Transcript Intern styrning och kontroll

Intern styrning och kontroll
- vad är det egentligen?
Torbjörn Wikland
Konsult, pensionär, f.d. RRV, f.d. ESV, f.d. försäkringskassan, f.d.
regeringskansliet, f.d. ordförande i Internrevisorerna m.m.
2013-12-04
Många infallsvinklar finns...
•
•
•
•
•
•
•
•
•
•
•
Traditionell internkontroll (pappersbaserad, manuell, ekonomifokus)
Internal Control (från 1950-talet - flera varianter – jmf controlling)
COSO Internal Control (från 1992)
EU-kommissionens Internal Control (från 1999 baserat på COSO)
COSO ERM 2004 (utvidgad riskhantering – ”ovanpå” Internal Control)
Bolagskodens internkontroll 2005 (och Aktiebolagslagen 2010)
Förordningen (FISK:en) från 2006
ISO 31 000:2009 (utvidgad riskhantering – generisk standard)
Uppdaterade COSO internal Control 2013
Specialiserade standarder – Cobit, LIS m.m.
…
Många infallsvinklar...
Men minst tre viktiga i myndighetsvärlden
•
•
•
•
•
•
•
•
•
•
•
Traditionell internkontroll (pappersbaserad, manuell, ekonomifokus)
Internal Control (från 1950-talet - flera varianter – jmf controlling)
COSO Internal Control (1992 - och grunden för FISK:en)
EU-kommissionens Internal Control (från 1999 – utifrån COSO)
COSO ERM 2004 (utvidgad riskhantering – ”ovanpå” Internal Control)
Bolagskodens internkontroll 2005 (och Aktiebolagslagen 2010)
Förordningen (FISK:en) från 2006
ISO 31 000:2009 (utvidgad riskhantering – generisk standard)
Uppdaterade COSO internal Control 2013 - kan komplettera FISK:en
Specialiserade standarder – Cobit, LIS m.m.
…
Startpunkt COSO 1992: (efter oro på börsen)
”Intern styrning och kontroll är generellt definierad som
en process, utförd av en organisations styrelse, ledning
och annan personal, utformad för att ge rimlig
försäkran om att målen uppfylls inom följande
kategorier:
 Effektivitet och produktivitet i verksamheten.
 Tillförlitlig (finansiell) rapportering.
 Efterlevnad av tillämpliga lagar och regler.”
Ur COSO: s ramverk för ”Internal Control” 1992
En snårig definition men …
Vad menade COSO?
• Genomtänkt och fungerande styr- och kontrollprocess krävs för att nå målen – inkl. yttre krav
• Risker att inte nå målen är fokus för processen
• Processen syftar till att ge en rimlig – inte absolut
– försäkran om att målen nås.
• Processen ska vara ett stöd för och inkludera
ledningen - och annan personal – inte reduceras
till formalia
• Processen bör utformas från en gemensam grund
(standard) – för att skapa transparens och
tillgodose krav från externa intressenter
COSO:s ramverk blev en milstolpe!
• En enhetlig syn på ”Internal Control” skapades
• Markering att kontroll inte är formaliakontroll
• Människors agerande kom i fokus (alltså intern styrning och
kontroll)
• Passade väl in i förskjutningen från manuell till digital
kontroll
• Intern styrning och kontroll började nu ses som en delvis
sammanhållen process eller ett system
• En utgångspunkt – inte lösning - för att förhindra
bedrägerier
Därför fick ramverket spridning, anammades av EU - och blev grunden för FISK:en.
Kortfattat - vad är då FISK:en?
• Resultat av EU-kommissionens kontrollkrav på
EU-myndigheterna och EU-bidragen som sedan
blev generella krav på medlemsstaterna.
• Ett instrument för regeringen att bedöma om
man har väl fungerande myndigheter
• En anpassning till COSO: s syn på intern styrning
och kontroll till svenska statliga myndigeter
• Arbetet har fokus på ledningens uttalande
Vad är kärnan i
intern styrning och kontroll?
• Kort svar: Ordning och reda så att målen uppnås
(eller - en organisation helt formad av att nå sina mål)
• Ett längre svar: Ett arbete som innebär:
–
–
–
–
Att utgå från verksamhetsmålen (inkl. yttre krav)
Att riskerna tas fram för att målen inte uppnås
Att de viktigaste av dessa risker lyfts fram
Att man tar till åtgärder, dvs, styrsignaler och
kontroller, för att reducera dessa risker
– Att verksamhetsledningen ansvarar och stödjer
Sammanfattat i en bild:
Styrka (och svagheter) i FISK:en
• Föredömligt kortfattad förordning 
• Ett uttryck för krav på transparens 
• En grund för ledningsuttalande om ordning
och reda 
• Den tar sin utgångspunkt i en internationell
standard  (COSO)
(Styrka och) svagheter i FISK:en
• Integration med andra”risk”-regelverk är svag
 (arbetsmiljö, infosäk, egendomsskydd
m.m.)
• Handledningarna har fokus på uttolkningar,
inte möjligheter
• Arbete med föredömen (best practice) i ISKarbetet outvecklat 
• Flera styrkepunkter i COSO: s ramverk har
tappats bort eller är svagt utvecklade  dvs…
COSO: s styrkepunkter (jmf med FISK)
• ISK ska vara ett ledningsarbete för den egna
organisationens bästa – alltså inte primärt styrt av
avnämare eller externa intressenter
• Alla nivåer och funktioner i organisationen har en
egen intern styrning och kontroll - inte bara vara en
transportfunktion uppåt till högsta ledningen
• Allt med i riskinventeringen och riskanalysen - inte en
uppdelning på informationssäkerhet, arbetsmiljö,
egendomsskydd m.m.
• Gemensamma kriterier uppställda (en modell
framtagen) för att uttala sig om god intern styrning och
kontroll existerar – inte ”fingret i luften”
Intern styrning och kontroll bara på
ledningsnivå?
• Titta på COSO-kuben!
ett arbete i tre dimensioner,
dvs. målområden, komponenter
och organisationsnivå
• Alltså intern styrning och kontroll:
– För hela organisationen (entity level)
– Avdelningsvis (division)
– På verksamhetsenheter (operating unit)
– På funktionsnivå (function)
Föreslagna kriterier för bedömning:
COS0: s komponenter och principer
(Det uppdaterade ramverket förtydligar det som fanns redan 1992)
Styr- och kontrollmiljön
Riskbedömning
Kontrollaktiviteter
Information & Kommunikation
Övervakning
1.
2.
3.
4.
5.
6.
7.
8.
9.
Lyfter fram integritet och etiska värden och handlingar
Exercises oversight responsibility
Establishes structure, authority and responsibility
Demonstrates commitment to competence
Enforces accountability
Förtydligar berörda mål
Identifierar och analyserar risker
Bedömer risken för bedrägerier
Identifierar och analyserar betydelsefulla förändringar
10. Väljer ut och utvecklar kontrollaktiviteter
11. Väljer ut och utvecklar övergripande kontroller över IT
12. Etablerar/genomför policies och rutiner
13. Använder relevant information
14. Kommunicerar internt
15. Kommunicerar externt
16. Conducts ongoing and/or separate evaluations
17. Evaluates and communicates deficiencies
Föreslagen process
för att komma fram till
en helhetsbedömning av
den interna styrningen och
kontrollen – i fyra steg
Den övergripande bedömningen – slutsteget (efter tre inledande steg)
Bedömning av principer – första steget (med stöd i fokuspunkter)
Bedömning av komponenter - med stöd av principbedömningen
Sammanfattning av brister - det tredje steget
Fler styrkepunkter i COSO
• Arbetet med ISK ska vara integrerat i
styrsystemen för organisationen (bl.a.
planering och uppföljning)
• Det finns en genomtänkt rollfördelning hur
risker ska hanteras i en organisation (tre
försvarslinjer)
• Som standard är den väl etablerad!
Roller/fördelat ansvar under högsta ledningen:
Principen om de tre försvarslinjerna
• Första linjen: verksamhetschefer och andra
beslutsfattare i verksamheten (förhindrar mest)
• Andra linjen: Ledningens controllers +
specialistfunktioner fångar ”sina” problem Alla
etablerar felfångarsystem (systematiskt felsökande)
• Tredje linjen: Internrevision – en oberoende
granskningsfunktion nära ledningen (friska ögon
utanför linjen)
• Externrevisionen finns utanför (upptäcker men
förhindrar inte fel även om den agerar proaktivt)
Principen om de tre försvarslinjerna inarbetad i uppdaterade COSO
Några slutsatser och tillägg
1. I myndigheten bör uttalandet bara vara ett av flera
mål för arbetet med intern styrning och kontroll – om
de interna målen prioriteras är det lätt att göra ett
uttalande ...!!
2. Omdömet om den interna styrningen och kontrollen
måste utnyttja de modeller för värdering som finns –
om man vill ha ett systematiskt förbättringsarbete…
(COSO :s modell den mest utvecklade)
3. Icke önskvärda risker bör kompletteras med
önskvärda risker - ibland måste man ta risker för att
nå önskvärda mål!
Interna mål (första slutsatsen)
• Ta till vara möjligheter att säkrare nå
myndighetens mål och reducera kostnader
• Frigör man sig från ”svart/vitt-uttalandet” blir
huvudfrågan att leta förbättringsområden och
minska bristerna genom ett bra arbete med
intern styrning och kontroll
• Förtroenderisker, hållbarhetsperspektivet
och informationshanteringen är tre växande
riskområden att uppmärksamma och hantera
Utvärdering av helheten (slutsats 2)
1.
2.
3.
4.
5.
6.
Mål – Med utgångspunkt i målen görs …
Riskbedömning – De väsentligaste riskerna tas fram.
Styr – och kontrollmiljö – Förutsättningar ges genom
bl.a. bra ledning och personal och organisering av
verksamheten
Kontrollaktiviteter –Är kontrollerna effektiva? Saknas
något eller finns överflödiga kontroller?
Information och kommunikation – Tas rätt
information fram om hur det fungerar och ska
fungera? Fungerar återkopplingen?
Övervakning – Koll och korrigering av helheten - så
att det fungerar
Utvärdering av helheten (forts.)
• Om någon av de fem komponenterna inte
fungerar – då fungerar inte helheten!
• Om de fungerar är alltid en bedömningsfråga
Missuppfattningar?
Sju vanliga uppfattningar…
…som bör bytas ut till…
Intern styrning och kontroll
1.
grundas genom att införa policies
och rutiner.
2.
finns till för förordningskrav och
internrevisionen.
3.
utgår från vad ekonomichefen
säger till oss.
4.
är i huvudsak negativ, dvs. ”Du skall
icke…”
5.
är ett nödvändigt ont och tar tid
från kärnverksamheten
6.
måste minska vid neddragningar
och delegeringar
7.
ska medföra att bedrägerier och fel
stoppas
Intern styrning och kontroll
1.
grundas med en tydlig och
genomtänkt styr- och kontrollmiljö.
2.
ska ägas av ledningen som en del
av dess styrning
3.
Ska omfatta alla delar av
verksamheten.
4.
medför att rätt saker inträffar, inte
bara en gång utan nästan alltid.
5.
ska byggas in /integreras som ett
värde i den löpande verksamheten.
6.
ska ändra inriktning vid
neddragningar och delegeringar.
7.
ger en grund för att förhindra
bedrägerier och fel men fungerar
bara med en aktiv ledning.
Önsvärda risker? (slutsats 3)
• Att vilja/våga ta risker för att nå önskvärda mål
• Ett steg utanför intern styrning och kontroll
• Finns det utrymme?
– Konkurrensutsatta universitet och högskolor
– Utrymmet under de övergripande målen
– All utvecklingsverksamhet
• Inför riskaptit, risktolerans och riskfördelning
• Men kanske organisatoriskt avskilt från icke
önskvärda risker
COSO och/eller ISO
• Mest etablerade eller bästa standarden?
• ISO 31 000 – genomtänkt och strukturerat
• COSO – helhetsbedömning och
organisationsfokus – och mest etablerad
• Måste man välja?
– Nej, är mitt svar – de går att integrera
– Men viktigt med enhetligheten inom
organisationen
– Integrera med andra specialiserade standarder!
Vad framförde statskontoret?
(ur rapporten ”Fångar Fisken fel?”)
• ”En viktig anledning till att Statskontoret kunde upptäcka risker för
felaktiga utbetalningar hos Försäkringskassan, CSN och
arbetsförmedlingen var att vi undersökte brister som fanns längst ut
i styrkedjan, inte enbart i början av den.” (till skillnad från de tre
myndigheterna som uttalade att de hade god intern styrning och kontroll)
• Bra! Så kan man visa hur en effektiv intern styrning
och kontroll kan fungera!- Men varför slår statskontoret ner
på förordningen? Om dessa tre myndigheter gjort ett dåligt arbete,
varför förklaras felet bero på förordningen? Uppfattar statskontoret
myndigheterna som robotar?(logisk kortslutning?)
• Kan statskontorets märkliga slutsats mildras med hänvisning till att
förordningarna och ESV i handledningarna m.m. inte klargjort vad
som bör utmärka ett bra arbete med intern styrning och kontroll?
(med viss tvekan –ja)
Vad framförde innovationsrådet?
(i sin slutrapport SOU 2013:40)
• ”…viktigt …att bygga vidare på en av Sveriges största tillgångar, tilliten.”
• Man bör inte inrätta myndigheter för ”att kontrollera andra myndigheter
under regeringen”.
• ”Myndigheterna avsätter…tid för ekonomiadministrativa uppgifter som
inte alltid tycks vara värdeskapande.”
• ”onödigt stor pålaga … förordningen om intern styrning och kontroll”
Bra grundtanke i betänkandet – uppmuntra innovativt skapande! – MEN tre
kommentarer bör göras till deras förslag:
1. Varför gick rådet förbi frågan om myndigheterna i sin normala
verksamhet kan utnyttja befintliga regler för att skapa något bättre? –
det enklaste sättet att vara innovativt skapande!! (det finns många lyckade
exempel - programbudgeteringen, mål- och resultatstyrningen, skatteförvaltningens lysande
innovationer: förenklad självdeklaration och skattekonto m.m. m.m.)
-
Kanske rådet då hade undvikit att bara slå på trumman för förslag som
varje finansdepartement ogillar – diffusa experimentpengar…
Mer om innovationsrådets förslag
2) Sambandet mellan kontroll och tillit i vetenskapliga analyser:
Ingen kontroll
Bara tillit
Den teoretiska blandningen
Bara kontroll
Ingen tillit
Den verkliga blandningen
-
Alla undviker extremvärdena! Det handlar i stället om i vilka proportioner
man ska blanda de två!
Varför förde inte innovationsrådet en seriös diskussion om detta i stället för
ett - mycket svenskt och idealiserande - uttalande om tillit i motsats till
kontroll. (Inte kan de mena att t.ex. betalningssystem, person- och egendomssäkerhet,
infosäkerhet, arbetarskydd m.m. bara ska bygga på tillit och inga kontroller?)
3) Som man frågar …
Nästan alla ledningar vill ha så mycket
handlingsutrymme och så lite kontroll uppifrån som möjligt. Bör det förvåna
att flertalet generaldirektörer gör tummen ner åt aktiviteter som innebär
kontroll uppifrån?
Hur skulle ESV kunna stödja?
• Peka på och rekommendera möjligheter med ISK
och inte bara uttolkningar av regelverk
– Även hänvisa till COSO – men också ISO 31 000
• Lyft fram föredömliga exempel bland
myndigheterna (sådana finns!)
• Visa konkret hur man kan bryta upp stuprören
mellan ISK, arbetarskydd, informationssäkerhet
m.m.
• Integrera intern styrning och kontroll med goda
råd om verksamhetsstyrning (också två stuprör)
Uppdaterade COSO 2013 – i sammandrag
• De nya originaldokumenten är läsbara!
(sammanfattningen kommer snart i svensk översättning)
• Fem komponenter och sjutton principer är
generiska beskrivningar - som går att överföra till den egna
organisationen
• Modellen med kriterier för bedömningen av
helheten bör inspirera! - hittills den enda modellen för
helhetsbedömning – om man vill undvika ”fingertoppskänsla” m.m.
• Oklarheter om den finansiella sidan borta! - en
separat bilaga som bara diskusterar det finansiella området – med bra
exempel – i övrigt framgår tydligt att det är hela verksamheten som omfattas
Mer om uppdaterade COSO
• Diskussion om målfrågorna förtydligad – målen
måste konkretiseras och preciseras för en effektivare riskhantering –
kopplingen mål-risk gjorts ännu tydligare - viktig aspekt i offentlig sektor!
• Om hur man behåller kontrollen i outsourcad
verksamhet – ansvaret kan aldrig delegeras bort
• COSO lyfter fram bedrägeririskerna
• COSO lyfter också fram IT-området som ett
stort riskområde
Räcker COSO? Nej, det måste
kompletteras:
• Förtroenderiskerna – stort växande område
• Bedrägeririskerna – hur ska de upptäckas och
förhindras?
• Knyta ihop risker i teknisk verksamhet och
generella organisationsrisker
• Hur ska man organisera ”hantera risk som hot”
och ”risk som möjlighet”?
• Hur kommer man åt bristande riskförståelse?
• …