Mauland (siviløkonom), direktør BDO Påmelding: www.iia.no eller telefon 932 37 912 Intervjuteknikk www.iia.no Hvordan få de beskjedne til å snakke? Hvordan få menn med makt til å svare ærlig? Hvordan få svar med innhold som kan brukes? Dette og mer får du svar på i kurset INTERVJUTEKNIKK som gjennom en kombinasjon av teori, eksempler, analyser og flere praktiske øvelser fra deltakernes virkelighet skal bevisstgjøre intervjuere. Kurset holdes av den erfarne kompetansesjefen og programutvikleren i NRK, Brynjulf Handgaard. Formål med kurset: Forberedelser: Målet er enkelt sagt å vise hvordan man kan bli bedre til å intervjue mennesker. Gjennom kurset får deltakerne en forståelse for hva som skal til for å beherske intervjusituasjonen, forberede og ta kontroll over intervjuet og på den måten tilegne seg relevant viten på en effektiv og formålstjenlig måte i en revisjon. Det finnes ingen fasit på hvordan man gjennomfører et godt intervju, men kurset gir deltakerne innsikt i en utprøvd metodikk og hvordan den kan anvendes i praksis. Kurset tar for seg intervjuet som sjanger, hvordan en stiller de gode enkeltspørsmålene, hvordan en hindrer avsporinger eller ufrivillige sporskifter og hvordan en bestemmer mål og strategi for intervjuet. For at kurset skal oppleves som praktisk og reelt vil casene være basert på deltakernes anonymiserte eksempler og opplevde situasjoner. Kontroversielle enkeltspørsmål som opptar deltakerne for tiden, temaer som alle har et forhold til vil også være utgangspunkt for øvelser. Kurset dekker: Gjennomføring av kurset gir 14 CPE-poeng for CIA, CCSA, CGAP, CFSA og Diplomert Intern Revisor. Intervjuet er et håndverk som kan læres. Ved å tilegne seg den metodikken og de verktøyene som blir presentert, har de fleste gode muligheter til å bli mer bevisste intervjuere, Hvis metoden og rådene systematisk følges opp i praksis, er det også store muligheter for at kursdeltakerne blir bedre intervjuere. Hvem kurset egner seg for: Alle som til tider befinner seg i en intervjusituasjon. Krav til forkunnskaper: Ingen, men det er en fordel å ha vært igjennom intervjusituasjon tidligere. Vedlikeholdspoeng: Pris: Medlemmer: kr 6 900 Ikke-medlemmer: kr. 7 500 Tid: 3. og 4. april 2013, 09.00 – 16.00 begge dager Sted: Bjørvika Konferansesenter, Oslo Dag 1: Intervjuet som arbeidsverktøy Aktører, ressurser, ferdigheter og faser Enkeltspørsmålene - feiltrinn du bør unngå - fem sikre steg i dansen Dag 2: Foreleser: Brynjulf Handgaard, kompetansesjef og programutvikler i NRK Påmelding: www.iia.no eller telefon 932 37 912 Strategi Lytting, fokusering og oppfølging Målformuleringer og planlegging SIRK nr 2. 2012 41 Ø v ri g s t o f f Internrevisjon av utkontrakterte sentrale prosesser – Med utgangspunkt i eksempel fra forsikringsbransjen Av Olesya Makarova, Kristian Dekke Loeberg og Eivind Skaug, Deloitte Makarova Dekke Loeberg Skaug RISIKOSTYRING OG INTERNKONTROLL VED UTKONTRAKTERING AV DELER AV VIRKSOMHET Styret og daglig leder i forsikringsselskap har ansvar for å etablere god risikostyring og internkontroll i foretaket i følge aksjeloven/allmennaksjeloven og Forskrift om risikostyring og internkontroll. Jamfør § 5 av forskriften gjelder ansvaret også der deler av virksomheten er utkontraktert. Utkontraktering av deler av en virksomhet fratar derfor ikke styret og daglig leder for ansvaret med å påse at internkontroll knyttet til de utkontrakterte prosessene er hensiktsmessig og fungerer måleffektivt. Det er flere fordeler med utkontraktering, for eksempel gir det en god arbeidsdeling og uavhengighet mellom funksjoner samtidig som man får tilgang til spesialkompetanse. Videre reduserer utkontraktering risikoen på noen områder. Men utkontraktering gir også noen nye operasjonelle risikoer. Det er blant annet risiko for uklare ansvarsgrenser og man blir direkte eksponert for kvaliteten i den interne styring og kontroll hos serviceorganisasjonen. Eksempler på funksjoner som er vanlig å utkontraktere i forsikringsselskaper og pensjonsforetak er salgsavdeling, saksbehandlingsavdeling, administrasjon av pensjons inn- og utbetalinger, kapitalforvaltning, aktuartjenester, regnskapstjenester, drift og vedlikehold av IT systemer. 1 2 42 Utkontraktering innebærer å overføre deler av eller hele prosesser til en serviceorganisasjon. Dette får konsekvenser for risikostyring og kontroll hos selskapet og denne artikkelen tar for seg problemstillinger som internrevisor må forholde seg til dersom et forsikringsselskap har utkontraktert deler av sine prosesser til serviceorganisasjoner. Problemstillinger og eksempler som presenteres i denne artikkelen vil derfor primært være relatert til forsikringsbransjen, men problemstillingene som belyses har også overføringsverdi til andre bransjer. Ved beslutning om utkontraktering, har ledelsen i forsikringsforetaket ansvaret for utkontrakteringsprosessen. De vurderinger som må gjøres kan oppsummeres i følgende figur: Serviceorganisasjon Risiko Ledelsen bør ha identifisert hvilke risikoer som overføres til serviceorganisasjonen. Disse risikoene er ofte de samme risikoene som ville vært tilstede dersom prosessen var utført av selskapet selv. Ledelsen bør identifisere hvilke nye risikoer selskapet blir eksponert for ved å utkontraktere en funksjon eller prosess. Tiltak Det bør fremgå av avtalen mellom forsikringsselskapet og serviceorganisasjonen hvordan overførte risikoer skal håndteres. De kontrollene som identifiseres som viktige for å sikre en korrekt leveranse er det naturlig at også forankres i avtalen. Det bør implementeres rutiner og kontroller hos forsikringsselskapet for å håndtere risikoene ved utkontraktering. Ledelsen må videre sørge for at det i avtaleverket fremgår at forsikringsselskapet skal motta rapportering som viser at implementerte kontroller er etterlevd. Når et forsikringsselskap har utkontraktert deler av sine prosesser til en eller flere serviceorganisasjoner har dette også innvirkning på internrevisjon og kan reise en rekke problemstillinger og praktiske utfordringer for revisor. Serviceorganisasjonen som forsikringsselskaper utkontrakterer deler av sin ISAE - International Standard on Assurance Engagements SSAE - Statements on Standards for Attestation Engagements SIRK nr 2. 2012 virksomhet til, kan velge å utarbeide revisorbekreftede internkontrollrapporter av type ISAE1 3402 «Attestasjonsuttalelser om kontroller hos en serviceorganisasjon» eller SSAE2 16 «Reporting on controls at a serviceorganization». Forsikringsselskap Det bør videre implementeres oppfølgingsprosedyrer og kontroller av serviceorganisasjonens leveranse hos forsikringsselskapet for å kontrollere at denne er i henhold til avtalen. Omfang og angrepsvinkel i internrevisjon av prosesser som er utkontraktert vil variere avhengig av om serviceorganisasjon har utarbeidet ISAE 3402 / SSAE 16 rapportering eller ikke. Også forsikringsselskapets oppfølgingsprosedyrer vil avhenge av hvorvidt en slik rapport foreligger eller ikke. Ø v ri g s t o f f KVALITETEN PÅ UTKONTRAKTERINGSPROSESSER - hva internrevisjonen bør ha fokus på God praksis for virksomhetsstyring og internkontroll tilsier at det skal utarbeides en egen policy for utkontraktering. En slik policy dekker blant annet: • Innholdet i de ulike delprosessene i en utkontraktering, • Prosedyrer for risikoanalyse før utkontrakteringen gjøres samt løpende risikoanalyse, • Prosedyrer for due dilligence (kvalitetskontroll), • Innholdet i avtalen med serviceorganisasjonen, • Hvordan implementeringen, oppfølgingen og styringen av utkontrakteringen skal gjennomføres Internrevisor bør påse at risikoanalyse og oppfølgingsprosedyrer er gjennomført, samt vurdere om risikoanalyser og oppfølgingsprosedyrer er tilstrekkelige, hensiktsmessige og måleffektive. Internrevisors oppgaver vil være å påse at en slik policy foreligger, samt å vurdere kvaliteten til innholdet i denne policyen. Videre bør internrevisor kontrollere at etterlevelse av denne policyen dokumenteres av selskapets ledelse. 1. 2. 3. 4. 5. Forsikringsselskap er underlagt Forskrift om risikostyring og intern kontroll og i følge § 5 av forskriften skal det foreligge en skriftlig avtale med serviceorganisasjonen for å sikre god risikostyring og internkontroll i utkontrakterte deler av virksomheten. Det understrekes også i forskriften at avtalen må sikre at foretaket gis rett til innsyn i og kontroll av den utkontrakterte virksomheten. Disse avtalene kalles ofte for «Service Level Agreement» - eller SLA - og det er viktig at disse er tilstrekkelig detaljert for å forhindre misforståelser vedrørende viktige kontrollaktiviteter, ansvar og dokumentasjon. Internrevisor bør kontrollere at det foreligger SLA mellom selskapet og alle serviceorganisasjoner som forsikringsselskapet har utkontraktert en del av sine prosesser til. Det inngår også i internrevisors oppgave å vurdere innholdet i disse avtalene. Ledelsen i forsikringsselskapet skal gjennomføre risikoanalyse før utkontraktering og oppdatere den løpende, minst en gang per år. Det bør også være beskrevet hvordan oppfølgingen og styringen av utkontrakteringen skal gjennomføres. Videre bør oppfølgingsprosesser dokumenteres ved gjennomføring. PRAKTISK TILNÆRMING – RISIKOANALYSE, RAPPORTERING OG OPPFØLGING VED UTKONTRAKTERING AV PROSESSER Intern revisor bør vurdere selskapets risikoanalyse av utkontrakterte deler av virksomhet, rapportering fra serviceorganisasjon, samt selskapets oppfølging av utkontrakterte prosesser. Vi vil nedenfor komme med eksempler på risikoer, krav til rapportering og ledelsens oppfølgingsprosedyrer ved utkontraktering av følgende prosesser: salgsavdeling saksbehandlingsavdeling regnskapstjenester kapitalforvaltning aktuarfunksjon 1. Salgsavdeling Salgsprosessen er en av de viktigste prosessene i et forsikringsselskap og er ofte utkontraktert. Ikke alle prosessene innenfor salg kan utkontrakteres. Ledelsen i forsikringsselskapet skal eie alle viktige beslutninger knyttet til produkt og premie, mens rent teknisk salgsarbeid kan utkontrakteres. Det er viktig at forsikringsselskapet har tydelige retningslinjer for serviceorganisasjonen for de oppgaver som er utkontraktert og de krav som stilles til leveransen. Risikoer og Rapportering I tråd med standardene skal internrevisor vurdere hvilke risikoer som er dekket av selskapets risikoanalyse ved utkontraktering av salgsprosessen. Identifiserte risikoer vil variere avhengig av om serviceorganisasjonen har tilgang til selskapets forsikringssystem eller bruker sitt eget forsikringssystem. Følgende risikoer kan være aktuelle: • risiko for at serviceorganisasjonen ved salg av poliser overstyrer premier mottatt fra forsikringsselskapet • risiko for at serviceorganisasjonen ikke følger forsikringsselskapets retningslinjer for kundeseleksjon • risiko for manglende kompetanse hos serviceorganisasjonen om premier og produkter • • risiko for at serviceorganisasjonen ikke følger opp innbetalinger fra kunde risiko for uautorisert tilgang til forsikringssystem hos serviceorganisasjon Internrevisor bør innhente rapportering fra serviceorganisasjon og kontrollere at den er egnet for å dekke forhold i risikoanalysen til forsikringsselskapet. Oppfølgingsprosedyrer Internrevisor bør kontrollere at forsikringsselskapet har etablert prosedyrer for oppfølging av arbeid i salgsavdelingen som er utkontraktert. Løpende analyser av utvikling i bestand som presenteres til ledelsen i forsikringsselskapet kan være et effektivt verktøy for oppfølging av salgsarbeid. Internrevisors oppgave er å forstå selskapets analyser og påse om disse analysene er måleffektive. Det er viktig at analysene er detaljerte og ikke begrenset til en enkel utvikling i total bestand fra måned til måned. Utvikling i bestand bør minst følges opp på produktnivå. Ut fra sine retningslinjer for kundeseleksjon og premier har forsikringsselskapet en forventning til hvordan dets kundeportefølje skal se ut. Hvis faktisk kundeportefølje avviker fra selskapets forventninger vil det slå ut i bestandsanalyser og kreve nærmere undersøkelse. Ledelsen i forsikringsselskapet bør også utføre løpende vurderinger av kompetansen i salgsleddene og dokumentere disse vurderingene skriftlig. Videre bør forsikringsselskapet for eksempel etablere overordnede oppfølgingsrutiner av forfalt, ikke betalte premier, utsendelse av purringer og eventuell kansellering av polise. Overordnede analyser av misligholdsportefølje kan være et godt eksempel på selskapets oppfølgingstiltak. 2. Saksbehandlingsavdeling For saksbehandlingsavdeling ser vi ofte at pensjonskasser utkontrakterer hele pensjonsadministrasjon, inkludert utbetalinger av pensjoner. Utenlandske forsikringsselskaper som selger forsikringer i det norske markedet gjennom forsikringsagenter, kan også ha behov for utkontraktering av skadeoppgjør knyttet til norske poliser. ☞ SIRK nr 2. 2012 43 Ø v ri g s t o f f Risikoer og Rapportering Internrevisor bør gjennomgå selskapets risikoanalyse knyttet til utkontraktering av saksbehandlingsavdeling. Risikoanalyse vil ofte omfatte risiko for at serviceorganisasjon gjør feil utbetalinger på vegne av forsikringsselskap (feil beløp, feil mottaker, feil dekning) og risiko for at serviceorganisasjonen gjør feil i RBNS-avsetning3. Internrevisor velger ofte å foreta stikkprøvekontroll av utbetalinger og RBNSavsetninger i forsikringsselskap. Revisjon av utbetalinger bør gjennomføres i like stor grad når prosessen er utkontraktert. Avtalen med serviceorganisasjonen bør være utformet slik at internrevisor får adgang til å utføre revisjon av utbetalinger og RBNS-avsetninger i serviceorganisasjonen. Internrevisor bør innhente rapportering fra serviceorganisasjonen og vurdere hvorvidt rapporteringen dekker de identifiserte risikoene i ledelsens risikoanalyse. 3. Regnskapstjenester Flere forsikringsselskaper velger å utkontraktere regnskapsfunksjon til et autorisert regnskapsførerselskap. Rapporteringen kan inneholde følgende: • bekreftelse på at serviceorganisasjonen følger avtalte dokumentasjonskrav i saksbehandlingsmapper • bekreftelse på at forsikringsselskapets retningslinjer for verdivurdering av skader følges • rapport fra serviceorganisasjon på utført revisjon av behandlede saker • bekreftelse på utførte reguleringer • rapport for saksbehandlingstid og lister over saker under behandling • beskrivelse av fullmaktsnivåer for godkjenning av utbetalinger • bekreftelse på at forsikringsselskapets retningslinjer for beregning av RBNSavsetninger følges, samt dato for siste gjennomgang av disse. I følge IIAs utøvelsesstandard 2110 og 2120 skal internrevisor evaluere selskapets risikoeksponering, samt tilstrekkeligheten, effektiviteten og hensiktsmessigheten av styrings- og kontrolltiltak knyttet til påliteligheten og integriteten av økonomisk og driftsmessig informasjon. Ekstern revisor ser på prosesser og kontroller knyttet til årsavslutningsrapporteringen. Internrevisor bør vurdere prosesser og kontroller knyttet til regnskapsrapporteringen gjennom hele året. Oppfølgingsprosedyrer Internrevisors kartlegging og vurdering av oppfølgingstiltak som forsikringsselskapet har etablert for å sikre at instrukser og fullmakter etterleves i serviceorganisasjon, bør først og fremst påse at ledelsen i forsikringsselskapet analyserer løpende utvikling i sine utbetalinger og RBNSavsetninger. Igjen er det viktig at disse analysene er detaljerte nok. Gode analyser vil avdekke eventuelle systematiske feil i saksbehandling. Internrevisor vil også vurdere kvaliteten i ledelsens analyser. Selskapets oppfølging av RBNSavsetninger med serviceorganisasjonen er like viktig. Her kan forsikringsselskapet etablere løpende (minst kvartalsvis) møter med serviceorganisasjonen hvor man gjennomgår RBNS-avsetningene. Internrevisor vil kontrollere at møteplasser mellom forsikringsselskap og serviceorganisasjon er fastsatt, og at møtearbeidet er dokumentert. Risikoer og Rapportering Internrevisor vil igjen vurdere kvalitet av selskapets risikoanalyse ved utkontraktering av regnskapstjenester. Mange risikoer forbindes med regnskapsprosess, men de kan oppsummeres som risiko for feil eller mangelfull rapportering til forsikringsselskapet, Finanstilsynet, regnskapsregister eller skattemyndigheter. Forsikringsselskap, i samarbeid med regnskapsbyrået, bør etablere retningslinjer for ansvarsfordeling og løpende rapportering. Internrevisor må vurdere om arbeidsdeling og ansvarsfordeling er tilstrekkelig og om det vil bidra til produksjon av pålitelig økonomisk informasjon gjennom året. Videre bør intern revisor vurdere kvalitet i rapportering fra serviceorganisasjonen til forsikringsselskapet og offentlige organer. Er rapportering tidsriktig og ajour? Oppfølgingsprosedyrer Når ledelsens risikoanalyse og rapportering fra serviceorganisasjon er vurdert, kan internrevisor gå over til neste spørsmål om selskapets oppfølging av regnskapsbyrået. Analyse av regnskapstall er et effektivt verktøy for å følge opp regn- 3 RBNS-avsetning (reported, but not settled) er et estimat for skader som er meldt inn, men ikke gjort opp enda. 44 SIRK nr 2. 2012 skapsførerselskapet. Vesentlige feil i regnskapet vil slå ut i månedlige analyser til ledelsen i forsikringsselskapet og vil kreve nærmere undersøkelse. Internrevisor vil også vurdere tilstrekkeligheten av ledelsens analyser. Internrevisor vil også påse at forsikringsselskapet har innført rutiner for å kontrollere at serviceorganisasjonen utfører rapportering til offentlige organer tidsriktig, samt at forsikringsselskapet gjennomgår kvaliteten av rapporter. 4. Kapitalforvaltning Forvaltning av investeringer er en av kjerneprosessene i et forsikringsselskap. For et forsikringsselskap er det en egen forskrift selskapet må forholde seg til; enten «Forskrift om skadeforsikringsselskapers kapitalforvaltning» eller «Forskrift om livsforsikringsselskapers og pensjonsforetaks kapitalforvaltning». Disse forskriftene gir retningslinjer for kapitalforvaltningen i et forsikringsselskap med blant annet organisering og ansvarsforhold, styre- og ledelsesrapportering, samt uavhengig kontroll. Selskapet har ansvaret for å etterleve disse og en sentral oppgave for internrevisor vil være å overvåke at selskapet har hensiktsmessige retningslinjer og rapporteringslinjer for å sikre dette. Ved utkontraktering kan dette medføre noen utfordringer med tanke på at internrevisor vil ha begrenset tilgang til informasjon, systemer og ansatte hos serviceorganisasjonen. Risikoer og Rapportering For å redusere risiko for at kapitalforvaltninger ikke utøves i tråd med strategi og øvrige retningslinjer for forvaltningen, som også er utformet for å sikre etterlevelse av forskrifter, bør forsikringsselskapet motta rapportering på etterlevelse. Rapporteringen bør være av en slik art at det er mulig for forsikringsselskapet å etterprøve informasjonen. Eksempler på dette kan være lister som viser eksponering innenfor ulike aktiva klasser, mandatoverholdelse, verdsettelser, risikoanalyser og avkastningsmåling. Det er naturlig at disse er forankret i avtalen (SLA) med serviceorganisasjonen, og internrevisor bør derfor gjennomgå avtalen for å kontrollere at denne dekker de risikoer som styret og ledelsen har identifisert. Videre bør internrevisor påse at det finnes mekanismer i avtalen som sikrer Ø v ri g s t o f f rapportering av at retningslinjene er fulgt og at eventuelle brudd rapporteres tidsriktig. Internrevisor bør vurdere hvorvidt informasjonen som rapporteres er tilstrekkelig for å evaluere tjenesten eller det er nødvendig å utføre kontroller, eller revisjoner, hos serviceorganisasjonen. Eksempler på kontroller det er naturlig å rapportere, er etterlevelse av mandat, beholdningsavstemning, verdsettelse, risikoanalyser, skatt, grunnlag for kapitaldekning mv. Internrevisor bør vurdere, som en del av kontrollen, å gjøre egne tester på denne rapporteringen for å kunne rapportere til styret at denne er riktig og kan brukes som beslutningsgrunnlag for forvalter, compliance eller regnskap. og § 17. For mindre forsikringsselskap, og spesielt pensjonskasser, er det vanlig å utkontraktere denne funksjonen. Aktuarens beregninger er til dels svært komplekse og er delvis preget av skjønn. Dette gjør kontrollen av aktuars leveranser krevende. Likevel bør selskapet og internrevisor ha et forhold til denne informasjonen på lik linje med annen informasjon som brukes som grunnlag for styrets og ledelsens beslutninger. Risikoer og Rapportering Selskapet bør i tråd med god governance, ha retningslinjer for aktuars ansvarsområder som er nedfelt i avtalen med ansvarshavende aktuar. Avtale med ekstern aktuar bør blant annet inneholde retningslinjer for å håndtere risikoen knyttet til uklar ansvarsdeling, feilaktig bruk av prinsipper for reservering og beregninger, feilaktig bruk av tariffer og manglende etterlevelse av lovpålagte krav etter forsikringsvirksomhetsloven. Avtalen bør inkludere forventet kvalitet på leveranse, samarbeidsmodell og type rapportering. Internrevisor må evaluere og vurdere selskapets kontroller for å sikre at aktuars leveranse er i henhold til avtalen. Dette bør være en del av rapporteringen fra aktuar og som selskapet bør ha en jevnlig gjennomgang av. Selskapet bør ha hensiktsmessige kontroller som sikrer at aktuar får all nødvendig informasjon og at den er kvalitetssikret. Selskapet er selv ansvarlig for å sikre at aktuars beregninger er foretatt på riktig grunnlag. Dette gjelder blant annet informasjon om tariffer, produkter og bestand. Internrevisor bør derfor påse at det er implementert kontroller underveis i hele prosessen fra overlevering av grunnlagsdata til ferdig reservering mottas fra aktuar. Det bør være et spesielt fokus på områder hvor det er skjønnsmessige vurderinger, slik som RBNS og IBNR, og at disse er foretatt i samsvar med retningslinjene fra styret og ledelsen. Det bør også foreligge dokumentasjon som beskriver vurderingene. Internrevisor må Oppfølgingsprosedyrer Internrevisor må vurdere om oppfølgingen av aktuarfunksjonen er effektiv og hensiktsmessig og at den dekker de identifiserte risikoer. Selskapet bør gjøre egne analyser og vurderinger knyttet til aktuarens leveranse. Som en del av oppfølgingen bør selskapet også ha analyser som dokumenterer at aktuarens beregning er utført på korrekt og fullstendig grunnlag. Internrevisor bør også påse at selskapet har rutiner for å gjennomgå og følge opp aktuarens rapportering til Finanstilsynet. HVORDAN ISAE 3402 / SSAE 16 VIL PÅVIRKE INTERN REVISJON AV UTKONTAKTERTE PROSESSER – naturlige fokusområder for internrevisjonen dersom slik rapport Internrevisor må videre påse at selskapet foreligger og serviceorganisasjonen har nødvendig En serviceorganisasjon kan velge å utdokumentasjon for å etterleve reglene i forstede en rapport om foretakets tjenester. skrift knyttet til risikostyring og kontroll. En slik ISAE 3402 / SSAE 16-rapport er en revisorbekreftet rapport som inneOppfølgingsprosedyrer holder en beskrivelse av foretaket samt Internrevisor bør kontrollere at rapportedets etablerte interne styring og kontroll. ringen fra serviceorganisasjonen løpende Beskrivelsen av den etablerte interne følges opp av selskapet og at dette dokustyringen og kontrollen inneholder de menteres. Oppfølgingen bør inkludere overordnede målsetninger, samt de ulike egne kontroller for å kvalitetssikre inforkontrollaktivitetene som utføres i foremasjonen som leveres. Dette kan gjøres taket for å sikre at kontrollmålsetningene ved å avstemme mottatt informasjon mot overholdes. Foreligger en slik rapport må informasjon fra tredjepart. Internrevisor selskapet ha et forhold til om rapporten bør vurdere om selskapet har tilstrekkedekker de tjenester som leveres og lige rutiner for å sikre påliteligheten av hvilken periode rapporten dekker. Finner informasjonen samt at lover og regler selskapet at rapporten dekker kontrolletterleves. Internrevisor må også evaluere formålene så kan det medføre et mindre om selskapets rapporteringslinjer av behov for særskilt rapportering om foreinformasjon fra serviceorganisasjon til takets kontroller knyttet til leveransen styret er hensiktsmessige. siden dette da er dekket av rapporten. Internrevisor bør påse at selskapet har Til slutt må internrevisor evaluere og implementert kontroller og rutiner for å rapportere til styret om selskapets system vurdere om rapporten er hensiktsmessig å for risikostyring knyttet til kapitalforvaltbruke for kontrollformål og at eventuelle ningen er effektiv og hensiktsmessig. avvik som fremkommer fra rapporten følges opp. Internrevisor bør også påse at 5. Aktuarfunksjon selskapet har prosedyrer på plass for å Forsikringsselskap er pliktige til å ha vurdere innholdet i rapporten og retningsaktuar, som har en svært sentral rolle i linjer for hvordan avvik skal følges opp selskapet. Aktuars ansvarsområder fremmot serviceorgakommer av «Forskrift om ppsummert kan en slik rapport gjøre nisasjonen. aktuar». Det skilles Internrevisor kan mellom aktuar i skade- og kontrollene med serviceorganisasjonen også benytte livsforsikringsselskap, lettere, men den stiller krav til forsikrings- rapporten i sitt men kort oppsummert har selskapet om oppfølging av rapporten. arbeid og aktuar et selvstendig dermed redusere ansvar for de forsikringsbehovet for å tekniske beregninger og at selskapet gjøre særskilte kontroller hos drives forsvarlig i tråd med vurdere om det er behov for å gjøre serviceorganisasjonen. Oppsummert kan Forsikringsvirksomhetsloven. kontroller hos aktuar for å få tilstrekkelig en slik rapport gjøre kontrollene med sikkerhet for at rapporteringen til selserviceorganisasjonen lettere, men den Et forsikringsselskap kan velge om de skapet blir korrekt. En del av denne stiller samtidig krav til forsikringsansetter en egen aktuar eller om de vil vurderingen bør inkludere aktuarens selskapet om oppfølging av rapporten. utkontraktere dette til et selskap jf. § 10 kompetanse og kontrollmiljø. O SIRK nr 2. 2012 45 Ø v ri g s t o f f Kvinner i økonomisk kriminalitet Av Petter Gottschalk, professor ved Handelshøyskolen BI, tidligere administrerende direktør i ABB Datakabel og Norsk Regnesentral Vil du som internrevisor slå ned på økonomisk kriminalitet, kan det være lurt å interessere seg mer for den kriminelle enn for kriminaliteten. Den kriminelle kan ha atferd og motiver som setter deg på sporet for en avsløring. Bevis skaffer du underveis. Den kriminelle kan være både kvinne og mann, ofte i ledelsen. Siden 2009 har jeg registrert alle hvitsnippforbrytere som omtales i Dagens Næringsliv, Finansavisen, Kapital og Aftenposten. Databasen min vokser hver uke. Personvernombudet for forskning har konkludert med at samfunnsnytten av min forskning overstiger personvernulempen for de registrerte. Nå har jeg kommet til 287 hvitsnippdømte. Det er 25 kvinner og 262 menn. Altså mer enn 9 av 10 er menn. Om det gjenspeiler kriminalitetsfordelingen mellom kjønn, er slett ikke sikkert. Andelen kvinner er over tid økende, etter hvert som kvinner inntar posisjoner hvor hvitsnippkriminalitet er mulig. Men oppdagelsesrisikoen for kvinner kan være lavere enn for menn. Derfor har jeg laget en beregningsmodell som viser overgangen fra 50 prosent kvinner i den norske befolkning til 6 prosent kvinner i norske fengsler. Modellen går fra behov, via mulighet, motivasjon og rettferdiggjøring, til domsandel og fengselsandel. Motivasjon, mulighet og rettferdiggjøring/nøytralisering utgjør den såkalte mislighetstrekanten. Mulighet Motivasjon Rettferdiggjøring Mislighetstrekanten for faktorer som påvirker hvitsnippkriminalitet 46 SIRK nr 2. 2012 Her er det klare kjønnsforskjeller, men hvilke er likevel uklart. Født sånn eller blitt sånn, for eksempel. Kvinner har ikke samme mulighet som menn til å begå hvitsnippkriminalitet, dvs. kriminalitet i kraft av posisjon, tillit og nettverk. Når det gjelder motivasjon, har det vært en gjengs oppfatning at nød og omsorg er motivasjon hos kvinner, mens grådighet og status er motivasjon hos menn. Denne oppfatningen går ut på at kvinners vinningskriminalitet handler om typisk fattigdomskriminalitet som simpelt tyveri, naskeri, trygdemisbruk og annen type tradisjonell overlevelseskriminalitet. Rettferdiggjøring handler om å overbevise seg selv og andre at man ikke har gjort noe galt. Rettferdiggjøring kan handle om å benytte nøytraliseringsteknikker for å unngå skyldfølelse hos seg selv og for å unngå beskyldninger fra andre. Nøytraliseringsteknikker i følge nøytraliseringsteori handler om hvordan den kriminelle bagatelliserer sin kriminalitet. I følge denne teorien anvender potensielle kriminelle og faktiske kriminelle fem grunnleggende teknikker for å nøytralisere sin egen skyldfølelse: fraskrivelse av ansvar (’denial of responsibility’), nekter for at det er noe offer eller skade (’denial of victim’ og ‘denial of injury’), hevder at det var nødvendig (‘defense of necessity’), fordømmer de som fremfører kritikk mot ham eller henne (’condemnation of the condemners’) og henvisning til lojalitet til overordnede hensyn (’appeal to higher loyalties’). Disse fem teknikkene representerer de opprinnelige elementene i nøytraliseringsteorien. Senere kom det inn nye elementer, som metaforen om kompensasjon og teknikken med nødvendighetens forsvar. Metaforen om kompensasjon dreier seg om at kritikkverdige og kriminelle handlinger kan bli oppveiet og kompensert med gode handlinger, mens teknikken med nødvendighetens forsvar innebærer at en kritikkverdig og kriminell handling kan bli begrunnet med at den var absolutt nødvendig i den oppståtte situasjonen. Det har lenge vært spekulert i om menn og kvinner har ulik grad av skyldfølelse ved samme kriminalitet. Dersom de har forskjellig grad av skyldfølelse, vil de trolig også benytte nøytraliseringsteknikker på ulikt vis. En forsker undersøkte hvordan kvinner og menn som hadde vært involvert i hvitsnippkriminalitet, beskrev seg selv og sine handlinger i ettertid. De fant at kvinner fremhevet feminine trekk som er akseptable i samfunnet, mens menn fremhevet maskuline trekk som er akseptable i samfunnet. Felles for menn og kvinner var at de fremhevet støtte til familie, venner og fellesskap som unnskyldning for kriminaliteten. For både menn og kvinner var det å ta vare på sin familie og venner sentralt for kjønnsidentitet, som en familieforsørger (mann) og som pleier (kvinne). Familie som nøytraliseringsargument blir i større grad benyttet av kvinner enn av menn i følge en studie gjennomført av en Ø v ri g s t o f f annen forsker. Studien viser at kvinnelige forbrytere prøver i større grad å rettferdiggjøre forbrytelsen ved å henvise til behovene i familien, mens menn oftere er dømt på forretningsmessig grunnlag. Imidlertid viser den første forskeren som nevnt at behovene for familien og nære venner er den vanligste årsaken til hvitsnippkriminalitet uansett om forbryteren er en mann eller en kvinne. En forskningsrapport fra Storbritannia viser at dømte kvinnelige hvitsnippforbrytere i mindre grad enn menn benyttet seg av nøytraliseringsteknikkene da flere følte lettelse over å ha blitt avslørt. De slapp da å bære på hemmeligheten om hva de hadde gjort og de økonomiske problemene de var i alene. De kunne nå dele dette med partneren sin. motivasjon og svakere rasjonalisering/rettferdiggjøring. Dette er de tre elementene eller hjørnene i mislighetstrekanten. Min gjennomgang viser imidlertid at mislighetstrekanten ikke er helt optimal i å illustrere transformasjonen fra et behov til en handling. Ett problem er risiko, der risiko ble et element som delvis er med i motivasjon og delvis med i mulighet, og kanskje også delvis med i rettferdiggjøring. Siden risikoaspektet synes å være en klar indikator på kjønnsforskjell, fortjener risiko en selvstendig plass på linje med mulighet, motivasjon og rasjonalisering. Et annet problem med mislighetstrekanten er rasjonalisering. Det begrepet kan med fordel erstattes med begrepet nøytralisering, som har fått mye oppmerksomhet de siste årene. Mulighet Kvinner benytter ansvarsfraskrivelse ved å skylde på at de ikke hadde kontroll eller full viten om detaljer, slik at de kan legge skylden på andre og innta rollen som offer. Kvinner benytter trolig lojalitet som nøytraliseringsteknikk i stor grad. Dersom de begår kriminalitet sammen med andre, er det ofte utfra lojalitet overfor de andre eller bedriften. Noen knytter nøytraliseringsteori til moralsk dissonans og moralsk nøytralisering. Moralsk nøytralisering går ut på å rense kriminelle handlinger for moralsk innhold og betydning, gjerne i forkant av handlingen. Den moralske nøytraliseringen senker terskelen for å begå handlingen og får eventuelle moralske betenkeligheter til å forsvinne. Det gjør man ved å benytte nøytraliseringstekninkker. Legger man til et kjønnsperspektiv på moralsk nøytralisering, og knytter det til hvitsnippkriminalitet, kan det være at det for kvinner ikke er så mange å sammenligne seg med i lignende maktposisjoner. Dette tilsier at moralsk nøytralisering i større grad passer for menn, fordi menn lettere kan forsvare at de vil utføre handlinger eller har utført handlinger som flere rundt seg gjør. At kvinner kan være mindre i stand til å rettferdiggjøre hvitsnippkriminalitet og dermed unngår kriminaliteten i større grad enn menn, kan forklares med moralteori kombinert med glidningsteori. Glidningsteori innebærer at en person eller en organisasjon glir fra det lovlige til det ulovlige. På engelsk kalles dette slippery slope theory. Det handler om hvorfor gode mennesker gjør dårlige ting. Mange uetiske og straffbare handlinger skjer uten at involverte personer er seg bevisst at de gjør noe galt. Kriminell atferd kan følge en glatt nedoverbakke, hvor man glir nedover, uten at det er en bestemt hendelse som forårsaker forfallet i organisasjonen. Det er en utvikling, en trend, et forløp, som fører galt av sted. Kjønnsforskjellene kan her finnes i at menn ser gråsoner, mens kvinner ser saker mer som svart/hvitt. Derfor vil kanskje kvinner i mindre grad være i stand til å rettferdiggjøre handlinger på den gale siden av loven. Mislighetstrekanten er benyttet i min beregningsmodell for kvinneandeler til å belyse reduksjonen fra behovsandel til handlingsandel. Kvinners behov for økonomisk kriminalitet reduseres i forhold til menn gjennom mindre mulighet, lavere Nøytralisering Motivasjon Risiko Krimstjernen for faktorer som påvirker hvitsnippkriminalitet Derfor blir det her bli foreslått et alternativ til mislighetstrekanten som kalles krimstjernen for kvinner. Den inneholder de to kjente elementene mulighet og motivasjon, det nye elementet risiko og det omskrevne elementet nøytralisering, som vist i figuren. Avslutningsvis kan nevnes at på engelsk kalles kvinnelige hvitsnippkriminelle for pink-collar criminals, der den tradisjonelle kriminaliteten er underslag (embezzlement) og bedrageri (Dodge, 2009). Det passer nok ikke så bra med rosasnippkriminelle eller rosakragekriminelle eller bare rosasnipper på norsk. Men kanskje det kunne passe med Gucci-kriminelle eller Louis Vitton-kriminelle, eller kanskje kriminelle gullskjørt, for det er en sterk gruppe kvinner i samfunnet som kalles gullskjørtene (Skarsgård, 2012). Enda et forslag er kriminelle i høyhelte sko, eller kriminelle på høye hæler. Kanskje det kan bli tittelen på en bok: Kriminelle på høye hæler – Kvinner i hvitsnippkriminalitet. Eller kanskje bedre: Kriminelle på høye hæler – Kvinner i økonomisk kriminalitet, om da ikke: Kriminelle på høyhelte sko – Kvinner i hvitsnippkriminalitet, eller: Høyhelte kriminelle – Kvinner i økonomisk kriminalitet. Dermed er jeg tilbake på tittelen for denne artikkelen. Kilde: Petter Gottschalk. 2012. Økonomisk kriminalitet i ledelsen. Unipub forlag, Universitetet i Oslo. SIRK nr 2. 2012 47 Ø v ri g s t o f f Kritikk av Riksrevisjonen – riktig eller galt? Av Einar Døssland Det normale er at Riksrevisjonen er den autoriserte til å gi en objektiv og saklig vurdering av departementenes forvaltning og ledernes arbeid. Gjennom sommeren og høsten er det riktig nok fra en filosof, flere byråkrater og politisk hold blitt slått hardt tilbake med mange kritiske røster mot Riksrevisjonens arbeid, og ikke minst mot den beskrivelse som Riksrevisjonen har gitt av forvaltningen og ledelsen i sine rapporter gjennom mange år. I hovedoppslaget til E24 den 7. september kunne vi lese «Flere politikere vil vingeklippe Riksrevisjonen. Flere tidligere statsråder mener at riksrevisor Jørgen Kosmo skaper vansker for statsråder som vil utrette noe politisk. Nå vil de strippe Riksrevisjonen for makt.» Det er ikke min påstand at Riksrevisjonen ikke kan bli bedre, men at de er noen engler som kan vingeklippes, er nok ikke tilfelle. Da tidligere forsvarssjef Sverre Disen uttalte i Aftenposten 12. juni at «Riksrevisjonen gjorde det med andre ord til et problem at Marinen ble modernisert», måtte jeg spørre meg selv om den tidligere forsvarssjefen har tatt i bruk «angrep som beste forsvar». Eller er det jeg som har misforstått Riksrevisjonens rolle, og misforstod verdien av Riksrevisjonens budskap den gangen de avla sin rapport om forsvarets arbeid med fregatt- og missiltorpedobåtklassene. Fra mitt ståsted, som gjennom tiden har lest og fulgt litt med i Riksrevisjonens rapporter, var det ikke mulig å kjenne seg igjen i den omtale som Disen og andre byråkrater ga til Riksrevisjonens rapporter. NIRFs rolle Ingen kan benekte at en gjennom god styring og kontroll vil oppnå en bedre forvaltning med positiv effekt for samfunnet og for den enkelte. På samme måte vil også en forbedret og god Riksrevisjon kunne bidra med en positiv effekt på forvaltningen, virksomhetsstyringen og Stortingets behov for kontroll. En viktig premiss i denne debatten må være riktig kompetanse og rett informasjon, og at aktørene forstår og respekterer hverandres roller og rammebetingelser. Vi går mot et viktig stortingsvalg i 2013. Hva er berettiget, og hva er faglig feil i den kritikken som er rettet mot Riksrevisjonen? – Finnes det flere politikere og politiske partier som vil vingeklippe og sette Riksrevisjonen i bånd etter stortingsvalget i 2013? Om det skal skje eller ikke, må vi være med å bestemme! Er den «Beinharde kritikken av Riksrevisjonen», som var hovedoppslaget til Aftenposten i juni, riktig og berettiget? Det er helt sikkert noe som kan bli bedre, selv hos Riksrevisjonen. Vi må likevel ikke gå i den fellen og bare tro at dette bare var utspill fra slitne og frustrerte eks politikere og byråkrater med manglende innsikt i forvaltningsrevisjonens formål og verdi. Min oppfordring er at NIRF i 2013 stiller sin møteplass til disposisjon for å invitere til debatten og forhåpentligvis bidrar til å gi gode og riktige svar på de faglige motforestillingene som er reist gjennom kritikken. Litt mer om kritikken NIRF har gjennom sine aktiviteter og faglige arbeid i flere år rettet et betydelig fokus mot hvordan utføre revisjon og forbedre virksomhetsstyring i private og offentlige virksomheter og forvaltning generelt. Ikke minst står NIRF bak et Master of Management Program på Handelshøyskolen BI som siden 1992 har utdannet en rekke revisorer innen intern- og offentlig revisjon. Gjennom årene har Riksrevisjonen sendt flere hundre av sine revisorer gjennom nettopp dette programmet. Derfor er NIRF og vårt fagmiljø også «medansvarlig» for kvaliteten på den offentlige revisjonen. NIRF er en av landets viktigste arenaer hvor denne kompetansen finnes, og hvor vi regelmessig møtes til faglige diskusjoner. I vårt fagmiljø kan vi forhåpentligvis finne noen av de kloke svarene til den kritikken som er reist mot Riksrevisjonen og forvaltningsrevisjon som metode. 48 SIRK nr 2. 2012 Aftenposten bygde sitt oppslag i sommer på en kronikk av filosof og jurist Morten Kinander, supplert med sitater fra tidligere ledere og en statsråd. Kontradiksjon – en kilde til rett faktum Det er viktig at den som opplever kritikk og en uriktig faktabeskrivelse gjennom Riksrevisjonens forvaltningsrevisjon, får uttale seg og korrigert det som måtte være feil. Likevel må dette skje mens «slaget» står og før endelig rapport blir utarbeidet. Det var vanskelig som en av Aftenpostens lesere å danne seg et balansert bilde, eller å imøtegå de presenterte uttalelsene når de fremlegges mange år etter at rapport ble utarbeidet. Som leser var det umulig å balansere uttalelsene mot det som faktisk var Riksrevisjonens beskrivelse av faktum og eventuelle kritikk på rapporteringspunktet. Ø v ri g s t o f f Riksrevisjonen er gjennom revisjonsstandardene forpliktet til å gi den reviderte virksomheten en betryggende kontradiksjon, med rett til å påpeke feil og mangler, samt å få innarbeidet sine kommentarer og eventuelle innsigelser i rapporten. Det er opplagt at Riksrevisjonen gjennom sine undersøkelser kan gjøre feil og feiltolke faktum. Likevel skal de metodene og standardene som Riksrevisjonen etterlever, sammen med deres beste evne og intensjon, bidra til at feil og mangler i faktagrunnlaget blir oppdaget og korrigert før endelig konkusjoner utarbeides og rapporteres. Derfor er det av stor betydning at de berørte parter tar til motmæle og bruker kontradiksjonen aktivt. Men hvorfor kom ikke de sterke innvendingene til uttrykk da Riksrevisjonen sendte rapportens faktabeskrivelse til kontradiksjon? Det er ikke uvanlig, verken i privat eller offentlig sektor, at den reviderte har en helt annen beskrivelse og vurdering av faktum enn hva revisor har. Her er det viktig å huske – at slik skal det også være! Vi er her på mange måter ved sakens kjerne – hva slags Riksrevisjon og forvaltningsrevisjon vil vi ha? Den reviderte skal også få si sin mening. Det avgjørende er likevel hvordan omverden sikres tillit til Riksrevisjons arbeid og rapporter. Det er ikke den offentlige, uavhengige og kritiske forvaltningsrevisjon som noen gang har vært årsak til revisjonsskandalene her hjemme eller internasjonalt. Formålet med en forvaltningsrevisjon Ut fra min vurdering manglet kronikken i Aftenposten en forståelse av hva som er den fundamentale hensikten med en forvaltningsrevisjon. Hensikten er å se på tingene på nytt – med andre ord en revisjon - med uavhengige og objektive øyne. Det er vanskelig å forstå filosof og jurist Morten Kinander når det pekes på at Riksrevisjonen opererer som ei «vaktbikkje uten bånd?» Utsagnene og metaforene i kronikken var sterke, og det er ikke tvil om at utsagnene var seriøst ment. Hva vil det innebære å sette Riksrevisjonen i bånd, slik det gjøres med alle andre «vaktbikkjer»?. Er det et ønske om å begrense hva Riksrevisjonen skal kunne gjøre og skrive? Det avgjørende er at Riksrevisjon er trygg på egne vurderinger, og ikke så opptatt av å prate den reviderte etter munnen. Det er nettopp det som kan gi oss merverdi med demokratiske muligheter for å tenke nytt, og sikre oss enda mer demokrati mot en ønsket og styrt samfunnsutvikling. En meningsutveksling i båndtvang kan ikke være veien å gå for å sikre forbedringer i forvaltning og et styrket demokrati. Poenget er ikke at Riksrevisjonen alltid vet best, eller har rett i sine vurderinger. Det viktige er at funnene og innspillene vi mottar i større grad brukes konstruktivt av statsråder og departement til å generere nytekning og enda bedre løsninger enn hva Riksrevisjonen foreslår. Det er menneskelig og forståelig at de som «rammes» av Riksrevisjonens kritikk kan sitte med et noe annet bilde av virkeligheten og sannheten. Derfor er det nødvendig at Riksrevisjonens rapporter er balanserte og bygger på et dokumentert faktagrunnlag. Forvaltningsrevisjonen kan gjennom åpenhet og god kunnskap om den utførte forvalt- ningen, være et viktig grep for å forbedre vår velferd og velfungerende demokrati. Alle forstår hvorfor bevilgningene til politiet har økt de seneste år. Når det i kronikken reises spørsmål til hvorfor Riksrevisjonen vokser seg stadig større, og på egenhånd har tiltatt seg sin rolle, må det være tillatt å sette foten i bakken for reise spørsmålet om hvor problemet egentlig er? Uttalelser som «Riksrevisjonen har blitt politikkens overdommer på eget politisk grunnlag», er grunnløs og udokumentert. Kinander bygger sine uttalelser på en feil forståelse og tolkning av forvaltningsrevisjons grunnprinsipper og verdier. Det pekes på at «man i det minste må ha definert hvilke kriterier det skal revideres etter og vise så klart som mulig hva som er Stortingets forventninger». Videre at «Riksrevisjonen antar en selvstendig politisk synsefunksjon uten et klart mandat fra Stortinget». I kronikken gjøres det en sammenblanding av kriteriene for en forvaltningsrevisjon og kriteriene for Stortingets bevilgninger. Formålet og herunder kriteriene for Riksrevisjonens arbeid med forvaltningsrevisjon er nedfelt i lov, instruks, standarder ol., og står helt på egne ben. Det er selvfølgelig ikke Riksrevisjonens oppgave å definere kriteriene som ligger til grunn for bevilgningene. Kriteriene er et resultat av politisk håndverk. Riksrevisjonen rolle er å kartlegge og vurdere om bevilgningene er disponert med hjemmel i Stortingets vedtak og i tråd med formål og Reglement for økonomistyring og Bestemmelser om økonomistyring. Oppgavene og formålene for forvaltningen ligger fast på de fleste områdene fra år til år, mens målene for det enkelte år fastsettes gjennom Stortingets vedtak, budsjett og departementenes tildelingsbrev. Det er en misforståelse når det hevdes at en forvaltning med utydelige formål og mål (revisjonskriteriene), ikke kan være gjenstand for en forvaltningsrevisjon. Det er Stortingets ansvar å definere tydelige formål og mål. Kriteriene blir videreformidlet og konkretisert fra departement og forvaltning. Det er et paradoks når toppdiplomat Tore Eriksen i Aftenposten kan uttale: «I min tid i departementet opplevde vi det som et problem at vi ikke visste hvilke kriterier vi ble revidert etter.» Er dette en erkjennelse om at virksomheten ble ledet og styrt med bind for øynene? Dersom forvaltningens kriterier, dvs. formål og mål, er ukjent for lederne, er behovet for forvaltningsrevisjon desto større. Det blir vanskelig å gi en rettferdig karakteristikk når en eks. statsråd og flere tidligere ledere fra forvaltningen kan hevde at deres virksomheter var for komplisert og vanskelig for at Riksrevisjonen hadde faglige forutsetninger for å utføre en forvaltningsrevisjon. Betyr dette at forvaltningsrevisjon bør avvikles, eller at vi bør innføre en ny forvaltningsrevisjon i tråd med deres ønsker? Min oppfordring er at NIRF må invitere til debatt. For her har vi enten noe å lære, eller noe å dele gjennom vår fortsatt levende visjon om «Progress Through Sharing»! – La det bli NIRFs julegave for en bedre forvaltning og tryggere demokrati i 2013. God jul til alle! SIRK nr 2. 2012 49 B o ko m t a l e Huset Rothschild Av Reidar Døli For en tid tilbake kom jeg over denne boken. Den er skrevet av Frederic Morton og ble utgitt på Gyldendal Forlag i 1963. Det er med andre ord ikke en anmeldelse av en ny bok jeg kommer med, men snarere en deling av en fin bokopplevelse. Temaet i boken er imidlertid høyst relevant for de av oss som er opptatt av risikostyring, intern kontroll, virksomhetsstyring og finans. Familien som boken handler om var sagt å være verdens rikeste gjennom hele det nittende århundre og langt utover i det tjuende. Til sammenligning så ble dronning Victoria regnet for å være en svært holden dame med sin anslåtte formue på 5 mill GBP. Klanen Rothschild representerte på samme tid en formue på den gang ufattelige 400 mill GBP. Boken beskriver veien til rikdom og alle de knep som ble tatt i bruk i en tid der det meste var lov og lenge før noen hadde tenkt ut regler for god virksomhetsstyring. Historien starter med en jødisk, foreldreløs gutt med navnet Mayer. Han var født i 1744. Siden jødene i Frankfurt ikke var forunt å bære familienavn tok de gjerne husskiltene til sitt etternavn. Mayers familie hadde en gang bodd i et hus med rødt skilt, derved tok han navnet Rothschild. Han startet opp med handel blant annet i tekstiler i Jødegaten i Frankfurt, utvidet snart med handel i gamle mynter og kom derigjennom i kontakt med pengesterke fyrster. Snart drev han også en primitiv bank, en vekslestue for alle de forskjellige myntene som eksisterte i Tyskland på den tid. I 1789 startet han en uhyre lønnsom virksomhet som var grunnlagt på fyrst Wilhelm av Hessen-Cassels rikdom. Han ble tilrettelegger og mellommann for obligasjonslån. Et eksempel på en slik forretning er hentet fra 1804 da den danske statskassen var tom. Siden den danske monarken var Wilhelms onkel, og at lån dem imellom lett kunne utvikle seg til å bli en gave, ble det store lånet gitt inkognito gjennom Rothschild, som selvfølgelig tok sin del av fortjenesten. 50 SIRK nr 2. 2012 Etter okkupasjonen fra Napoleon overtok Rothschild forvaltningen av rikdommen til Wilhelm. Dette skaffet Rothschild forbindelser, kunnskaper og myndighet i hele Europa. Mens Wilhelm satt i eksil ble Rothschild en gang betrodd å investere for 550.000 GBP i engelske statsobligasjoner. Kursen skulle gjennomsnittlig være på 72. Rothschild investerte pengene først for egen regning i en periode og fikk en god profitt ut av det. Deretter kjøpte han statsobligasjonene til en kurs på 62 og oppnådde da også der en stor fortjeneste som han også stakk til seg selv. Rothschild hadde innsett verdien av informasjon. Han etablerte tidlig sin egen nyhetstjeneste som omfattet egne vogner, båter og brevduer(!). Dette gjorde han stor nytte av i forbindelse med slaget ved Waterloo i 1815. Det som skjedde ble på den tid betegnet som ”kupet over alle kup”. Det hadde seg slik at hvis Napoleon vant dette slaget ville engelske statsobligasjoner synke til bunns. Det motsatte ville skje hvis han tapte. Ved hjelp av sin nyhetstjeneste og sin sønn Nathan som var plassert i London, fikk Rothschild raskere enn noen annen vite at Napoleon var knust. Nathan dro rett til børsen. Han startet med å selge og selge statsobligasjoner og prisene sank. Alle trodde da nemlig at Rothschild hadde mer informasjon enn de selv, og at England hadde tapt ved Waterloo. Kursen sank til bunns. Da, i rette øyeblikk, snudde Nathan seg rundt og kjøpte en stor bunke med statsobligasjoner, for så å si ingenting. Det ble snart allment kjent at England hadde vunnet og obligasjonene steg til himmels. Dette ble en svært god historie, men som et PS er det flere historikere som stiller spørsmål ved troverdigheten og heller kaller den en myte. Familien etablerte et europeisk dynasti. Mayer hadde fem sønner. Han hadde for øvrig også fem døtre, men det var sønnene han sørget for at etablerte seg i London, Østerrike, Italia og Paris, i tillegg til i Frankfurt. Spesielt for familien var at av 12 ekteskap som ble inngått av disse 5 brødrenes sønner, så var hele 9 med døtre av farbrødre. Man hadde en sterk motvilje i familien mot å dele navnet med andre. Salomon som etablerte seg i Østerrike, møtte sterkest motstand til å begynne med på grunn av antisemittisme og at ”skikken med korrupsjon ikke hadde så mange tilhengere der”. Salomon behersket kunsten å smigre og han var den fødte diplomat. Han fikk lagt ut lotteriobligasjoner som han ved hjelp av et publisitetsapparat tjente svært godt på. Senere, og ved hjelp av enorme veldedige gaver fikk han sin status som fullverdig borger. Han ble en de største godseiere i landet. Carl ble keiserlig tilrettelegger av lån fra Østerrike til kongen av Napoli. Han oppnådde pavens anerkjennelse. Amchel arvet banken i Frankfurt og ble familiens nye overhode. Han ble skattmester, en slags finansminister for den tyske konføderasjonen. James, den yngste etablerte seg og slo seg voldsomt opp i Paris. Brødrene etablerte også det som er betegnet som verdens førte clearingsentral mellom de fem Rothschildske bankene. Skiping av gull ble derved erstattet med debet og kredit. Familien rådde over krig og fred i Europa i det nittende århundre. De var avhengige av fred for å bevare sin formue. Familien involverte seg også stort i jernbaneutbyggingen i Østerrike og Frankrike. De hadde stadig fiender som lurte og ble utsatt for utro tjenere mer enn en gang. En betrodd hovedbokholder i Paris, Carpentier, stakk i 1856 av til Amerika med hele kassebeholdningen på 6 mill franc og aksjer for 26 mill franc. Han ble aldri tatt. En annen, Pereire, var sjef for Rothschilds jernbaneutbygging mellom Paris og Versailles. Han gikk over til fienden, Fould, og de etablerte et selskap sammen med det eneste formål å slå Rothschild. De grunnla en folkebank, Credit Mobiliere, men de klarte ikke å slå kjempen. B o ko m t a l e Boken er full av underholdende anekdoter. En av disse handler om sønnen til Salomon, Anselm het han. Han ble en gang nektet adgang til en spilleklubb utenfor Wien. Årsaken var den vanlige, antisemittiske. Anselm skjenket da den nærliggende landsbyen et moderne søppelforbrenningsanlegg og la det slik til at det både var godt synlig og luktlig i kasinoet. Et medlemskort ble da øyeblikkelig sendt han, men kortet ble returnert neste dag, duftende av den dyreste parfyme. Historiene er mange. I 1875 ble familien involvert i en særdeles begivenhetsrik affære. Statsminister Disraeli ble kjent med at Khediven av Egypt var i pengevansker. Ved hjelp av Rothschilds raske finansiering av 4 mill GBP utmanøvrerte han den franske regjeringen og kjøpte aksjemajoriteten i Suezkanalen. Transaksjonen ga en umåtelig gunstig avkastning for engelskmennene. En annen historie er fra 1886 da Rothschild bidro til å redde Baring. Banken hadde satt inn alle sine ressurser, og vel så det, på mislykket nybygging i Argentina. Fortellingen tar oss videre frem i medgang og motgang over i det tyvende århundre og to krevende verdenskriger. Familiens historie er hele veien tett flettet sammen med Europas historie. For den som er interessert i historie, bankvirksomhet og virksomhetsstyring er denne boken et funn. Det vanskeligste er imidlertid å få tak i den - men det er verdt å prøve i et antikvariat. Ellers, i dag er det mye interessant å finne på nettet, også om familien Rothschild. Omgitt av løgnere - Arne Selvik En kompleks og kaotisk verden medfører at de fleste toppledere omgir seg med ledergrupper og bygger team. Lederen skal fatte beslutninger på grunnlag av et virvar av informasjon og ærlige tilbakemeldinger vil ofte ha et innhold som øker kompleksiteten i lederens beslutningsgrunnlag. For å forenkle hverdagen til sjefen forenkles verden av de som jobber rundt han/ henne og ubehagelige og negative detaljer siles bort. Forholdet mellom lederen og hans nærmeste er i mange tilfeller preget av taushet og fortielse. For å endre dette bør ledere trene på situasjoner som krever relasjonelt mot slik at utfordrende budskap kan formidles med respekt og forstand. Av Esa Leporanta Både ledere og bedrifter som ikke får direkte og ærlige tilbakemeldinger svikter før eller siden, men det er vanskelig å være dønn ærlig med sjefen. Det er egenskaper ved ledere samt prosesser og mekanismer som leder til innsnevring av kunnskap og innsikt som er hovedtema for boken til Selvik. Enkelte ledere kan signalisere et sterkt behov for anerkjennelse enten bevisst eller ubevisst uten å vite at de avskjærer seg fra vital informasjon. Noen ganger blir det for tette forhold mellom ledere og medarbeidere til at kritikk og ærlighet kommer til lederen. Omfanget av arbeidstakeres løgn til sjefer ble kvantifisert i Storbritannia til 1,4 milliarder løgner i 2004. De fleste dekker over handlinger som man tror vil skade karrieren. Selvik viser oss videre hvilke sosiologiske og psykologiske fenomen som særpreger ledernes situasjon. Er det grådighet, dumskap eller fornuftig griskhet som forklarer at ledere tar beslutninger som bekrefter sviktende dømmekraft? Når ledere omgis av taushet og løgnere, blir de ofte selv – ufrivillig – løgnere som preges av mer eller mindre utviklede former for selvbedrag. Ofte har ledere selv, gjennom sine holdninger og personlighetstrekk, sørget for at de som skulle sørge for gode korrektiver og kritiske spørsmål, ikke ser seg tjent med å fortelle sjefen hele sannheten. I stedet for ærlige tilbakemeldinger får lederen noen ganger speilbilder som minner om de man ser på tivoli. De som tør å være helt ærlig med en leder, er de som genuint vil ham eller henne vel. Felles for slike relasjoner er at de er bygget over tid. Et annet er at de som tør å være direkte også må tåle ubehag, smerte og noen ganger straff. Selvik synliggjør hva som kan gå galt om ledere har bestemte atferdsmessige særegenheter. Han ser også nærmere på hvilke personlighetstyper man finner hos toppledere. Videre viser Selvik at det fins en incentivstruktur som gir menneskene rundt lederen sterke motiver for å underbygge sjefens selvbedrag. Hoveddelen av boken handler om hvordan ledere faktisk skaffer seg ærlige tilbakemeldinger, slik at de kan fatte kloke beslutninger til beste for den virksomheten de er satt til å lede, og til beste for sin egen helse og karriere. Denne delen av boken handler også om å utvikle og bygge sosiale og nettverksorienterte kontekster som gjør det mindre risikofylt å være leder. Det som gjør boken særdeles interessant for internrevisorer er Selviks budskap om uavhengige rådgivere. Slik Selvik sier, bør en god hjelper ha tilstrekkelig nærhet til lederen til å kunne gjøre presise observasjoner. Samtidig må hjelperen ha tilstrekkelig avstand til å kunne være helt oppriktig. Som et eksempel bruker Selvik dronning Elisabet I (1533-1603) som skal ha innsett hvor vanskelig det kan være for en rådgiver å gi råd som de antar (eller vet) går imot sjefens vilje. For det andre skal Elisabeth I ha forstått at det kan være vanskelig å få ærlige råd og tilbake-meldinger, med mindre man sikrer budbringeren full konfidensialitet og tillit. Fagbokforlaget 2005 ISBN 82-450-0279-8 SIRK nr 2. 2012 51 F o re n i n g s n y t t ”Internal audit à la carte” Noen inntrykk fra European Conference i Amsterdam Konferansen ble gjennomført i Amsterdam, 12. – 14. september 2012. Den samlet ca 500 deltakere fra 41 land, hvorav 16 norske. SIRK har bedt en av deltakerne om å oppsummere sine inntrykk fra konferansen. Solbjørg Lie, revisjonsdirektør i NAV, Oslo Hva synes du var høydepunktene på konferansen? For meg var det spesielt interessent å høre nærmere om Basel-komiteens 20 prinsipper for internrevisjon i banker som ble publisert i juni 2012. Baselkomiteen har valgt å unngå IIAs definisjon av internrevisjon fordi: 1. Nåværende definisjon er oppe til revisjon i IIA 2. Basel-komiteen liker ikke ordet «consulting» Basel-komiteen er absolutt i favør av internrevisjon. Omlegging av internrevisjonens rapporteringslinjer fra toppledelsen til styret ble fremhevet som en vesentlig endring. Basel-komiteen vurderer videre leder av internrevisjonen som en del av styret med ansvar for oppfølging av både ekstern og intern revisjon. Siden Basel-komiteen ofte har vært tidlig ute mht. utvikling av kontroll i banker, er det nyttig for oss som ikke jobber innenfor finanssektoren å høre nærmere om nye krav til internrevisjon i banker. Videre deltok jeg på et foredrag om risikostyring i nederlandske Shell som har en internrevisjonsavdeling på hele 52 SIRK nr 2. 2012 220 revisorer globalt. Shell har ingen egen organisatorisk risikostyringsenhet. Denne funksjonen ble ivaretatt av internrevisjonen som med sine 220 revisorer hadde kunnskap om alle risikoer i virksomheten. Ett av målene for internrevisjonen var å sikre at risikostyringen alltid var en integrert del av forretningsplanleggingen. Forretningsområdene eier egne risikoer og har selv ansvar for å håndtere de. I tillegg ble noen felles risikoer håndtert i en egen risikostyringskomite der alle forretningsledere var representert sammen med controllere og internrevisorer. Foredraget var strukturert og lærerikt og ga god input til inndeling av risikouniverset i et av verdens største oljeselskaper. Er det noen tydelige trender i de foredrag/temaer som ble presentert? Ja, fokus på etikk og kulturens betydning for sunn forretningsførsel. Konferansen hadde flere foredrag om kontrollers begrensning og viktigheten av de myke verdier/kontroller som kultur og etikk. Det nytter ikke å utvikle flere systemer og kontroller og samtidig øke incentivbruken i virksomheten. Incentiver korrumperer og flere incentiver korrumperer mer og ødelegger vår moral var budskapet fra Jaap Winter. Richard Chambers fulgte opp med å fokusere på etikk for internrevisorer og poengterte at revisorer må ha et robust etisk kompass. Dessverre ble det referert økt antall tilfeller der internrevisor bevisst hadde unnlatt å gjøre jobben sin godt nok til skade både for sin virksomhet, for seg selv og for profesjonen. Fikk du noen gode ideer som du kan omsette til praktisk nytte? Fokus på viktigheten av god, kort og presis kommunikasjon – både skriftlig og muntlig ble fremhevet. Rapporter over 5-6 sider blir ikke lest, og innholdet på de 5-6 sidene må bekrefte revisors innsikt og forståelse for fremtidige utfordringer på området. Videre at dersom et kontrollregime skal fungere godt er det en forutsetning at de myke kontrollene som kultur, holdninger og etikk må være etablert og forstått. Så til slutt, litt om gjennomføringen av konferansen: Konferanseopplegget var uvanlig og spennende. I tillegg til vanlige forelesninger, var temaene lagt opp som workshops, diskusjoner eller kunnskapsdeling med gode fasilitatorer. Opplegget ga mulighet for større interaksjon mellom deltakerne og fasilitator og muligheter for å lære av hverandre. Ulempene er at med deltakere fra så mange land så har nesten alle ulike aksenter i sin engelsk og det gir tidvis utfordringer i erfaringsdelingen. Konferansen fant sted i den gamle børsen i Amsterdam. En ærverdig bygning mer enn 400 år gammel lokalisert midt i byen. Det var satt av god tid til å mingle og diskutere med gamle og nye kolleger. En hyggelig middag i West Indian House på dag 2 ga oss smak og innblikk i mange lands kjøkken samt god øvelse i å balansere i trange bratte trapper i et gammelt sjarmerende hus. Neste års konferanse går i Wien 2. – 4. oktober 2013. F o re n i n g s n y t t REVOLUTONIZE INTERNAL AUDITING Noen inntrykk fra The IIA 2012 International Conference i Boston, USA Konferansen ble gjennomført i Boston, USA 8. – 11. Juli 2012. Den samlet ca 2500 deltakere, hvorav 15 norske. SIRK har bedt to av deltakerne om å oppsummere sine inntrykk fra konferansen Thomas Hager, Internrevisjonen i Statoil, Oslo Vi spør først Thomas om hva han synes var høydepunktene på konferansen? Konferansen bestod av både fellesforedrag og av foredrag innen forskjellige spor der man selv kunne velge hvilke man ville gå på. Fellesforedragene var ikke alle direkte relatert til internrevisjon, mens foredragene på de forskjellige sporene hadde en mer faglig karakter. Det var tydelig at de hadde lagt seg i selen når det gjaldt foredragsholdere til fellesforedragene. Her var det blant annet en astronaut fra NASA som fortalte om hvor viktig det er for dem å ha god internkontroll. Og når han i tillegg viser en filmsnutt fra en av deres ferder ut i verdensrommet, så blir det jo minneverdig. Et annet av fellesforedragene ble holdt av en profesjonell foredragsholder og gikk på at en sentral utfordring for ledere i dag er å skape en modighetskultur i bedriften. Verden endrer seg hele tiden, for eksempel med tanke på ny teknologi som stadig blir introdusert. Man blir nødt til å være en del av utviklingen. Mot trengs for å skape godt kompaniskap, for å bygge en merkevare, for å bli en utmerket kommunikator var andre eksempler. I pausene er ”minglingen” sentral og det var forskjellige stands der hvor man kan oppdatere seg på bøker innenfor faget, relevant software til bruk for internrevisjonsavdelinger, hvilke tjenester eksterne leverandører har spesialisert seg på, og så videre. Var det noen tydelige trender i de foredrag/temaer som ble presentert? Konferansen hadde hele 11 forskjellige spor med totalt 77 foredrag. Så spennet og variasjonen i foredragene var imponerende stort. Selv gikk jeg på en del foredrag innenfor IT-området. Av temaer som ble tatt opp her var hvordan man kan revidere nye trender som nettskyen og bruk av smarttelefoner som begge har en voldsomt raskt økende utbredelse. Det var også flere foredrag som omhandlet ’continious auditing’ - hva som ligger i dette og eksempler på hvordan bedrifter har tatt konseptet i bruk. Ellers så er jo noe av det som gjør det interessant å delta på en konferanse som dette at man får et godt innblikk i hva som for tiden er aktuelle temaer innen internrevisjon ved å studere programmet. Fikk du noen gode ideer som du kan omsette til praktisk nytte? Både når det gjelder gjennomføring av enkelte revisjoner og innspill til temaer/revisjoner i forbindelse med fremtidige revisjonsplaner, var det nyttig å delta på konferansen. Man får med seg eksempler på risikoer innen gitte områder, og ideer om hvordan forskjellige temaer kan revideres. Med en økt forståelse for risiko, er det også lettere å se hvorfor enkelte temaer bør bli gjenstand for revisjon og å lage et godt revisjonsprogram. Tom Alm, Internrevisjonen i DNB, New York Branch Så gir vi ordet til Tom som oppsummerer sine erfaringer fra konferansen slik: På en konferanse som samler så mange mennesker kan foredragene lett bli veldig generelle og lite matnyttig, så det er jo med en viss spenning man besøker foredrag om temaer man håper skal gi noe tilbake. Siden jeg jobber som revisor ved DNB’s New York kontor, og således må forholde meg både til amerikanske og norske myndighetskrav og forventninger, ga IIA- konferansen flere nyttige innspill som allerede er omsatt til praktisk nytte i form av justerte revisjonsprogrammer og oppdaterte risikoanalyser. I det regulatoriske miljøet som råder i USA forventer tilsynsmyndighetene at internrevisjonen hele tiden følger business best practise og at dette også gjenspeiles i det arbeidet som utføres. Det er derfor viktig å kunne dokumentere at man både deltar på faglige konferanser og at man omsetter det man lærer i praktiske handlinger. For meg var et av høydepunktene på IIA-konferansen et foredrag som ble gitt i konferansens Pre-conference Session på søndagen. I foredraget ”Key Topics for the Future of Financial Institutions Compliance” ble tilsynsmyndighetenes forventninger til internrevisjon og utfordringene innenfor compliance presentert på en nyttig og inngående måte. I tillegg til dette foredraget var det også interessant å se det økede fokuset som denne gangen var lagt på tema som Foreign Corruption Protection Act, Ethical Environment og Cultural diversity and cross-cultural communication. Så til slutt noen kommentarer fra Thomas: Det er spennende å få anledning til å komme på en internasjonal konferanse og se litt hva som rører seg innenfor internrevisjonsprofesjonen. Jeg synes IIA her arrangerte en konferanse med et variert og godt program. Bruken av teknologi i forbindelse med konferansen var imponerende. Det var tilgjengelig en egen mobilapp der man kunne få oversikt over konferanseprogrammet og de foredragene man hadde meldt seg på. Under fellesforedragene kunne tilhørerne bruke sms for å stille spørsmål til foredragsholderen. Og så er det jo en del utenomfaglig program på en konferanse som dette som bidrar til å gjøre det til en minnerik opplevelse. Vi hadde en Boston-aften med kulturelle innslag og med servering av mat som er typisk for byen, for å nevne noe. En kommer jo heller ikke utenom at det var spennende å få besøke byen Boston. Selv fikk jeg frisket opp litt rusten historiekunnskap om the Boston tea party, som innledet USAs uavhengighetskamp, med et besøk til ’The Boston tea party Museum’. Neste års konferanse går i Orlando, USA 14. – 17. juli 2013. Det er ventet 3000 deltakere til konferansen som denne gangen blir arrangert av IIA`s Global Headquarters`staff. Konferansens motto: One World - One Profession - One Destination. SIRK nr 2. 2012 53 F o re n i n g s n y t t Tillitsvalgsamlingen 2012 Av Ellen Brataas, generalsekretær Hver høst inviterer NIRF sine tillitsvalgte og andre bidragsytere gjennom året inn til en ettermiddag hvor vi utveksler informasjon om hva som skjer og planlagte aktiviteter på tvers av alle komiteer og nettverk i foreningen. Onsdag 7. november samlet vi 43 NIRF-medlemmer hos Deloitte på Skøyen (tusen takk for lånet av lokalene!). Foruten å være et godt tiltak for å få bedre oversikt over hva som skjer på tvers av foreningen, er samlingen også et egnet sted for å bli kjent med andre medlemmer. Vår president, Martin Stevens, ønsket velkommen og gav en kort orientering om foreningens strategi rundt det å samle fagmiljøer i Norge. Vår nyeste ambisjon er å se om foreningen kan bidra til å samle compliance-miljøer i Norge. Foreningen har avholdt et oppstartsmøte blant interesserte medlemmer og konstituert et midlertidig arbeidsutvalg som får i oppgave å konkretisere tiltaket nærmere. At det er stor aktivitet i foreningen gav alle innleggene fra komiteer og nettverk et bevis på. Vi er fornøyd med at det produseres promoteringsmateriale, høringssvar og et bredt tilbud av medlems- og nettverksmøter til alle medlemmer. Det ligger mye frivillig arbeid bak hvert eneste tiltak og foreningen er heldig som har så mange dedikerte og engasjerte medlemmer – takk til alle tillitsvalgte som står på! Foreningen har siden forrige tillitsvalgsamling fått to nye nettverk, nettverk risikostyring og nettverk revisjonsledere i finans (tidligere Revisjonssjefkretsen). I takt med at foreningen vokser erfarer vi et behov for en sterkere samkjøring og koordinering av kurs, medlems- og nettverksmøter. Foreningen holder også på å lage en markedsføringsstrategi hvor prioritering av aktiviteter vil komme tydelig frem samtidig som den vil være et hjelpemiddel for promotering av kurs og møter. 54 SIRK nr 2. 2012 Presentasjoner fra alle komiteer og nettverk finner du på www.iia.no. For å gi alle tillitsvalgte noe tilbake hadde NIRF denne ettermiddagen hentet inn Live Landmark til å inspirere oss med foredraget «Hvis det ikke er umulig, så må det være mulig". Live er tidligere journalist i VG, en energisk tobarnsmor som plutselig fikk diagnosen ME. Hennes historie om sykdommen og kampen for å komme tilbake, får enhver til å tenke over egen helse, stress og hvordan vi som mennesker har makt til å påvirke egne tanker. Det var et annerledes og tankevekkende foredrag hvor vi som tilhørere fikk noe å ta med tilbake til jobb og hjem. F o re n i n g s n y t t ONE DAY SEMINAR OPERATIONAL RISK by JOHN THIRLWELL Operational risk is involved in every activity a business undertakes and affects every employee. It arises when a business first opens its doors and forms part of all the risks it faces. Intelligent operational risk management can deliver real financial benefits and starts at the top. The Board needs first to be clear about its strategy and objectives and communicate them throughout the firm. Without clear strategy and objectives, there can be no context for effective risk management or an understanding of what is meant in a particular firm by excellent behaviours. Without an understanding of what is meant by excellent behaviours, there will be little coherence in staff selection, appraisal, promotion or, importantly, remuneration. Nor will it be risk-based. Course description: Operational risk – what it is and why it matters • What it is • Why it is different from other risks • The boundary issue • Measuring and managing • Challenges of operational risk management Building an operational risk framework • Governance - 3 lines of defence: * Board * Risk oversight * Risk assurance • Roles and responsibilities: * CRO * Operational risk function * Relationship with other areas • The framework Making the framework work • Issues with: * Risk and control assessments * Events and losses * Indicators * Scenarios and stress tests * Modelling – a qualitative approach The crisis and operational risk • People risk management • Embedding a risk culture Lecturer: JOHN THIRLWELL John is a well-known speaker and writer on risk, regulatory and governance issues, particularly business and operational risk. His book Mastering Operational Risk, co-authored with Tony Blunden, was published by Financial Times Prentice Hall in August 2010. Until March 2003, he was a director at the British Bankers’ Association, which he joined in December 1996 from Hill Samuel Bank, where he had been a director and Chief Risk Officer. In BBA he was heavily involved, on behalf of the banking industry, in discussions with regulators concerning the new Basel Capital Accord and the EU Capital Requirements Directive. He continues to be a member of advisory committees on risk and regulatory matters at the FSA. Since leaving the BBA, he has served as a nonexecutive director on a number of boards in the City, including Novae Syndicates Limited and CX Reinsurance Company Limited. He is nonexecutive Chairman of the Bankside Gallery and a Director of the Institute of Operational Risk. Time: May 30st, 2013, 09.00 – 17.00 Place: Bjørvika Oslo Konferansesenter, Oslo Price: Members of IIA, ISACA and NFKR: NOK 3 500/Non-members: NOK 3 800 CPE: 8 Continual Professional Education points for CIA, CCSA, CGAP, CFSA and Dipl. IR. Registration: www.iia.no or call (+47) 932 37 912. SIRK nr 2. 2012 55 F o re n i n g s n y t t Medlemsmøte 7. februar 2013, kl. 14.00-16.00 Rapportering etter revisjoner – det handler om kommunikasjon! Internrevisjonen gjennomfører i løpet av et år en rekke revisjoner. For hvert oppdrag skal det rapporteres til oppdragsgiver, styre, revisjonsutvalg m.m. Det er mange måter å rapportere på, og i dette møtet vil vi komme med praktiske erfaringer fra to virksomheter. Hva sier standardene? I følge standard 2400 må internrevisor rapportere resultater fra oppdragene. Rapporteringen må omfatte oppdragets målsetninger og omfang samt relevante konklusjoner, anbefalinger og handlingsplaner, jf. 2410. Rapporteringen skal være nøyaktig, objektiv, klar, konsis, konstruktiv, fullstendig og rettidig, og resultatene må rapporteres til relevante parter, jfr. 2420 og 2440. Ingunn Valvatne er revisjonsdirektør i Norges Bank og Frithjof Røer er Chief Internal Auditor i Orkla ASA. De vil fortelle hvordan rapporteringen skjer i sine virksomheter, og hvilke verktøy og maler de benytter, presentasjon av funn, og eventuelle ønsker fra ledelsen i forbindelse med rapporteringen. Etter medlemsmøtet inviteres NIRFs medlemmer ut på byen for å spise pizza. Vi håper alle som kan benytter muligheten til litt uformell erfaringsutveksling over pizza og noe godt å drikke etterpå. Deltakelse gir 2 CPE-poeng. Dato: 7. februar 2013 Klokken: 14.00 – 16.00, registrering og kaffe fra kl.13.30 Sted: PwC, Dronning Eufemiasgate 8, Oslo Påmelding: www.iia.no Sett av rom i kalenderen den 19. april, kl. 09.00 – 11.00 til neste medlemsmøte. Da vil Richard Chambers, president og CEO i IIA komme til Norge og innlede på medlemsmøtet. BI-studentene i internrevisjon vil også være til stede. 56 SIRK nr 2. 2012 Certification in Risk Management Assurance (CRMA) Fra medio 2013 lanserer IIA en ny sertifisering: Certification in Risk Management Assurance. Som med de andre globale sertifiseringene må du bestå eksamen og krav til praksis for å oppnå tittelen. I USA er det ikke uvanlig å praktisere en såkalt «grandfathering» ordning (CRMA-PER) i forbindelse med lansering av nye sertifiseringer. Det vil si at man på bakgrunn av en kombinasjon av utdanning, andre sertifiseringer og praksis i en kort periode kan oppnå tittelen, uten å avlegge eksamen. Denne muligheten vil være åpen frem til 31.12.2012. Hvis du vil slippe eksamen og har tilstrekkelig med poeng er det ingen grunn til ikke å søke med det samme! Nitten av NIRFs medlemmer har benyttet seg av muligheten så langt. Krav: Du må oppnå minst 155 poeng til sammen for de tre kategoriene under for å tilfredsstille kravene til CRMA-PER: Education - Maximum of 25 points • Associates Degree (2 year post-secondary degree from a University) - 15 points • Bachelors Degree (4 year post-secondary degree from a University) - 20 points • Masters Degree (6 year post-secondary degree from a University) - 25 points Current, Active Certifications Held - Maximum of 30 points • CIA or CCSA with The IIA - 30 points • Other Currently Active Certification - 20 points Professional Experience in CRMA Domains Maximum of 140 points CRMA Domains: Domain 1: Assessing / Assurance of Risk Management Activities Domain 2: Risk management Fundamentals Domain 3: Elements of Risk Management Domain 4: Control Theory and Application Domain 5: Business Objectives and Organizational Performance Man må ha erfaring fra domain 1 og ytterligere to andre for å være kvalifisert. Pris: Medlemmer CIA/CCSA Ingen sertifiseringer kr 3.500 kr 4.600 Ikke-medlemmer kr 5.800 kr 7.000 Søknaden sendes via NIRF til IIA som forestår den endelige godkjennelsen. Mer informasjon og søknadsskjema finner du på www.iia.no. • Less than 120 Months Experience - 100 points • Between 120 and 300 Months Experience - 120 points • More than 300 Months Experience - 140 points SIRK nr 2. 2012 57 F o re n i n g s n y t t Nyheter fra sekretariatet, IIA og andre samarbeidspartnere Endringer i standardene fra 1. januar 2013 Som du kanskje har lagt merke til fulgte det med en ny oppdatert utgave av standardene med dette nummeret av SIRK. De oppdaterte standardene trår i kraft 1. januar 2013. Oppdateringen innebærer ingen omfattende endringer, men er i vesentlig grad ment å gjøre nåværende standarder tydeligere. Internrevisorer i offentlig sektor kan merke seg at definisjon av styret nå lyder som følger: «Den øverste myndighet med ansvar for styring og/eller overvåking av organisasjonens virksomhet og ledelse. Dette vil typisk inkludere en uavhengig gruppe medlemmer (eksempelvis et styre, et tilsynsstyre, "board of governors or trustees"). Hvis en slik gruppe ikke eksisterer, kan "styret" vise til virksomhetsleder. "Styret" kan også referere til et revisjonsutvalg eller til andre funksjoner de med styringsansvaret har delegert visse funksjoner til.» Vi håper dette vil være klargjørende for internrevisjoner som ikke har et styre, men kun rapporterer til virksomhetsleder. Internrevisor skal nå vurdere risikohåndtering og kontroller i forhold til håndteringen av risikoer i organisasjonens prosesser for governance, drift og informasjonssystemer, i forhold til oppnåelse av organisasjonens strategiske målsettinger. Dette kommer i tillegg til de målsettingene vi er kjent med fra COSO: påliteligheten og integriteten av finansiell og operasjonell informasjon, hensiktsmessig og effektiv drift og programmer, sikring av eiendeler og etterlevelse av lover, forskrifter, retningslinjer, prosedyrer og kontrakter. Den nye utgaven av standarden er også nedlastbar fra www.iia.no, hvor du også finner den engelske versjonen der hvilke endringer som er foretatt fremgår. Høringskommentarer til NOU 2012:14 Rapport fra 22. juli-kommisjonen Statlig nettverk har på vegne av NIRF svart på høringen til rapporten fra 22. juli-kommisjonen. Rapportens analyse av årsaker til svikt er av stor interesse for internrevisjonsprofesjonen og mange av årsakene til at ting sviktet faller sammen med de mest sentrale oppgavene en profesjonell internrevisjon skal ivareta. Hele høringssvaret finner du på www.iia.no og på nettsidene til Justis- og beredskapsdepartementet. Regionale/Lokale nettverk Selv om mesteparten av våre medlemmer befinner seg i og rundt Oslo, har vi likevel mange medlemmer i de øvrige deler av landet. For å bedre kunne serve medlemmer andre steder i landet har vi initiert et initiativ til å starte lokale nettverk utenfor Oslo. Stian Pedersen fra BDO som er en av initiativtakerne til en sterkere nettverks- 58 SIRK nr 2. 2012 bygging utenfor Oslo, har meldt seg som kontaktperson for å starte opp i region Sør-Vest landet (Rogaland, Vest-Agder og Aust-Agder.) Det må jo være mulig å overføre noen av medlems- og nettverksmøtene som finner sted til andre steder av landet, og å skape lokale nettverk for erfaringsutveksling. Programkomiteen drodler også med ideen om å overføre neste medlemsmøte 7. februar 2013 som en telefonkonferanse fra PwC Oslo til eksempelvis PwC Stavanger for at medlemmer i dette området skal kunne møtes over det samme temaet som er «Rapportering etter revisjoner». Om du har ideer om hvordan regionale nettverk kan utvikles, innspill til lokale aktiviteter eller selv ønsker å være en lokal node som får ting til å skje, ta kontakt med [email protected]. Nordiske (og Baltiske) bransjenettverk Det finnes bransjenettverk for internrevisorer mellom de nordiske landene, eksempelvis innen strømforsyning, hvor deltakerne har stort utbytte av å dele bransjeerfaringer på tvers av landegrensene. NIRF og IIA Sverige vil i løpet av 2013 legge til rette for flere bransjespesifikke nettverk i Norden og Baltikum. På arbeidsbenken ligger i dag flere tanker, eksempelvis å samle de forskjellige bransjenettverkene til en dag hvor halvparten av tiden dedikeres til generelle temaer i plenum, mens resterende tid vil medgå til å diskusjon bransjevis. Avslutningsvis ville det vært hyggelig med en middag hvor det gis anledning til å knytte nærmere bekjentskap med Nordiske og Baltiske kollegaer i en avslappet og sosial atmosfære. F o re n i n g s n y t t Ledernettverk - Audit Executive Centre – Audit Director Roundtable Er du ansatt internrevisjonsleder, uansett om det er en stor eller liten internrevisjonsfunksjon, er du hjertelig velkommen til å delta i nettverk for ansatte internrevisjonslederes fire halvdagsmøter hvor erfaringsutveksling og nettverksbygging på ledernivå står høyt på agendaen. IIA Nord-Amerika utviklet for et par år siden et eget tilbud til ledere av internrevisjoner, «Audit Executive Center». Tjenesten er hovedsakelig en web-portal hvor ledere kan: • Share, compare, and validate their internal audit activities. • Learn from the challenges and solutions of their peers. • Enhance their operational effectiveness and efficiency. • Webinars – Access to archived library of webinars on key issues and discussions on the latest topics, issues, and trends affecting the profession. Tips: Du kan laste ned standardene og alle veiledninger ved å logge deg på medlemssiden. IIAs globale hjemmeside: www.globaliia.org Vi minner om at IIAs hjemmeside har byttet navn til globaliia.org. Her har IIA samlet all informasjon som er av interesse for alle institutter, uavhengig av land. Du finner også direkte linker til alle verdens institutter. Dersom du logger deg på tidligere adressen www.theiia.org, vil du nå komme direkte inn på siden til de nord-amerikanske instituttene hvor mye av informasjonen ikke lenger er relevant. Tjenesten er differensiert og man får tilgang til forskjellige tjenester etter hvilket nivå man betaler for. Det er mulig å kjøpe tilgang slik at hele revisjonsavdelingen får tilgang til web-portalen. En globalisering av innholdet er under oppbygging slik at IIA også tilbyr tjenesten på globalt nivå, se www.globaliia.org. I forlengelsen av å utvikle tjenester til globale ledere av internrevisjoner ble et europeisk Audit Director Roundtable arrangert i Amsterdam i september. Der møttes 20 ledere fra de største virksomhetene fra privat sektor for å diskutere European Directives and Regulations, Audit Committee Role and Expectations og Staffing & Organisational Structures for Global Coverage. Fra Norge deltok DNB og Orkla. Diskusjonene ble vel mottatt og neste ADR vil bli arrangert våren 2013 i Berlin eller Frankfurt. Det er formålstjenlig å legge arrangementet til en sentral by slik at deltakerne kan reise frem og tilbake på samme dag. Audit Channel.tv Konferanser verdt å merke seg i 2013 NIRFs årskonferanse, 26. – 28. mai, Bodø IIAs International Conference, 14. – 17. juli, Orlando, USA ECIIA Conference, 2. – 4. oktober, Wien, Østerrike I tråd med mottoet “Fremskritt gjennom deling av kunnskap” har IIA laget en videoside som publiserer videosnutter fra hele verden med relevant innhold for internrevisorer og andre. Såkalte “videokanaler” fokuserer på områder som misligheter, compliance, goveranance, risk, etikk og mye mer. Gå til www.auditchannel.tv og vurder innholdet selv. Nye veiledninger siden forrige nummer av SIRK: PG Integrated Auditing (juli 2012) PG Auditing Privacy Risks (juli 2012) Erstatter GTAG 5! PG Developing the Internal Audit Strategic Plan (juli 2012) PG Evaluating Ethics-Related Programs and Activities (juni 2012) GTAG 17: Auditing IT Governance (juli 2012) GTAG 7: Information Technology Outsourcing, 2nd Edition (juni 2012) Supplemental Guidance: Optimizing Public Sector Audit Activities (juli 2012) Red Book-Yellow Book Comparison, 2nd Edtiton (juni 2012) SIRK nr 2. 2012 59 F o re n i n g s n y t t Foreningen gratulerer følgende medlemmer med ny tittel siden forrige nummer av SIRK: 60 Diplomert Intern Revisor (Dipl IR) Certified Internal Auditor (CIA) Nadeem Akthtar, Statens vegvesen Sidsel Skappel, Statsbygg Inger Faller, Fet kommune Hege Antonsen, Helse Nord Rune Botnevik, Statoil Ola B. Saxvik, Riksrevisjonen Linda Asp, Statens vegvesen Odd Nilsen, Riksrevisjonen Karin Jensen, Nets Norway Heidi Garberg Gule, Oslo kommune Alf Uldal, Pasientreiser Anna Ræder, Riksrevisjonen Mari Repstad, Riksrevisjonen Natalia Ulstein, LHL Eirin Fremstad, Riksrevisjonen Mette S. Fasting, Sintef Mette Rolen Offstad, Riksrevisjonen Beate Seim Midtlien, Riksrevisjonen Åsbjørn Ueland, Statoil Venill Schei, Deloitte Hilde K. Olsen, DNB Jørn Olav Nyhus, Toll- og avgiftsdirektoratet Morten Jespersen, KLP Karoline Flåten, PwC Geir Anders Fagerheim, Forsvarssjefen Bård Olsen, Aker Solutions Liss J. Vallestrand, Miljøverndepartementet Hilde K. Olsen, DNB Rune Botnevik, Statoil SIRK nr 2. 2012 Certification in Risk Management Assurance (CRMA) Ann Kristin Flaa, Gjensidige Harald Bergh, Gjensidige Hilde Øiseth Nordlid, Gjensidige Nils Hjelle, Toll- og avgiftsdirektoratet Albert Wolders, Deloitte Erik Andersson, DNB Endre Jo Reite, Sparebank 1 Rune Johannessen, Nordea Linda Lillestøl, Forsvarsdepartementet Tatjana Bachem, Norsk Hydro ASA Janne Britt Saltkjel, Deloitte Bård Olsen, Aker Solutions Europeisk akademisk konferanse innen intern revisjon og corporate governance (virksomhetsstyring) i Oslo fra 24-26 april 2013 I samarbeid med Cass Business School i London, The University of Pisa i Italia, The Catholic University of Louvain i Belgia The University of the Aegean i Hellas, og The University of Verona i Italia, arrangerer Handelshøyskolen BI; The 11th European Academic Conference on Internal Audit and Corporate Governance i Oslo fra 24 til 26 april 2013. Konferansen er en mulighet for den med interesse for forskning innenfor intern revisjon og virksomhetsstyring til å få et innblikk i hva som rører seg på den internasjonale forskningsarenaen innenfor disse områdene. Konferansen gjennomføres over 3 dager, hvor den første dagen gjennomføres som en workshop for doktorgradsstudenter. Her får de muligheten til å presentere sitt doktorgradsprosjekt for erfarne forskere innenfor området. Få tips og ideer til arbeidet videre. Hovedkonferansen (25-26 april) gjennomføres også som en slags workshop, hvor artikkel presenteres og diskuteres i plenum. Selv om konferansen defineres som akademisk, vil artiklene som presenteres ofte omhandle praktiske problemstillinger som kan være av interesse også for de som definerer seg selv som praktikere. En hovedfordel med denne konferansen er at den ikke er så stor når det gjelder antall mennesker. Vanligvis vil det være mellom 50 og 70 mennesker til stede. Dette gjør konferansen til en arena som gir god mulighet til interaksjon mellom deltakerne. Konferanseavgiften er ikke helt fastsatt ennå, men vi lligge på ca 3000- 3500 NOK. Dette inkluderer mulighet til å være med på alle 3 dagene, lunch, samt konferansemiddag. Sjekk ut nettsiden til konferansen hvor informasjon agående påmelding, program etc vil bli lagt ut etterhvert. Dersom du har spørsmål angående konferansen, så ta gjerne kontakt med undertegnede! Velkommen! Janicke L. Rasmussen, PhD (Conference Chair) BI Norwegian Business School Department of Accounting - Auditing and Law PB N-0442 OSLO - NORWAY http://bi.no Tlf: +4746410433 http://event.bi.no/iacgconference2013/ SIRK nr 2. 2012 61 Forbedringpotensial. Kanskje det mest undervurderte aspektet ved internrevisjon. Vi vet at du vil ha mer ut av internrevisjonen. N]\a\]flaÕk]j] forbedringsområder, kan vi hjelpe deg på veien fra god til best. Les mer på ey.no/advisory 62 SIRK nr 2. 2012 På t a m p e n På tampen En risk manager, en compliance officer og en intern revisor skal ta en tur i en varmluftsballong. Før ballongen tar av studerer risk manageren værkartet, måler gassen i beholderen og gjør sine beregninger. Compliance officer tar for seg sikkerhetsmanualen og sjekke at alle tauer og sandsekker i ballasten er med. Internrevisoren ser at alle de andre er opptatt med sine respektive oppgaver og deler ut kaffe fra kannen. Ballongen letter seg fra bakken og turen begynner. Solen skinner og utsikten nytes. Etter hvert fortæres forfriskninger og nytes en kald øl i høyden. Men dessverre skifter været brått og det er tydelig en mørk storm på vei. Alle er de enige om at det fremste målet er nå å komme ned på bakken. Risk manageren sjekker vindretningen, slår av gassen for en planlagt landing på et mer åpent lende, compliance officeren firer ned et tau med krok på og med hjelp fra risk manageren får han festet kroken på en busk og langsomt når de bakken. Mens dette pågår sitter internrevisoren med oppslått notisblokk og noterer. Omsider er de kommet seg ned på bakken og i mangel på andre alternativer snur de kurven til varmlufts- ballongen opp ned, og søker ly under den. Nå som faren er over, puster de lettet ut og begynner å slappe av. Både risk manageren og compliance officeren hadde gått med en gryende frustrasjon over at internrevisoren hadde bare sittet med nesen opp i notisblokken sin mens de hadde kjempet for å få ballongen ned. Til slutt kunne ikke risk manageren dy seg lenger og sa til internrevisoren ”Hvorfor kunne ikke du hjelpe til mens vi kjempet for å ballongen ned ? Og hva er det du sitter å skriver på?” Da svarer revisoren ”Jeg skjønner ikke helt hvorfor du tar den tonen. Jeg satt der og var bare så imponert over hvordan dere tok tak i situasjonen og reddet oss ned i tide. Det jeg noterte i boken var måten dere gjorde dette på. Jeg er ikke så sikker på at om jeg en annen gang skulle ta en ballongtur at jeg er så heldig å få sitte på med så flinke folk som dere. Da blir det kanskje opptil meg å instruere de andre om å følge beste praksis… Forresten har jeg også identifisert en anbefaling til dere også: Neste gang bør det tas med en presenning i kurven for nå begynner jeg å bli våt…” SIRK nr 2. 2012 63 Returadresse: NIRF, Postboks 1417 Vika, 0115 Oslo Internrevisjonen i Forsvarsdepartementet styrker laget ytterligere FD Led Internrevisjonen styrker laget med to nyopprettede stillinger. Besøk www.iia.no i dag og les om de spennende og utfordrende stillingene. Vi søker personer som har god forståelse og interesse for internrevisjon. Stillingene er opprettet for å styrke vår revisjonsinnsats i hele forsvarssektoren, og enheten vil da bestå av 9 medarbeidere. Kontakt avdelingsdirektør Frank Alvern på telefon 909 800 63 eller epost [email protected] Søknadsfristen er 7. januar 2013. Forsvarsdepartementet er et regjeringskontor med ansvar for utforming og iverksetting av norsk sikkerhets- og forsvarspolitikk, og er ansvarlig for overordnet styring og kontroll av de fire underlagte etaters virksomhet; Forsvaret, Forsvarsbygg (FB), Forsvarets forskningsinstitutt (FFI) og Nasjonal sikkerhetsmyndighet (NSM). Internrevisjonen, som er direkte underlagt departementsråden i Forsvarsdepartementet, er en objektiv bekreftelses- og rådgivningsfunksjon som har til formål å tilføre merverdi og forbedre driften i hele forsvarssektoren. I tillegg til å være departementets egen internrevisjonsenhet som dekker hele sektoren, så leverer vi etter avtaler en selvstendig internrevisjonsfunksjon til FB, FFI og NSM i tillegg til at vi samarbeider med Forsvarssjefens internrevisjon. Illustrasjonen til venstre er hentet fra NIRFs siste brosjyre: STYRING OG KONTROLL for å sikre måloppnåelse. ISSN 1892-9370