Upload
transcendent-group
View
424
Download
4
Embed Size (px)
DESCRIPTION
Presentation från GRC 2014 den 15 maj. Kontakta gärna talaren om du har några frågor. Hela schemat för eventet hittar du här: http://www.transcendentgroup.com/sv/har-har-du-hela-schemat-for-grc-2014/
Citation preview
COSO 2013
Claes Holmberg
15 maj
Hos Transcendent Group möter du erfarna
konsulter inom governance, risk and compliance. Våra
tjänster skapar trygghet och möjligheter för
myndigheter, företag och andra organisationer
inom en rad olika branscher.
Transcendent Group utsågs både 2012 och 2013
till en av Sveriges bästa arbetsplatser.
Om företaget
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Intern styrning och kontroll
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Varför är intern styrning och kontroll i
fokus?
• Många organisationer har misslyckats med att skapa en god intern styrning och kontroll– Enron (2001)
– Skandia (2003)
– Försäkringskassan (2007)
– HQ Bank (2010)
• Behov av att återställa förtroendet
• Regelverk, bl.a.– Sarbanes-Oxley Act (2002)
– Svensk kod för bolagsstyrning (2004)
– Förordning om intern styrning och kontroll (2008) (FISK)
– EIOPA, EBA, ESMA, Finansinspektionen; exempelvis FFFS 2005:1, GL44 (2012), FFFS 2014:1
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Behövs ett ramverk för intern styrning
och kontroll?
• Internationell utveckling mot gemensamma ramverk
• Underlättar bedömning och jämförelser samt sättande av
branchstandards och best practice
• Ger organisationer något att luta sig mot
• Underlättar dialog inom och mellan verksamheter
• Underlättar för organisationer att granskas
• Underlättar att följa upp och granska
– Risk/compliance
– Internrevision
– Externrevision
– Finansinspektionen
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Om COSO-ramverket
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Vad är COSO-modellen?
• En struktur för byggandet av ett ramverk kring intern styrning
och kontroll i alla olika typer av organisationer
• Modellen bygger på:
– En definition
– Tre mål
– Fem komponenter
– 17 principer
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Bakgrund
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
När? Vad?
1985 COSO i USA - The Committee Of the Sponsoring Organizations of the Treadway
Commission - grundades
1992 Publicering av det första COSO-ramverket (Internal Control – Integrated
Framework)- Begrepp och struktur för att utveckla organisationers interna styrning
och kontroll
1996 Publicering av vägledning – Styrning och kontroll av derivat
2004 Publicering av nytt ramverk rörande organisationers företagsövergripande
riskhantering – COSO Enterprise Risk Management Framework
2006 Publicering av vägledning - Hur interna styrningen och kontrollen av den finansiella
rapporteringen kan utvecklas och fokuseras
2009 Publicering av vägledning - Hur den interna styrningen och kontrollen ska följas upp
(Monitoring)
2012 Publicering av ERM-vägledningar; ERM in practices, ERM Cloud computing,
Board oversight
2013 Publicering av ett uppdaterat ramverk (Internal Control – Integrated Framework)
COSO 2013Modellen i illustrativt format
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Control ObjectivesC
on
tro
l C
om
po
nen
ts
COSO 2013
COSO - Definition och mål
• “Internal control is a process, effected by an entity’s board of directors,
management, and other personnel, designed to provide reasonable assurance
regarding the achievement of objectives relating to operations, reporting, and
compliance.”
• Intern styrning och kontroll är en process, utförd av en
organisations styrelse, ledning och annan personal, utformad för
att ge en rimlig försäkran om uppnåendet av mål som rör
verksamheten, rapporteringen och följsamheten gentemot lagar
och regler.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Komponenter och principer
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 1. Integritet och etiska värden
• 2. Oberoende och uppföljning
• 3. Organisationsstruktur, ansvar och befogenheter
• 4. Kompetensförsörjning
• 5. Ansvarsskyldighet, påföljder
Styr- och kontrollmiljö
• 6. Relevanta mål
• 7. Identifiera och analysera risk
• 8. Medvetenhet kring oegentlighetsrisker
• 9. Identifiera och analysera förändringar
Riskvärdering
• 10. Identifiera och utforma kontrollaktiviteter
• 11. Identifiera och utforma generella IT-kontroller
• 12. Sprida genom policys och riktlinjerKontrollaktiviteter
• 13. Använda relevant information
• 14. Strukturer och rutiner för intern kommunikation
• 15. Strukturer och rutiner för extern kommunikation
Information och kommunikation
• 16. Genomföra löpande och separata utvärderingar
• 17. Identifiera, utvärdera och kommunicera brister
Övervakande aktiviteter
Intern styrning och kontroll – en process
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
© COSO
Intern styrning och kontroll – en process
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Modell från ESV
Uppdateringar i COSO 2013
• Tillämpar ett tillvägagångssätt baserat på 17 principer
• Omfattar nu all typ av rapportering (intern och extern, finansiell
och icke-finansiell)
• Tydliggör hur verksamhetens mål förhåller sig till intern styrning
och kontroll
• Reflekterar över den ökade betydelsen av IT och systemstöd
• Utvidgar konceptet kring bolagsstyrning
• Ökar förväntningar på förebyggande arbete kring oegentligheter
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Tillförlitlig rapportering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Extern finansiell rapportering:
• Årsredovisning
• Delårsrapport
• Kurspåverkande information
• Myndighetsrapportering
Extern icke-finansiell rapportering:
• Förvaltningsberättelse
• Bolagsstyrningsrapport
• Hållbarhetsredovisning
Intern finansiell rapportering:
• Resultatrapporter per AO
• Budget
• Kassaflödesanalyser
• Covenanter
Intern icke-finansiell rapportering:
• Styrelserapportering
• Kundundersökningar
• Medarbetarindex
Mål: Tillförlitlig rapportering
Hur etablerat är COSO?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Intern styrning och kontroll – COSO
• Intern styrning och kontroll är en process, där ett företags styrelse, ledning och övrig personal samverkar och som med en rimlig grad av säkerhet ska tillse att verksamhetens mål uppnås avseende:
• Effektiv och ändamålsenlig verksamhet
• Tillförlitlig rapportering
• Regelefterlevnad
Intern styrning och kontroll – Förordning
2007:603 (FISK)
• Med intern styrning och kontroll i staten avses i normalfallet en process styrd av myndighetens ledning som med rimlig säkerhet leder till:
• En effektiv verksamhet
• Att gällande rätt och de förpliktelser som följer av medlemskap i EU följs
• En tillförlitlig redovisning och rättvisande rapportering
• God hushållning med statens medel
Intern styrning och kontroll – FFFS 2005:1
• Med intern styrning och kontroll menas en process genom vilken företagets styrelse, verkställande direktör, ledning och annan personal skaffar sig rimlig säkerhet för att företagets mål uppnås på följande områden:
• En ändamålsenlig och effektiv organisation och förvaltning av verksamheten
• En tillförlitlig finansiellrapportering
• Efterlevnad av tillämpliga lagar, förordningar och andra regler
Ramverksstruktur för riskhantering och
intern styrning och kontroll
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
UppföljningÅtgärderRiskbedömning
(omfattning)
Ko
ntr
oll
Sty
rnin
g
Lagar och
förordningar
Policys och
riktlinjer
Processer
Intern kontroll
Riskanalys Aktiviteter
Självutvärdering/
oberoende testning
Statusrapportering
Verksamhetens
mål/
Riskområden
Identifierade
brister/inträffade
incidenter
Styr- och kontrollmiljön
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
COSO-principer relaterat till kontrollmiljö
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 1. Integritet och etiska värden• 2. Oberoende och uppföljning
• 3. Organisationsstruktur, ansvar och befogenheter
• 4. Kompetensförsörjning
• 5. Ansvarsskyldighet, påföljder
Styr- och kontrollmiljö
• ”Organisationen visar engagemang och åtagande för integritet
och etiska värden”
– ”Tone at the Top”
– Etablerar uppförandekod (värdegrund/etisk policy)
– Bedömer efterlevnaden
– Adresserar avvikelser i god tid
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 1. Integritet och etiska värden
• 2. Oberoende och uppföljning• 3. Organisationsstruktur, ansvar och befogenheter
• 4. Kompetensförsörjning
• 5. Ansvarsskyldighet, påföljder
Styr- och kontrollmiljö
• ” Styrelsen är oberoende av ledningen samt utövar tillsyn av
utvecklingen och uppföljning av intern styrning och kontroll”
– Etablerar styrelsemedlemmars ansvar för tillsyn
– Bibehåller och delegerar tillsynsansvar
– Agerar oberoende
– Utövar tillsyn (komponenterna)
COSO-principer relaterat till kontrollmiljö
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 1. Integritet och etiska värden
• 2. Oberoende och uppföljning
• 3. Organisationsstruktur, ansvar och befogenheter
• 4. Kompetensförsörjning
• 5. Ansvarsskyldighet, påföljder
Styr- och kontrollmiljö
• ”Ledning etablerar, med styrelsens tillsyn, strukturer,
rapporteringslinjer, och lämpliga befogenheter och ansvar för att
uppnå målen”
– Beaktar alla strukturer av enheten
– Etablerar rapporteringslinjer
– Definierar, tilldelar och begränsar roller och ansvar
COSO-principer relaterat till kontrollmiljö
Specifika stödfunktioner Ansvar: Underlätta för verk-
samheten i riskarbetet,
övervaka och utmana utfallet
av verksamhetens arbete samt
utvärdera regelefterlevnad
Arbetsuppgifter: Sätta
standarder och metoder,
stödja riskvärderingen samt
aggregera och analysera utfall.
Rapportering: Verksamhe-
tens aggregerade riskexpo-
nering till ledning och styrelse.
Försvarslinjerna i organisationen
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2013
Styrelsen
VD
1:a försvarslinjen 2:a försvarslinjen 3:a försvarslinjen
VerksamhetenAnsvar: Se till att verk-
samheten når sina mål inom
ramen för given riskaptit.
Arbetsuppgifter: Fullt ansvar
och ägarskap över
risktagandet, intern kontroll
och uppföljning.
Rapportering: Rapporterar
riskläget till riskkommitté och
andra försvarslinjen.
InternrevisionAnsvar: Oberoende utvärdera
organisationens interna
styrning och kontroll samt öka
effektiviteten i bolagets GRC-
arbete
Arbetsuppgifter: Utvärdera
processer och efterlevnaden
av regler, ramverk och
modeller ur ett internkontroll-
perspektiv.
Rapportering: Identifierade
iakttagelser tillsammans med
föreslagna förbättringsom-
råden till styrelsen
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 1. Integritet och etiska värden
• 2. Oberoende och uppföljning
• 3. Organisationsstruktur, ansvar och befogenheter
• 4. Kompetensförsörjning• 5. Ansvarsskyldighet, påföljder
Styr- och kontrollmiljö
• ”Organisationen visar engagemang och åtagande för att
attrahera, utveckla, och bibehålla kompetenta individer i enlighet
med satta mål”
– Etablerar Policys och riktlinjer
– Attrahera, utveckla och bibehålla individer
– Utvärderar kompetens och adresserar tillkortakommanden
– Planerar och förbereder för succession
COSO-principer relaterat till kontrollmiljö
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 1. Integritet och etiska värden
• 2. Oberoende och uppföljning
• 3. Organisationsstruktur, ansvar och befogenheter
• 4. Kompetensförsörjning
• 5. Ansvarsskyldighet, påföljder
Styr- och kontrollmiljö
• ”Organisationen håller individer ansvariga för deras interna styrning och kontrollansvar för att nå satta mål” – Utövar ansvarskyldighet genom strukturer, ansvar och roller
– Etablerar utvärdering av prestation, incitament och belöning
– Utvärderar nyckeltal, incitament och belöning löpande (?)
– Beaktar ökade påtryckningar
• Orealistiska nyckeltal, speciellt kortsiktiga
• Målkonflikter mellan olika intressenter
• Obalans mellan kortsiktig belöning mot långsiktiga mål
– Utvärdering av prestation och belöning eller disciplinära åtgärder
COSO-principer relaterat till kontrollmiljö
Riskvärdering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
COSO-principer relaterat till risk
• ”Organisationer specificerar mål med tillräcklig tydlighet för att
möjligöra identifiering och värdering av risker relaterade till
målen.”
– Verksamhetsmål
– Rapporteringsmål
– Regelefterlevnadsmål
– Mål bör uttryckas som SMART:a
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 6. Relevanta mål• 7. Identifiera och analysera risk
• 8. Medvetenhet kring oegentlighetsrisker
• 9. Identifiera och analysera förändringar
Riskvärdering
Sätts mot bakgrund av risktolerans!
COSO-principer relaterat till risk
• ”Hela organisationen identifierar risk relaterat till uppsatta mål
och analyserar risk som en förutsättning för att bestämma hur
risken ska hanteras”
– Riskidentifiering på alla nivåer, beaktat såväl externa som interna faktorer
– Analys av hur identifierade risker kan påverka måluppfyllnad
– Riskkategorisering efter väsentlighet
– Metoder för att styra hur risk ska hanteras
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 6. Relevanta mål
• 7. Identifiera och analysera risk• 8. Medvetenhet kring oegentlighetsrisker
• 9. Identifiera och analysera förändringar
Riskvärdering
COSO-principer relaterat till risk
• ”Organisationen beaktar särskilt risker för oegentligheter i sin
riskanalys”
– Beaktar olika sätt när bedrägeri kan inträffa
– Bedömning av incitament och möjliga påtryckningar
– Beaktar möjligheter
– Analyserar attityder och rationaliseringar
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 6. Relevanta mål
• 7. Identifiera och analysera risk
• 8. Medvetenhet kring oegentlig-hetsrisker
• 9. Identifiera och analysera förändringar
Riskvärdering
COSO-principer relaterat till risk
• ”Organisationen identifierar och utvärderar förändringar som
väsentligen kan påverka den interna styrningen och kontrollen”
– Förändringar i den externa miljön
– Förändringar i verksamheten/affären
– Förändringar i ledarskap
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 6. Relevanta mål
• 7. Identifiera och analysera risk
• 8. Medvetenhet kring oegentlighetsrisker
• 9. Identifiera och analysera förändringar
Riskvärdering
Kontrollaktiviteter
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
COSO-principer relaterat till kontroll
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 10. Identifiera och utforma kontrollaktiviteter
• 11. Identifiera och utforma generella IT-kontroller
• 12. Sprida genom policys och riktlinjer
Kontrollaktiviteter
• ”Organisationen definierar och utformar kontrollaktiviteter som
bidrar till att hantera risk till en acceptabel nivå”
– Integrerat med riskanalysen
– Beaktar företagsspecifika faktorer
– Fastställer relevanta affärsprocesser
– Utvärderar sammansättning av olika typer av kontrolltyper
– Beaktar på vilken nivå kontrollaktiviteterna ska ske
– Adresserar dualitet (segregation of duties)
COSO-principer relaterat till kontroll
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 10. Identifiera och utforma kontrollaktiviteter
• 11. Identifiera och utforma generella IT-kontroller
• 12. Sprida genom policys och riktlinjer
Kontrollaktiviteter
• ”Organisationen definierar och utformar IT-generella
kontrollaktiviteter för att stödja måluppfyllelsen”
– Fastställer beroendet mellan systemanvändandet i affärsprocesser och IT-
generella kontroller
– Etablerar relevant struktur för IT-generella kontroller
– Etablerar relevanta kontrollaktiviteter för säkerhet (behörigheter)
– Etablerar relevanta kontrollaktiviteter för inskaffa, utveckla och förvalta
system/applikationer
COSO-principer relaterat till kontroll
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 10. Identifiera och utforma kontrollaktiviteter
• 11. Identifiera och utforma generella IT-kontroller
• 12. Sprida genom policys och riktlinjer
Kontrollaktiviteter
• ”Organisationen sätter ramarna för kontrollaktiviteterna genom
policys som etablerar vad som förväntas, och implementerar
kontroller genom riktlinjer, som omsätter policys i handlingar”
– Kontrollaktiviteter byggs in i processer och det dagliga arbetet genom
upprättade policys och riktlinjer
– Fastställer ansvar och skyldighet
– Kontrollaktiviteter utförs av kompetens personal vid rätt tidpunkt och
leder till att eventuella fel/avvikelser utreds och korrigeras
– Uppdaterar löpande gällande policys, riktlinjer och kontrollaktiviteter
Information och kommunikation
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
COSO-principer relaterat till information
& kommunikation
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 13. Använda relevant information• 14. Strukturer och rutiner för intern kommunikation
• 15. Strukturer och rutiner för extern kommunikation
Information och kommunikation
• ”Organisationen inhämtar eller erhåller, genererar och använder
relevant, kvalitativ information för att stödja funktionaliteten i
den interna kontrollen”
– Identifierar informationskrav
– Fångar interna och externa datakällor
– Processar relevant data till information
– Håller kvalitet genom processen/flödet
COSO-principer relaterat till information
& kommunikation
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 13. Använda relevant information
• 14. Strukturer och rutiner för intern kommunikation
• 15. Strukturer och rutiner för extern kommunikation
Information och kommunikation
• ”Organisationen kommunicerar internt information (inklude-
rande mål och ansvar för intern kontroll) på lämpligt sätt för att
stödja effektiviteten och ändamålsenligheten i internkontroll-
ramverket”
– Kommunicerar information gällande intern kontroll till personal
– Kommunicerar information gällande intern kontroll till styrelse
– Tillhandahåller separata kommunikationskanaler
– Väljer relevanta metoder för kommunikation
COSO-principer relaterat till information
& kommunikation
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 13. Använda relevant information
• 14. Strukturer och rutiner för intern kommunikation
• 15. Strukturer och rutiner för extern kommunikation
Information och kommunikation
• ”Organisationen kommunicerar med externa parter gällande
frågor som påverkar funktionaliteten i den interna styrningen
och kontrollen”
– Kommunikation till och från externa parter
– Kommunikation till styrelsen
– Tillhandahåller separata kommunikationskanaler
– Väljer relevanta metod för kommunikation
Övervakande aktiviteter
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
COSO-principer relaterat till uppföljning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 16. Genomföra löpande och separata utvärderingar
• 17. Identifiera, utvärdera och kommunicera brister
Övervakande aktiviteter
• ”Organisationen väljer, utformar och utför löpande och/eller
separata utvärderingar för att bedöma om internkontroll-
komponenterna finns och fungerar”
– Beaktar en mix av löpande och separata utvärderingar
– Varierar i omfattning och frekvens
– Löpande utvärderingar integrerar med affärsprocesser
– Separata utvärderingar främjar objektiv i utvärderingarna
COSO-principer relaterat till uppföljning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
• 16. Genomföra löpande och separata utvärderingar
• 17. Identifiera, utvärdera och kommunicera brister
Övervakande aktiviteter
• ”Organisationen utvärderar och kommunicerar brister i den
interna kontrollen i rimlig tid till de parter som är ansvariga för
åtgärdsaktiviteter, inklusive ledning och styrelse”
– Värderar resultat
– Kommunicerar internkontrollbrister
– Rapporterar brister till högsta ledning och styrelse
– Följer upp åtgärdshantering
www.transcendentgroup.com