frukostseminarium coso
DESCRIPTION
TRANSCRIPT
Frukostseminarium
COSO
Alex Hofmann
27 maj 2014
Hos Transcendent Group möter du erfarna
konsulter inom governance, risk and compliance. Våra
tjänster skapar trygghet och möjligheter för
myndigheter, företag och andra organisationer
inom en rad olika branscher.
Transcendent Group har tre år i rad utsetts till en
av Sveriges bästa arbetsplatser.
Om företaget
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
014
Agenda
• om COSO-ramverket
• att bygga ett ramverk för intern styrning och
kontroll
• att bygga ett riskramverk
• uppföljning
• systemstöd?
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Om COSO-ramverket
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Varför är intern styrning och kontroll i
fokus?
Många organisationer har misslyckats med att skapa en god intern styrning och kontroll:
• Enron (2001)
• Skandia (2003)
• Försäkringskassan (2007)
• HQ Bank (2010)
Detta har lett till ett behov av att återställa förtroendet.
Regelverk, bland andra:
• Sarbanes-Oxley Act (2002)
• Svensk kod för bolagsstyrning (2004)
• Förordning om intern styrning och kontroll (2008) (FISK)
• EIOPA, EBA, ESMA, Finansinspektionen; exempelvis FFFS 2005:1, GL44 (2012), FFFS 2014:1
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Definition och mål
“Internal control is a process, effected by an entity’s board of
directors, management, and other personnel, designed to provide
reasonable assurance regarding the achievement of objectives
relating to operations, reporting, and compliance.”
Intern styrning och kontroll är en process, där ett företags styrelse,
ledning och övrig personal samverkar och som med en rimlig grad
av säkerhet ska tillse att verksamhetens mål uppnås avseende:
• effektiv och ändamålsenlig verksamhet
• tillförlitlig rapportering
• regelefterlevnad
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
mål
Intern styrning och kontroll i regelverken
FISK – förordning (2007:603)
om intern styrning och kontroll
FFFS 2005:1 – allmänna råd
om styrning och kontroll i
finansiella företag
FFFS 2014:1 – föreskrifter och
allmänna råd om styrning,
riskhantering och kontroll
Med intern styrning och
kontroll avses den process styrd
av myndighetens ledning som
med rimlig säkerhet leder till:
• en effektiv verksamhet
• att gällande rätt och de
förpliktelser som följer av
medlemskap i EU följs
• en tillförlitlig redovisning
och rättvisande rapportering
• en god hushållning av
statens medel.
Med intern styrning och
kontroll menas en process
genom vilken företagets styrelse,
VD, ledning och annan personal
skaffar sig rimlig säkerhet för att
företagets mål uppnås på
följande områden:
• en ändamålsenlig och
effektiv organisation och
förvaltning av verksamheten
• en tillförlitlig finansiell
rapportering
• efterlevnad av tillämpliga
lagar, förordningar och
andra regler.
Saknar definition av intern
styrning och kontroll.
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Uppdateringar i COSO 2013
• omfattar nu all typ av rapportering (intern och extern, finansiell
och icke-finansiell)
• tillämpar ett tillvägagångssätt baserat på 17 principer
• tydliggör hur verksamhetens mål förhåller sig till intern styrning
och kontroll
• reflekterar över den ökade betydelsen av IT och systemstöd
• utvidgar konceptet kring bolagsstyrning
• ökar förväntningar på förebyggande arbete kring oegentligheter
• tar hänsyn till olika affärsmodeller och organisationsstrukturer
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Control Objectives
Co
ntr
ol C
om
po
nen
ts
COSO 2013
COSO ERM
COSO 2013 – modellen i illustrativt
format
Komponenter och principer
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
• 1. integritet och etiska värden
• 2. oberoende och uppföljning
• 3. organisationsstruktur, ansvar och befogenheter
• 4. kompetensförsörjning
• 5. ansvarsskyldighet, påföljder
styrning och kontrollmiljö
• 6. relevanta mål
• 7. identifiera och analysera risk
• 8. medvetenhet kring oegentlighetsrisker
• 9. identifiera och analysera förändringar
riskbedömning
• 10. identifiera och utforma kontrollaktiviteter
• 11. identifiera och utforma generella IT-kontroller
• 12. sprida genom policys och riktlinjerkontrollaktiviteter
• 13. använda relevant information
• 14. strukturer och rutiner för intern kommunikation
• 15. strukturer och rutiner för extern kommunikation
information och kommunikation
• 16. genomföra löpande och separata utvärderingar
• 17. identifiera, utvärdera och kommunicera brister
uppföljning och utvärdering
Tillförlitlig rapportering
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
extern finansiell rapportering:
• årsredovisning
• delårsrapport
• kurspåverkande information
• myndighetsrapportering
extern icke-finansiell rapportering:
• förvaltningsberättelse
• bolagsstyrningsrapport
• hållbarhetsredovisning
intern finansiell rapportering:
• resultatrapporter per enhet
• Budget / affärsplanering
• kassaflödesanalyser
intern icke-finansiell rapportering:
• styrelserapportering
• kundundersökningar
• medarbetarindex
mål: tillförlitlig rapportering
Intern styrning och kontroll – en process
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
© COSO
Intern styrning och kontroll – en process
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Att bygga ett ramverk för intern
styrning och kontroll
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Byggstenar
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
roller och ansvar
organisa-tion
ambitions-nivå
syfte och definition
styrdoku-ment
struktur
metod och verktyg
rapporte-ringsvägar
Komponenter och byggstenar
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
• syfte och definition
• ambitionsnivå
• organisation – tre försvarslinjer
• roller och ansvar
• styrdokument
styrning och kontrollmiljö
• struktur
• metod och verktygriskbedömning
• struktur
• metod och verktygkontrollaktiviteter
• rapporteringsvägarinformation och kommunikation
• struktur
• metod och verktyguppföljning och utvärdering
Förutsättningar
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
• syfte och definition
• ambitionsnivå
• organisation – 3 försvarslinjer
• roller och ansvar
• styrdokument
styrning och kontrollmiljö
• struktur
• metod och verktygriskbedömning
• struktur
• metod och verktygkontrollaktiviteter
• rapporteringsvägarinformation och kommunikation
• struktur
• metod och verktyguppföljning och utvärdering
Processen
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
• syfte och definition
• ambitionsnivå
• organisation – 3 försvarslinjer
• roller och ansvar
• styrdokument
styrning och kontrollmiljö
• struktur
• metod och verktygriskbedömning
• struktur
• metod och verktygkontrollaktiviteter
• rapporteringsvägarinformation och kommunikation
• struktur
• metod och verktyguppföljning och utvärdering
Struktur för ISK-processen
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
strategiska
mål och
affärsmål
nettorisk-
analysåtgärder
uppföljning/
utvärdering
mål för
väsentliga
verksamhets-
processer
bruttorisk-
analyskontroller
uppföljning/
utvärdering
resultat
mål riskanalys kontrollåtgärder uppföljning
styr
nin
gko
ntr
oll
Försvarslinjerna i organisationen
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Specifika stödfunktioner Ansvar: Underlätta för verk-
samheten i riskarbetet,
övervaka och utmana utfallet
av verksamhetens arbete samt
utvärdera regelefterlevnad
Arbetsuppgifter: Sätta
standarder och metoder,
stödja riskvärderingen samt
aggregera och analysera
utfall.
Rapportering: Verksamhe-
tens aggregerade riskexpo-
nering till ledning och
styrelse.
Styrelsen
VD
1:a försvarslinjen 2:a försvarslinjen 3:a försvarslinjen
VerksamhetenAnsvar: Se till att verk-
samheten når sina mål inom
ramen för given riskaptit.
Arbetsuppgifter: Fullt ansvar
och ägarskap över
risktagandet, intern kontroll
och uppföljning.
Rapportering: Rapporterar
riskläget till riskkommitté
och andra försvarslinjen.
InternrevisionAnsvar: Oberoende utvärdera
organisationens interna
styrning och kontroll samt
öka effektiviteten i bolagets
GRC-arbete
Arbetsuppgifter: Utvärdera
processer och efterlevnaden
av regler, ramverk och
modeller ur ett internkontroll-
perspektiv.
Rapportering: Identifierade
iakttagelser tillsammans med
föreslagna förbättringsom-
råden till styrelsen
Scenarioanalys – FI:s sanktioner
Folksam LO Fond (anmärkning)
2012 – straffavgift på 6 miljoner kronor.
Sanktion på grund av:
• otydlighet i organisationen, styrdokument, beslutsvägar och rapportering
• svårigheter att identifiera och hantera intressekonflikter i verksamheten
• brist på självständighet hos funktioner i andra försvarslinjen
• avsaknad av anpassade rutiner och riktlinjer mot penningtvätt
• uppfyller inte det grundläggande sundhetskravet i lagen om investeringsfonder, vilket innebär krav på sunda rutiner för‒ förvaltning av verksamheten och redovisning‒ intern kontroll, och‒ drift och förvaltning av sina informationssystem
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Scenarioanalys – FI:s sanktioner
Trygg-Hansa(anmärkning)
2009 – straffavgift på 5 miljoner kronor.
Sanktion på grund av:
• felaktig finansiell rapportering till FI
– omrapportering av årsbokslut för räkenskapsåret 2007 totalt 10 gånger på grund av brister!!
• otydlighet i organisationen, styrdokument och i beslutsvägarna
• brist på självständighet hos funktioner i andra försvarslinjen
• undermålig styrelseprotokollering
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Scenarioanalys – FI:s sanktioner
SEB Trygg Liv Gamla/Nya(varning)
2008 – straffavgift på 2 x 15 miljoner kronor.
Sanktion på grund av:
• Brister i intern styrning och kontroll
• Riskkontrollfunktionen saknade självständighet
• Avsaknad av styrdokument, eller otydliga sådana
• Avsaknad av tydlig riskaptit och riskanalys
• Bristande efterlevnad av interna och externa riktlinjer
• Undermålig protokollering i styrelsen
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Att bygga ett riskramverk
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Riskramverk - byggstenar
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
riskaptit och limit
KRI:er
risk-strategi
incident-hantering
riskanalystekniker och verktyg
uppfölj-ning och rapporte-ring
brutto-risk vs. nettorisk
COSO-principer relaterade till risk
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
• 6. relevanta mål• 7. identifiera och analysera risk
• 8. medvetenhet kring oegentlighetsrisker
• 9. identifiera och analysera förändringar
riskbedömning
”Organisationer specificerar mål med tillräcklig tydlighet för att
möjligöra identifiering och värdering av risker relaterade till målen.”
• verksamhetsmål
• rapporteringsmål
• regelefterlevnadsmål
Mål bör uttryckas som SMART:a
Sätts mot bakgrund av risktolerans!
Riskstrategi
• Riskträd…
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Riskträd – exempel bank
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
riskuniversum
personalrisk
marknads-
likviditetsrisk
finansierings-
likviditetsrisk
beredskaps-
likviditetsrisk
avvecklingsriskmotparts-
risk
extern riskIT och informations-
säkerhet
verksamhets- och
processrisk
valutariskränteriskaktiekurs-
risk
residualriskKoncentrations-
risk
ränterisk i
bankbokenråvarurisk
kreditrisk operativ risk marknadsriskaffärsrisk
(strategisk risk)
varumärkes-/
ryktesrisk
likviditets-
risk
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
riskuniversum
risktyp
riskområde
riskdrivare
kreditriskvarumärkes-/
ryktesriskoperativ Risk marknadsrisk
affärsrisk(strategisk risk)
verksamhets- och
processriskpersonalrisk extern risk
IT och informations-
säkerhet
likviditets-
risk
Kompetens och
bemanning
Rådgivning
Interna
oegentligheter
Personberoenden
Ledning och
kultur
Manuell hantering
Felaktiga
processer
Dokumentation
och underlag
Modeller och
beräkningsverktyg
Organisation och
styrning
Regelefterlevnad
Projekt och
förändring
extern
brottslighet
leverantörer och
utläggning
kundberoende
och kundbeteende
infrastruktur
angrepp, olyckor
och katastrofer
regelförändringar
politik och
myndigheter
Arbetsförhållanden
och arbetsmiljö
Fysisk säkerhet
spårbarhet i
system
Systemkvalitet
IT-drift och
kommunikation
Incident-
rapportering
Informations-
tillgångar
avbrott och
kontinuitet
åtkomstskydd &
behörigheter
Utvecklings-
process
COSO-principer relaterat till risk
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
”Hela organisationen identifierar risk relaterat till uppsatta mål och analyserar risk som en förutsättning för att bestämma hur risken ska hanteras.”
• riskidentifiering på alla nivåer, beaktat såväl externa som interna faktorer
• analys av hur identifierade risker kan påverka måluppfyllnad
• riskkategorisering efter väsentlighet
• metoder för att styra hur risk ska hanteras
• 6. relevanta mål
• 7. identifiera och analysera risk• 8. medvetenhet kring oegentlighetsrisker
• 9. identifiera och analysera förändringar
riskbedömning
Riskaptit, risktolerans, risklimit
• kärt namn har många barn, eller hur var det nu?
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Riskaptit, risktolerans, risklimit
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
låg
risk
hög
risk
t
riskaptit =
riskmål
limit
limit
limit
limit
limit
risknivå
riskap
titsom
fång
riskto
lera
ns
risk
tole
ran
s
Metoder och verktyg
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
framåtblickandebakåtblickande
risk-
analys
incidenter
t
kontrollutvärdering
• aktuella, specifika,
övergripande nettorisker
och åtgärder
• inneboende bruttorisker
och kontroller
stresstester
omvärldsanalys
KRI-utveckling
• nyckeltal
• limiter
scenarioanalyser
t=0
COSO-principer relaterat till risk
”Organisationen beaktar särskilt risker för oegentligheter i sin
riskanalys.”
• beaktar olika sätt när bedrägeri kan inträffa
• bedömning av incitament och möjliga påtryckningar
• beaktar möjligheter
• analyserar attityder och rationaliseringar
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
• 6. relevanta mål
• 7. identifiera och analysera risk
• 8. medvetenhet kring oegentlighetsrisker
• 9. identifiera och analysera förändringar
riskbedömning
COSO-principer relaterat till risk
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
”Organisationen identifierar och utvärderar förändringar som
väsentligen kan påverka den interna styrningen och kontrollen.”
• förändringar i den externa miljön
• förändringar i verksamheten/affären
• förändringar i ledarskap
• 6. relevanta mål
• 7. identifiera och analysera risk
• 8. medvetenhet kring oegentlighetsrisker
• 9. identifiera och analysera förändringar
riskbedömning
Uppföljning
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
COSO-principer relaterat till uppföljning
”Organisationen väljer, utformar och utför löpande och/eller
separata utvärderingar för att bedöma om internkontroll-
komponenterna finns och fungerar.”
• beaktar en mix av löpande och separata utvärderingar
• varierar i omfattning och frekvens
• löpande utvärderingar integrerar med affärsprocesser
• separata utvärderingar främjar objektiv i utvärderingarna
• 16. genomföra löpande och separata utvärderingar
• 17. identifiera, utvärdera och kommunicera brister
uppföljning och utvärdering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
014
COSO-principer relaterat till uppföljning
”Organisationen utvärderar och kommunicerar brister i den interna
kontrollen i rimlig tid till de parter som är ansvariga för
åtgärdsaktiviteter, inklusive ledning och styrelse.”
• värderar resultat
• kommunicerar internkontrollbrister
• rapporterar brister till högsta ledning och styrelse
• följer upp åtgärdshantering
• 16. genomföra löpande och separata utvärderingar
• 17. identifiera, utvärdera och kommunicera brister
uppföljning och utvärdering
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
014
Systemstöd?
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
”Nice to have” eller ”need to have?”
FFFS 2014:1, 6 kap kontrollfunktioner
1 §: ”Ett företag ska ha en funktion för riskkontroll, en funktion för
regelefterlevnad och en funktion för internrevision. Kontroll-
funktionerna ska vara organisatoriskt skilda från varandra [...]”
5§: ”En kontrollfunktion enligt 1 § ska ha ändamålsenliga IT-system
och stöd till sitt förfogande.”
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Systemstöd
• flora av GRC-system
• nytta
• utmaningar
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
The Forrester Wave™: governance, risk
and compliance platforms, Q1 2014
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Nytta för organisationen
• automatisering
• visualisering
• effektivitet
• struktur
• hjälper verksamheten att arbeta professionellt
med GRC
• finansiellt (ROI på lång sikt)
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Nytta för internrevison
• integration och övergripande gemensam sikt avseende:
– processer
– risker
– förväntade kontroller
– definitioner och taxonomi
– koppling till incidenter
• möjlighet att ta höjd för befintliga, kända brister
• samlat åtgärdsarbete (inklusive uppföljning)
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Utmaningar vid införande av GRC-
system
• förväntansgap – systemet löser inte alla problem
i organisationen
• taxonomi – olika definitoner av samma sak
trasslar till det
• företagskultur – obenägen att förändra sig
• verktyg för 2:a försvarslinjen
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
Framgångsfaktorer vid val och införande
av GRC-system
• tydlighet i vad ska systemet användas till och hur
– driver/sponsor
– syfte och målsättning
– ambitionsnivå
• börja bakifrån med rapporteringen som utgångspunkt
– vilken information ska följas upp och rapporteras?
fånga in förväntningar från alla relevanta stakeholders
– hur kommer man fram till den informationen?
– är det rimligt? (kostnad-nytta)
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2014
www.transcendentgroup.com