frukostseminarium coso

48
Frukostseminarium COSO Alex Hofmann 27 maj 2014

Upload: transcendent-group

Post on 05-Dec-2014

762 views

Category:

Leadership & Management


1 download

DESCRIPTION

 

TRANSCRIPT

Page 1: Frukostseminarium COSO

Frukostseminarium

COSO

Alex Hofmann

27 maj 2014

Page 2: Frukostseminarium COSO

Hos Transcendent Group möter du erfarna

konsulter inom governance, risk and compliance. Våra

tjänster skapar trygghet och möjligheter för

myndigheter, företag och andra organisationer

inom en rad olika branscher.

Transcendent Group har tre år i rad utsetts till en

av Sveriges bästa arbetsplatser.

Om företaget

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

014

Page 3: Frukostseminarium COSO

Agenda

• om COSO-ramverket

• att bygga ett ramverk för intern styrning och

kontroll

• att bygga ett riskramverk

• uppföljning

• systemstöd?

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 4: Frukostseminarium COSO

Om COSO-ramverket

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 5: Frukostseminarium COSO

Varför är intern styrning och kontroll i

fokus?

Många organisationer har misslyckats med att skapa en god intern styrning och kontroll:

• Enron (2001)

• Skandia (2003)

• Försäkringskassan (2007)

• HQ Bank (2010)

Detta har lett till ett behov av att återställa förtroendet.

Regelverk, bland andra:

• Sarbanes-Oxley Act (2002)

• Svensk kod för bolagsstyrning (2004)

• Förordning om intern styrning och kontroll (2008) (FISK)

• EIOPA, EBA, ESMA, Finansinspektionen; exempelvis FFFS 2005:1, GL44 (2012), FFFS 2014:1

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 6: Frukostseminarium COSO

Definition och mål

“Internal control is a process, effected by an entity’s board of

directors, management, and other personnel, designed to provide

reasonable assurance regarding the achievement of objectives

relating to operations, reporting, and compliance.”

Intern styrning och kontroll är en process, där ett företags styrelse,

ledning och övrig personal samverkar och som med en rimlig grad

av säkerhet ska tillse att verksamhetens mål uppnås avseende:

• effektiv och ändamålsenlig verksamhet

• tillförlitlig rapportering

• regelefterlevnad

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

mål

Page 7: Frukostseminarium COSO

Intern styrning och kontroll i regelverken

FISK – förordning (2007:603)

om intern styrning och kontroll

FFFS 2005:1 – allmänna råd

om styrning och kontroll i

finansiella företag

FFFS 2014:1 – föreskrifter och

allmänna råd om styrning,

riskhantering och kontroll

Med intern styrning och

kontroll avses den process styrd

av myndighetens ledning som

med rimlig säkerhet leder till:

• en effektiv verksamhet

• att gällande rätt och de

förpliktelser som följer av

medlemskap i EU följs

• en tillförlitlig redovisning

och rättvisande rapportering

• en god hushållning av

statens medel.

Med intern styrning och

kontroll menas en process

genom vilken företagets styrelse,

VD, ledning och annan personal

skaffar sig rimlig säkerhet för att

företagets mål uppnås på

följande områden:

• en ändamålsenlig och

effektiv organisation och

förvaltning av verksamheten

• en tillförlitlig finansiell

rapportering

• efterlevnad av tillämpliga

lagar, förordningar och

andra regler.

Saknar definition av intern

styrning och kontroll.

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 8: Frukostseminarium COSO

Uppdateringar i COSO 2013

• omfattar nu all typ av rapportering (intern och extern, finansiell

och icke-finansiell)

• tillämpar ett tillvägagångssätt baserat på 17 principer

• tydliggör hur verksamhetens mål förhåller sig till intern styrning

och kontroll

• reflekterar över den ökade betydelsen av IT och systemstöd

• utvidgar konceptet kring bolagsstyrning

• ökar förväntningar på förebyggande arbete kring oegentligheter

• tar hänsyn till olika affärsmodeller och organisationsstrukturer

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 9: Frukostseminarium COSO

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Control Objectives

Co

ntr

ol C

om

po

nen

ts

COSO 2013

COSO ERM

COSO 2013 – modellen i illustrativt

format

Page 10: Frukostseminarium COSO

Komponenter och principer

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

• 1. integritet och etiska värden

• 2. oberoende och uppföljning

• 3. organisationsstruktur, ansvar och befogenheter

• 4. kompetensförsörjning

• 5. ansvarsskyldighet, påföljder

styrning och kontrollmiljö

• 6. relevanta mål

• 7. identifiera och analysera risk

• 8. medvetenhet kring oegentlighetsrisker

• 9. identifiera och analysera förändringar

riskbedömning

• 10. identifiera och utforma kontrollaktiviteter

• 11. identifiera och utforma generella IT-kontroller

• 12. sprida genom policys och riktlinjerkontrollaktiviteter

• 13. använda relevant information

• 14. strukturer och rutiner för intern kommunikation

• 15. strukturer och rutiner för extern kommunikation

information och kommunikation

• 16. genomföra löpande och separata utvärderingar

• 17. identifiera, utvärdera och kommunicera brister

uppföljning och utvärdering

Page 11: Frukostseminarium COSO

Tillförlitlig rapportering

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

extern finansiell rapportering:

• årsredovisning

• delårsrapport

• kurspåverkande information

• myndighetsrapportering

extern icke-finansiell rapportering:

• förvaltningsberättelse

• bolagsstyrningsrapport

• hållbarhetsredovisning

intern finansiell rapportering:

• resultatrapporter per enhet

• Budget / affärsplanering

• kassaflödesanalyser

intern icke-finansiell rapportering:

• styrelserapportering

• kundundersökningar

• medarbetarindex

mål: tillförlitlig rapportering

Page 12: Frukostseminarium COSO

Intern styrning och kontroll – en process

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

© COSO

Page 13: Frukostseminarium COSO

Intern styrning och kontroll – en process

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 14: Frukostseminarium COSO

Att bygga ett ramverk för intern

styrning och kontroll

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 15: Frukostseminarium COSO

Byggstenar

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

roller och ansvar

organisa-tion

ambitions-nivå

syfte och definition

styrdoku-ment

struktur

metod och verktyg

rapporte-ringsvägar

Page 16: Frukostseminarium COSO

Komponenter och byggstenar

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

• syfte och definition

• ambitionsnivå

• organisation – tre försvarslinjer

• roller och ansvar

• styrdokument

styrning och kontrollmiljö

• struktur

• metod och verktygriskbedömning

• struktur

• metod och verktygkontrollaktiviteter

• rapporteringsvägarinformation och kommunikation

• struktur

• metod och verktyguppföljning och utvärdering

Page 17: Frukostseminarium COSO

Förutsättningar

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

• syfte och definition

• ambitionsnivå

• organisation – 3 försvarslinjer

• roller och ansvar

• styrdokument

styrning och kontrollmiljö

• struktur

• metod och verktygriskbedömning

• struktur

• metod och verktygkontrollaktiviteter

• rapporteringsvägarinformation och kommunikation

• struktur

• metod och verktyguppföljning och utvärdering

Page 18: Frukostseminarium COSO

Processen

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

• syfte och definition

• ambitionsnivå

• organisation – 3 försvarslinjer

• roller och ansvar

• styrdokument

styrning och kontrollmiljö

• struktur

• metod och verktygriskbedömning

• struktur

• metod och verktygkontrollaktiviteter

• rapporteringsvägarinformation och kommunikation

• struktur

• metod och verktyguppföljning och utvärdering

Page 19: Frukostseminarium COSO

Struktur för ISK-processen

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

strategiska

mål och

affärsmål

nettorisk-

analysåtgärder

uppföljning/

utvärdering

mål för

väsentliga

verksamhets-

processer

bruttorisk-

analyskontroller

uppföljning/

utvärdering

resultat

mål riskanalys kontrollåtgärder uppföljning

styr

nin

gko

ntr

oll

Page 20: Frukostseminarium COSO

Försvarslinjerna i organisationen

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Specifika stödfunktioner Ansvar: Underlätta för verk-

samheten i riskarbetet,

övervaka och utmana utfallet

av verksamhetens arbete samt

utvärdera regelefterlevnad

Arbetsuppgifter: Sätta

standarder och metoder,

stödja riskvärderingen samt

aggregera och analysera

utfall.

Rapportering: Verksamhe-

tens aggregerade riskexpo-

nering till ledning och

styrelse.

Styrelsen

VD

1:a försvarslinjen 2:a försvarslinjen 3:a försvarslinjen

VerksamhetenAnsvar: Se till att verk-

samheten når sina mål inom

ramen för given riskaptit.

Arbetsuppgifter: Fullt ansvar

och ägarskap över

risktagandet, intern kontroll

och uppföljning.

Rapportering: Rapporterar

riskläget till riskkommitté

och andra försvarslinjen.

InternrevisionAnsvar: Oberoende utvärdera

organisationens interna

styrning och kontroll samt

öka effektiviteten i bolagets

GRC-arbete

Arbetsuppgifter: Utvärdera

processer och efterlevnaden

av regler, ramverk och

modeller ur ett internkontroll-

perspektiv.

Rapportering: Identifierade

iakttagelser tillsammans med

föreslagna förbättringsom-

råden till styrelsen

Page 21: Frukostseminarium COSO

Scenarioanalys – FI:s sanktioner

Folksam LO Fond (anmärkning)

2012 – straffavgift på 6 miljoner kronor.

Sanktion på grund av:

• otydlighet i organisationen, styrdokument, beslutsvägar och rapportering

• svårigheter att identifiera och hantera intressekonflikter i verksamheten

• brist på självständighet hos funktioner i andra försvarslinjen

• avsaknad av anpassade rutiner och riktlinjer mot penningtvätt

• uppfyller inte det grundläggande sundhetskravet i lagen om investeringsfonder, vilket innebär krav på sunda rutiner för‒ förvaltning av verksamheten och redovisning‒ intern kontroll, och‒ drift och förvaltning av sina informationssystem

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 22: Frukostseminarium COSO

Scenarioanalys – FI:s sanktioner

Trygg-Hansa(anmärkning)

2009 – straffavgift på 5 miljoner kronor.

Sanktion på grund av:

• felaktig finansiell rapportering till FI

– omrapportering av årsbokslut för räkenskapsåret 2007 totalt 10 gånger på grund av brister!!

• otydlighet i organisationen, styrdokument och i beslutsvägarna

• brist på självständighet hos funktioner i andra försvarslinjen

• undermålig styrelseprotokollering

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 23: Frukostseminarium COSO

Scenarioanalys – FI:s sanktioner

SEB Trygg Liv Gamla/Nya(varning)

2008 – straffavgift på 2 x 15 miljoner kronor.

Sanktion på grund av:

• Brister i intern styrning och kontroll

• Riskkontrollfunktionen saknade självständighet

• Avsaknad av styrdokument, eller otydliga sådana

• Avsaknad av tydlig riskaptit och riskanalys

• Bristande efterlevnad av interna och externa riktlinjer

• Undermålig protokollering i styrelsen

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 24: Frukostseminarium COSO

Att bygga ett riskramverk

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 25: Frukostseminarium COSO

Riskramverk - byggstenar

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

riskaptit och limit

KRI:er

risk-strategi

incident-hantering

riskanalystekniker och verktyg

uppfölj-ning och rapporte-ring

brutto-risk vs. nettorisk

Page 26: Frukostseminarium COSO

COSO-principer relaterade till risk

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

• 6. relevanta mål• 7. identifiera och analysera risk

• 8. medvetenhet kring oegentlighetsrisker

• 9. identifiera och analysera förändringar

riskbedömning

”Organisationer specificerar mål med tillräcklig tydlighet för att

möjligöra identifiering och värdering av risker relaterade till målen.”

• verksamhetsmål

• rapporteringsmål

• regelefterlevnadsmål

Mål bör uttryckas som SMART:a

Sätts mot bakgrund av risktolerans!

Page 27: Frukostseminarium COSO

Riskstrategi

• Riskträd…

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 28: Frukostseminarium COSO

Riskträd – exempel bank

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

riskuniversum

personalrisk

marknads-

likviditetsrisk

finansierings-

likviditetsrisk

beredskaps-

likviditetsrisk

avvecklingsriskmotparts-

risk

extern riskIT och informations-

säkerhet

verksamhets- och

processrisk

valutariskränteriskaktiekurs-

risk

residualriskKoncentrations-

risk

ränterisk i

bankbokenråvarurisk

kreditrisk operativ risk marknadsriskaffärsrisk

(strategisk risk)

varumärkes-/

ryktesrisk

likviditets-

risk

Page 29: Frukostseminarium COSO

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

riskuniversum

risktyp

riskområde

riskdrivare

kreditriskvarumärkes-/

ryktesriskoperativ Risk marknadsrisk

affärsrisk(strategisk risk)

verksamhets- och

processriskpersonalrisk extern risk

IT och informations-

säkerhet

likviditets-

risk

Kompetens och

bemanning

Rådgivning

Interna

oegentligheter

Personberoenden

Ledning och

kultur

Manuell hantering

Felaktiga

processer

Dokumentation

och underlag

Modeller och

beräkningsverktyg

Organisation och

styrning

Regelefterlevnad

Projekt och

förändring

extern

brottslighet

leverantörer och

utläggning

kundberoende

och kundbeteende

infrastruktur

angrepp, olyckor

och katastrofer

regelförändringar

politik och

myndigheter

Arbetsförhållanden

och arbetsmiljö

Fysisk säkerhet

spårbarhet i

system

Systemkvalitet

IT-drift och

kommunikation

Incident-

rapportering

Informations-

tillgångar

avbrott och

kontinuitet

åtkomstskydd &

behörigheter

Utvecklings-

process

Page 30: Frukostseminarium COSO

COSO-principer relaterat till risk

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

”Hela organisationen identifierar risk relaterat till uppsatta mål och analyserar risk som en förutsättning för att bestämma hur risken ska hanteras.”

• riskidentifiering på alla nivåer, beaktat såväl externa som interna faktorer

• analys av hur identifierade risker kan påverka måluppfyllnad

• riskkategorisering efter väsentlighet

• metoder för att styra hur risk ska hanteras

• 6. relevanta mål

• 7. identifiera och analysera risk• 8. medvetenhet kring oegentlighetsrisker

• 9. identifiera och analysera förändringar

riskbedömning

Page 31: Frukostseminarium COSO

Riskaptit, risktolerans, risklimit

• kärt namn har många barn, eller hur var det nu?

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 32: Frukostseminarium COSO

Riskaptit, risktolerans, risklimit

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

låg

risk

hög

risk

t

riskaptit =

riskmål

limit

limit

limit

limit

limit

risknivå

riskap

titsom

fång

riskto

lera

ns

risk

tole

ran

s

Page 33: Frukostseminarium COSO

Metoder och verktyg

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

framåtblickandebakåtblickande

risk-

analys

incidenter

t

kontrollutvärdering

• aktuella, specifika,

övergripande nettorisker

och åtgärder

• inneboende bruttorisker

och kontroller

stresstester

omvärldsanalys

KRI-utveckling

• nyckeltal

• limiter

scenarioanalyser

t=0

Page 34: Frukostseminarium COSO

COSO-principer relaterat till risk

”Organisationen beaktar särskilt risker för oegentligheter i sin

riskanalys.”

• beaktar olika sätt när bedrägeri kan inträffa

• bedömning av incitament och möjliga påtryckningar

• beaktar möjligheter

• analyserar attityder och rationaliseringar

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

• 6. relevanta mål

• 7. identifiera och analysera risk

• 8. medvetenhet kring oegentlighetsrisker

• 9. identifiera och analysera förändringar

riskbedömning

Page 35: Frukostseminarium COSO

COSO-principer relaterat till risk

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

”Organisationen identifierar och utvärderar förändringar som

väsentligen kan påverka den interna styrningen och kontrollen.”

• förändringar i den externa miljön

• förändringar i verksamheten/affären

• förändringar i ledarskap

• 6. relevanta mål

• 7. identifiera och analysera risk

• 8. medvetenhet kring oegentlighetsrisker

• 9. identifiera och analysera förändringar

riskbedömning

Page 36: Frukostseminarium COSO

Uppföljning

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 37: Frukostseminarium COSO

COSO-principer relaterat till uppföljning

”Organisationen väljer, utformar och utför löpande och/eller

separata utvärderingar för att bedöma om internkontroll-

komponenterna finns och fungerar.”

• beaktar en mix av löpande och separata utvärderingar

• varierar i omfattning och frekvens

• löpande utvärderingar integrerar med affärsprocesser

• separata utvärderingar främjar objektiv i utvärderingarna

• 16. genomföra löpande och separata utvärderingar

• 17. identifiera, utvärdera och kommunicera brister

uppföljning och utvärdering

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

014

Page 38: Frukostseminarium COSO

COSO-principer relaterat till uppföljning

”Organisationen utvärderar och kommunicerar brister i den interna

kontrollen i rimlig tid till de parter som är ansvariga för

åtgärdsaktiviteter, inklusive ledning och styrelse.”

• värderar resultat

• kommunicerar internkontrollbrister

• rapporterar brister till högsta ledning och styrelse

• följer upp åtgärdshantering

• 16. genomföra löpande och separata utvärderingar

• 17. identifiera, utvärdera och kommunicera brister

uppföljning och utvärdering

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

014

Page 39: Frukostseminarium COSO

Systemstöd?

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 40: Frukostseminarium COSO

”Nice to have” eller ”need to have?”

FFFS 2014:1, 6 kap kontrollfunktioner

1 §: ”Ett företag ska ha en funktion för riskkontroll, en funktion för

regelefterlevnad och en funktion för internrevision. Kontroll-

funktionerna ska vara organisatoriskt skilda från varandra [...]”

5§: ”En kontrollfunktion enligt 1 § ska ha ändamålsenliga IT-system

och stöd till sitt förfogande.”

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 41: Frukostseminarium COSO

Systemstöd

• flora av GRC-system

• nytta

• utmaningar

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 42: Frukostseminarium COSO

The Forrester Wave™: governance, risk

and compliance platforms, Q1 2014

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 43: Frukostseminarium COSO

Nytta för organisationen

• automatisering

• visualisering

• effektivitet

• struktur

• hjälper verksamheten att arbeta professionellt

med GRC

• finansiellt (ROI på lång sikt)

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 44: Frukostseminarium COSO

Nytta för internrevison

• integration och övergripande gemensam sikt avseende:

– processer

– risker

– förväntade kontroller

– definitioner och taxonomi

– koppling till incidenter

• möjlighet att ta höjd för befintliga, kända brister

• samlat åtgärdsarbete (inklusive uppföljning)

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 45: Frukostseminarium COSO

Utmaningar vid införande av GRC-

system

• förväntansgap – systemet löser inte alla problem

i organisationen

• taxonomi – olika definitoner av samma sak

trasslar till det

• företagskultur – obenägen att förändra sig

• verktyg för 2:a försvarslinjen

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 46: Frukostseminarium COSO

Framgångsfaktorer vid val och införande

av GRC-system

• tydlighet i vad ska systemet användas till och hur

– driver/sponsor

– syfte och målsättning

– ambitionsnivå

• börja bakifrån med rapporteringen som utgångspunkt

– vilken information ska följas upp och rapporteras?

fånga in förväntningar från alla relevanta stakeholders

– hur kommer man fram till den informationen?

– är det rimligt? (kostnad-nytta)

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 47: Frukostseminarium COSO

Har ni frågor?

[email protected]

072-172 97 62

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2014

Page 48: Frukostseminarium COSO

www.transcendentgroup.com