SIRK Styring – Internrevisjon

Risiko – Kontroll

Nummer 2, vinter 2014, 22. årgang

Lean auditing Hvordan sveve på en rosa sky Compliance – beste praksis

Hva bør styret kunne om nettsikkerhet?

2 SIRK nr 2. 2014

Å arbeide frem en ny utgave av SIRK eren like spennende oppgave hver gang.Jeg håper at det blir like spennende fordere som åpner opp bladet i disse før-julstider. Vår målsetning er å kommemed gode artikler som spenner over deområdene som SIRK skal stå for(Styring, Internrevisjon, Risiko ogKontroll). Det er ingen radikale endring-er i stilen denne gangen. Utover dettehar det vært et mål å kunne tilby flerenyheter om utviklingen internasjonalt.

Under temaet "virksomhetsstyring" har vi satt nettsikkerhet samtmisligheter og korrupsjon på dagsordenen. For å skape størstmulig verdi for våre lesere har vi lettfattelig presentert nye ogaktuelle temaer og deretter henvist til andre kilder for ytterligeredetaljer og informasjon.

Under temaet «kontroll» er det presentert to artikler om compliance og etikk. Til slutt er det lettet på alvorets slør med en artikkel om brettspill som trekker på COSO.

Under temaet «internrevisjon» ønsker jeg spesielt løfte frem enundersøkelse om internrevisjonsinstruksen, som er gjennomførther i Norge. Artikkelen setter fokus på et område som med storsannsynlighet bør oppdateres jevnlig i virksomheter med eninternrevisjonsfunksjon. Undersøkelsen er basert på en prosjekt-oppgave innlevert i forbindelse med internrevisjonsstudiet på BI. Det er mange interessante oppgaver som produseres, og vi vilgjerne med dette invitere flere tidligere og fremtidige studentertil å publisere deres funn i fremtidige SIRK utgaver. Videre harvi et intervju med internrevisjonssjefen i Australian Taxation

Office hvor han forteller om hvordan en ekstern kvalitetsvurde-ring kan benyttes på en hensiktsmessig måte til å forbedre prestasjoner.

I tillegg har vi artikler som dekker områdene ERM, finans, detoffentlige og kompetanseutvikling i egne rekker. Til slutt har viogså en bokanmeldelse av boken skrevet av selveste CEO i IIAinternasjonalt som viser en mann som til tross for sin høy posisjon har så absolutt revisjonsbeinene plantet på bakken.

Ja, når vi avslutter bladet med informasjon fra den norske foreningen sammen med en oppdatering om nye publikasjonerfra internrevisjonsmiljøer internasjonalt, tør vi håpe at det er noei dette nummeret for enhver smak. Vi ønsker at SIRK opplevesnyttig og relevant for deg, og vi i redaksjonen setter stor pris pådin tilbakemelding – ros og ris for å bli enda bedre.

Martin Stevens Gjensidige Forsikring M: 957 50 192 martin.stevens@gjensidige.no

Jan Wilhelm Kavli,Utlendingsdirektoratetjaka@udi.no

Reidar Døli Oslo Børs reidar.doli@oslobors.no

Esa Leporanta Nets Norway ASelepo@nets.eu

Cira HolmYara International ASACira.holm@yara.com

REDAKTØRENS

SPALTE

REDAKSJONS

KOMITEENAnsvarlig for

dette nummeret avSIRK

Se mer info på www.iia.no

Redaksjonen ønsker alle vårelesere en god jul og et godt nyttår!

PresidentJørgen BockNAV InternrevisjonPostboks 5 St. Olavs plass0130 OsloM: 410 04 211jorgen.bock@nav.no

KONFERANSEKOMITÉEN Eli Moe-HelgesenPricewaterhouseCoopers ASPostboks 748 Sentrum0106 OsloM: 95 26 01 13eli.moe-helgesen@no.pwc.com

PROGRAMKOMITÉEN Hans Oskar HansenSkattedirektoratetPostboks 9200 Grønland0134 OsloM: 908 84 092hansoskar.hansen@skatteetaten.no

REDAKSJONSKOMITÉENMartin Stevens Gjensidige Forsikring M: 957 50 192 martin.stevens@gjensidige.no

NOMINASJONSKOMITÉEN Petra LisetPricewaterhouseCoopers ASPostboks 748 Sentrum0106 OsloJ: 952 60 152petra.liset@no.pwc.com

FORENINGSSEKRETARIATEllen BrataasGeneralsekretærTlf: 976 20 565ellen.brataas@iia.no

Hilde TanggaardRådgiverTlf: 411 07 296hilde.tanggaard@iia.no

Svein StabekkForeningssekretærTlf.: 932 37 912 svein.stabekk@iia.no

Postadresse:Norges Interne Revisorers ForeningPostboks 1417 Vika, 0115 Oslopost@iia.no

Besøksadresse:Munkedamsveien 3 B, 3. etg.0161 OsloSIRK: Publikasjon fra Norges InterneRevisorers Forening, NIRFAntall utgivelser pr. år: 2

Opplag: 1.300Meninger og påstander som frem-kommer i artikler eller innlegg erikke nødvendigvis sammenfallendemed NIRFs syn.

Neste utgave: Juni 2015Har du bidrag til bladet?Ta kontakt med redaksjonens lederfor frister m.m.

Årsabonnement: Kr. 150Annonsepriser:Kr. 5.000 for en helsideKr. 3.000 for en halvside Kr. 6.500 for baksiden(mva. tilkommer)

Grafisk produksjon:Dalby GrafiskForsidebilde: Foto: Scanstock Photo

NORGES INTERNE REVISORERS FORENING

Innhold2 Redaktørens spalte4 Styrets leder har ordet

Virksomhetsstyring6 Oppdatert UK Corporate Governance Code7 Rapportanmeldelser: Nettsikkerhet – Hva bør styret spørre om selskapets nettsikkerhet

European Cybersecurity Implementation: Oversikt8 Hvordan sveve på en rosa sky10 Avdekking av misligheter ved hjelp av dataanalyser14 Korrupsjon og foretaksstraff – Hva forventes av norske virksomheter?16 Grov økonomisk kriminalitet i 1 av 4 norske virksomheter

Risikostyring/Internkontroll/Compliance18 Beste praksis på Compliance-området21 COSO i jakten på den forsvunne diamant22 Fokus på etikk og compliance

Internrevisjon24 Auditing ERM – Interview with Vasilka Bangeova, internal auditor, Swiss Re26 Internrevisjonsinstruksen27 Høringskommentarer fra ECIIA28 Lean Auditing – Using Lean Techniques to Enhance Added Value and Reduce Waste30 Profesjonens puls31 Bokanmeldelse: Richard F. Chambers – Lessons Learned on the AUDIT TRAIL 32 Frank Alvern om sertifisering34 So you think you are good – How do you get better?36 Aktuelt fra ledernettverket for Finans37 En høst med reulatoriske endringer på agendaen38 Revisjon av virksomhetsstyring

Fra NIRF40 Nyheter fra sekretariatet, IIA og andre samarbeidspartnere43 Sertifiseringshjørnet44 Kursoversikt47 På tampen

Vi har hatt en travel høst med mange viktige saker.

Utredningen om internrevisjon i statenI oktober ga NIRF høringssvar til

Finansdepartementets utredning om internrevisjon i staten.Formålet med utredningen har vært å skape mer forutsigbare rammer, videreutvikle det statlige økonomiregelverket samt til -rettelegge for faglige standarder og annen støtte for internrevisjon.Hensikten var å legge til rette for beste praksis og mer effektivtsamarbeid mellom ekstern- og internrevisjon.

I motsetning til hva som er vanlig i EU, har vi i Norge så langtikke innført noe krav om at statlig sektor skal ha internrevisjon.NIRF støttet i høringssvaret anbefalingene til beste praksis fraOECD og IMF. OECD har uttalt at Norge ligger i ytterkant avinternasjonal praksis når ansvaret for internrevisjonsordningen erlagt til etatene. Norge ble anbefalt å inkludere departementene.OECD viste videre til at den internasjonale hovedtrenden forinternrevisjon er «dualrapportering» - dvs rapportering både tilminister og til departement- og / eller etatsledelse. Selv om ut -redningen er et skritt i riktig retning, synes vi i NIRF den på viktige områder er for vag:– Det bør fastsettes objektive kriterier for hvilke statlige virksom-

heter som skal etablere internrevisjon. Dette spørsmålet er forviktig til at det blir personavhengig.

– Det bør ikke være svakere krav til å ha internrevisjon i staten enni finanssektoren, helsesektoren eller arbeids- og velferds -forvaltningen, som har fått slike krav. Skattebetalernes penger erikke mindre viktige enn investorers. Regelverk bør harmoniseres.

– Fra 2014 krever økonomiregelverket at ledelsen skal gi uttalelseom styring og kontroll i årsrapporten. Forslaget burde stilt kravtil at internrevisjonens årlige rapport skulle relateres tilledelsens uttalelse om styring og kontroll.

– Primært skal internrevisjon gjennomføre uavhengig revisjon.Den skal gi uttalelser om styring og kontroll til det øversteledelsesnivået. Finansdepartementet foreslår å unnta departe-mentene i kravet om å vurdere internrevisjon. NIRF menerinternrevisjonsmodellen i forsvarssektoren er god. OECD haranbefalt Norge å ha internrevisjon i departementene.Funksjonen kan innhente rapporter fra underliggende enhetersinternrevisjoner.

Ny utgave av Norsk anbefaling til eierstyring og selskapsledelse(NUES)NUES-anbefalingen er oppdatert. OECD har pekt på at til tross forflere oppdateringer i den norske anbefalingen siden 2006, er denikke vesentlig endret etter store skandaler som Enron. Den reflek-terer i for liten grad hva som kan læres av finanskrisen. Norske selskaper utnytter ikke potensialet i risikostyring godt nok. Om lag90 % av børsnoterte selskap har ikke internrevisjon, noe som ersvært uvanlig internasjonalt.

NIRF ga innspill utover de mindre forslagene til endringer, samtåpnet for diskusjon av mer prinsipiell karakter:

Sammenlignet med anbefalinger til god governance i andre land,både i og utenfor EU, er den norske anbefalingen relativt snever.Den dekker hovedsakelig kravene til foretaksstyring sett fra eier ogledelsens perspektiv. Det vil være god praksis å inkludere ogsåkrav til governance fra ansatte, brukere, leverandører, kunder ogsamarbeidspartnere. Likeledes vil prinsippet om å ikke ta med lov-festede emner i NUES anbefalingen medføre at anbefalingen påsikt vil bli kort.

NIRF viste også til rapporten «Corporate Governance Codes onInternal audit: current status in the EU (2012)». Den konkludertemed at bortsett fra Litauen, Polen og Portugal, inneholder samtligeav EU-lands governance-koder enten et krav til internrevisjon, ellertil at styret skal begrunne hvorfor dette ikke er nødvendig.

Compliance og anti-korrupsjonDet har i høst vært flere saker om misligheter og korrupsjon imedia: JP Morgan, RTC/Tinn Kommune og sist Telenor. NIRF harbidratt inn i arbeidet med Transparency International Norges nyeutgave av Antikorrupsjonshåndbok for næringslivet.

Vi har også deltatt i et prosjekt med Snøball Film, som lager trekortfilmer om anti-korrupsjon for Aftenposten. Hensikten er åskape debatt i det offentlige rom. Foruten NIRF, er Norges Kommunerevisorforbund, Finansmarkedsfondet, Selmer og TINorge bidragsytere i prosjektet.

Vårt compliance-nettverk er en felles møteplass og arena for erfaringsutveksling for de som jobber med compliance i Norge.Nettverket er nå i sluttfasen med å utarbeide en bransjeuavhengigveiledning til beste praksis for compliance-rollen i Norge.

KvalitetssikringVår satsning på å bistå medlemmene med kvalitetssikring er styrket. Vi har i høst tilbudt medlemmer kurs for å etablere kvalitets- og forbedringsprogram og forberede ekstern kvalitets-kontroll. Vi har engasjert oss i den europeiske QA-gruppen, somgir NIRF / IIA mulighet til å sette opp internasjonale QA team.

Til slutt vil jeg takke alle i NIRF som i høst har bidratt til å bringeoss videre. Vårt arbeid har gitt resultater. Vi har ny medlemsrekordmed over 800 medlemmer. Sammen bidrar vi alle til bedre styringog kontroll i offentlig og privat sektor i Norge.

Jeg ønsker dere alle en gledelig jul og et godt nytt år.

Jørgen Bock

President NIRF

@jorgeniia

Styreleder

HAR ORDET

4 SIRK nr 2. 2014

Travel høst

SIRK nr 2. 2014 5

Deloitte er et av de ledende internrevisjonsmiljøene i Norge. Vi bidrar til å skape resultater for våre kunder gjennom en strategisk tilnærming til utfordringer, men også gjennom praktiske handlinger og gjennomføringsevne.

Vi har i dag over 100 rådgivere som leverer tjenester innenfor internrevisjon, strategisk og taktisk risikostyring, intern kontroll, corporate governance, compliance, informasjonssikkerhet og granskning. Deloitte er verdens største leverandør av profesjonelle tjenester med over 200.000 medarbeidere i over 150 land, hvorav ca. 1.250 i Norge.

Ønsker du å vite mer om våre tjenester eller være del av et dynamisk og innovativt miljø, kontakt oss gjerne for en hyggelig samtale.

Vi vokser

Stein Ove Songstad, Partnerssongstad@deloitte.noTlf. 915 56 161

Helene Raa Bamrud, Partnerhbamrud@deloitte.noTlf. 974 23 678

Eivind Skaug, Partnereskaug@deloitte.no Tlf. 915 18 997

© 2014 Deloitte AS

6 SIRK nr 2. 2014

Virksomhetsstyr ing

Oppdatert UK Corporate Governance CodeSeptember 2014

The Financial Reporting Council (FRC) i UK har utgitt enoppdatert utgave av UK Corporate Governance Code somutvider kravet til kvaliteten av informasjon som investorerfår om selskapenes langsiktige overlevelsesevne og strategi ibørsnoterte selskaper, og som stiller større krav til risiko -styring.

Sammen med de nye kravene i selve koden er det utgitt en oppdatert "Guidance on Risk Management, Internal Control andRelated Financial and Business Reporting " – retningslinjer omrisikostyring og intern kontroll med rapportering. Fra dette

dokumentet er det flere områder som kan være av interesse forinternrevisorer som for eksempel på områdene bedriftskultur,debatt og utfordringer i styrerommet og styrets behov forbekreftelser (assurance).

For videre informasjon se https://www.frc.org.uk/News-and-Events/FRC-Press/Press/2014/September/FRC-updates-UK-Corporate-Governance-Code.aspx

Og NIRF sitt blogg http://www.iia.no/no/nyhetsblogg/

Foreningen gratulerer følgende medlemmermed ny tittel siden forrige nummer av SIRK:Diplomert Intern Revisor (Dipl IR) Kathrine W. Boge, NAVSilje Evjen Hansen, ForsvarsdepartementetTurid Adamsen Husvæg, Aibel ASPer Anders Kongsvik, NAVLiss Johansen Vallestrand, Norsk FolkehjelpBjørn Ole Kristiansen, Helse Nord RHFMonika Sverdrup-Thygeson, Statkraft ASSonja Dar, Oslo kommunerevisjonHilde Ludt, Oslo kommunerevisjonCamilla Svae, DNBJorun Andreassen, Oslo kommunerevisjonTore Dæhlin, Høgskolen i Oslo og AkershusTuva Elgaaen, Vestre Viken HFBrit Gagnat, RiksrevisjonenKari Hesjedal, KPMGIngvild Lundin Nordahl, OmsorgsbyggRandi Bolsø Hardy, ForsvarsstabenMery Mehrnaz Zadeh, Eika Gruppen ASVibeke Vestbø, Forsvarssjefens internrevisjonHilde Tanggaard, NIRF

Certified Internal Auditor (CIA) Ewa Grabarczyk, StatoilSissel Kristiseter, Oslo kommune, Byrådslederens kontorGeorge Turk, Telenor

Certified Government Auditing Professional (CGAP)Ida Thorsrud, ForsvarsdepartementetArne Torgersen, Forsvarsdepartementet

NIRF og IIA globalt gratulerer!

Virksomhetsstyr ing – Sikkerhet

SIRK nr 2. 2014 7

Et hovedbudskap i denne rapporten er at selskapets styre ikke børdelegere nettsikkerheten til IT-avdelingen. Selskapets styre skalselv ta en aktiv rolle ved styringen av selskapets nett sikkerhet.

I en separat spørreundersøkelse som er delvis gjengitt i forsknings-rapporten, oppgir mer enn 65 % av respondentene at risikoeneinnen nettsikkerhet er på høyt nivå og har økt. Samtidig gir kun14 % av respondentene uttrykk for at de har vært aktivt involvert itiltak hvor målet har vært å forbedre virksomhetens nettsikkerhet.

Rapporten presenterer fem prinsipper som kan anvendes for å forbedre oversikten over virksomhetens nettrisikoer:1) Styrets medlemmer bør se nettsikkerhet som en del av virksom-

hetens totale risikostyring, og kreve årlig rapportering om organisasjonens arbeid innen nettsikkerhet.

2) Styrets medlemmer bør forstå cyberrisikoene som er knyttet tilvirksomhetens tredjeparts-leverandører, og sikre at organisa -sjonen følger gjeldende lovgivning på feltet. I tillegg skal styretbli informert om alle alvorlige data angrep på selskapet.

3) Styret bør møte selskapets datasikkerhetsleder årlig for å få enoppdatering om selskapets nettsikkerhetsarbeid. Videre bør styret sikre at selskapets ledelse har etablert kontakt med rele-vante myndigheter innen nettsikkerhet.

4) Styret bør forvente at selskapets ledelse har i bruk et helhetligrisikorammeverk som inkluderer nettsikkerhetsrisikoer, og sikreat datasikkerhetslederen rapporter til riktig ledelsesnivå i organisasjonen.

5) Styret bør møte selskapets risikoleder årlig for å evaluere allerisikoer, og bekrefte at selskapets forsikringer har tilstrekkeligdekning for å adressere potensielle cyberrisikoer.

Videre kan følgende spørsmål hjelpe selskapets styre til å forberede seg til samtaler med ledelsen og revisjonsledelsen:1) Bruker virksomheten et helhetlig sikkerhetsrammeverk?2) Hvilke er selskapets fem viktigste nettsikkerhetsrisikoer?3) Hvordan er virksomhetens ansatte bevisstgjort om deres rolle

for nettsikkerheten?4) Har selskapets eksterne og interne trusler blitt analysert og

vurdert ved planleggingen av nettsikkerhetsaktiviteter?5) Hvordan er selskapets sikkerhetsledelse organisert?6) Ved eventuelle datainnbrudd, har ledelsen etablert robuste

løsninger for å kunne håndtere situasjonen tilfredsstillende?

Forskningsrapporten til IIARF viser klart at styret forventes å haen aktiv rolle ved ledelsen av selskapets nettsikkerhet. Ved å stillespørsmålene presentert over, kan styret ta de kritiske første stegenefor å kunne fungere som virksomhetens fjerde forsvarslinje innennettsikkerhet.

Denne oversiktsrapporten er en av totalt fem publikasjoner iISACAs serie om European Cybersecurity Implementation Series,og tilbyr en overordnet fremstilling om hvordan selskapene kanoppnå en tilfredsstillende kvalitet innen nettsikkerhet.

Innledningsvis presenterer rapporten tre viktigste årsaker som for-klarer hvorfor vi bør ha økt fokus på nettsikkerhet. Deretter viserrapporten en oversikt over de seneste nettsikkerhets programmer og initiativer som er introdusert i Europa og som kan brukes som kilder til en verdifull informasjon.

Selskapene anbefales å skille mellom informasjonssikkerhet ognettsikkerhet. Utover dette visualiseres forskjellen mellom infor-masjonssikkerhets- og nettsikkerhetstrusler og risikoer med etPESTLE-diagram.

Ifølge rapporten er mange selskapene fremdeles ikke kjent med atnye automatiserte angrepsmetoder kan nesten som tilfeldig sjekkesårbarheten i virksomhetenes datasikkerhetsløsninger. Dermedanbefales det at selskapene i stedet for å vurdere sannsynlighetenfor at de vil bli angrepet, legger til grunn at det er sannsynlig atdette vil skje.

For å kunne møte dagens krav innen nettsikkerhet, er det anbefalt åutvikle en business case som identifiserer og analyserer effekten ogkonsekvenser av nettkriminalitet. Dernest bør selskapet etablere etmålebilde for sitt nettsikkerhet. Avslutningsvis skal det lages egnemålekort for nettsikkerhetens ulike delområder, som deretter for -deles mellom selskapets ulike avdelinger.

I slutten av rapporten blir leserne påminnet om at nettkriminalite-ten ut fra sin natur krever kontinuerlige justeringer, vurderinger ogforbedringer i hele verdikjeden. Dette forutsetter i sin tur at sel -skapet adopterer en langsiktig cyberstrategi, som inkluderer dynamiske og fleksible løsninger, inkludert kontinuerlig oppdatertinformasjon om kvaliteten i eksisterende nettsikkerhetsløsningermed tilhørende indikatorer og nøkkeltall.

Avslutningsvis viser rapporten hvordan virksomhetene kan organisere arbeidet sitt med hensyn til bekreftelser fra intern -revisjon, og viser videre til andre kilder.

Oversiktsrapporten fra ISACA kan anbefales, da den tilbyr verdi -full informasjon til alle relevante interessenter i virksomhetene.Dette gjør den gjennom å skape et felles begreps- og forståelses-grunnlag for fremtidige diskusjoner om nettsikkerhet. Revisoreranbefales også tre andre rapporter i serien, som handler om risikoveiledning, bekreftelse og revisjons program innen nettsikkerhet.

Rapportanmeldelser

Forskningsrapport til IIARF

NETTSIKKERHET –Hva bør styret spørreom selskapets nett -sikkerhet

Av Esa Leporanta

European CybersecurityImplementation: Oversikt

8 SIRK nr 2. 2014

Hvordan sveve på en rosa sky

Skytjenester og lagringDe siste årene har det har vært mangeendringer på teknologien som ligger tilgrunn for vår bruk av IT-systemer. En av de mer omtalte er inntoget avsåkalte skytjenester, nettskyer og cloudcomputing - eller rett og slett nettbasertetjenester. Kort forklart omfatter dettedataprosessering og datalagring somskjer på store og sentrale datasentre til-knyttet Internett. Det er vanlig å skillepå private og kommersielle tjenester. De private er forbeholdt eierens bruk ogdeles ikke med andre virksomheter,mens de kommersielle deles av mangevirksomheter og brukere.

Skytjenester er bygget med stor kapasitetfor databehandling og datalagring somdeles av alle brukerne Målet er å redu-sere kompleksitet og investeringsbehovfor den enkelte virksomhet ved at hverav kundene kan leie nødvendig kapasitet.

De mest kjente skytjenestene er plassert istore datasentre hvor hver enkelt kundehar mulighet til dynamisk skalering ettersine behov for datakraft og datalagring.For eksempel er det virksomheter somhar ekstreme behov for datakraft i kor-tere perioder. Med tradisjonelle løsningermåtte slike virksomheter investert storebeløp i infrastruktur for å kunne ha tilstrekkelig kapasitet selv. Med sky -tjenester kan de ganske enkelt bestilleønsket kapasitet for de timene, dageneeller ukene de trenger det.

Med ny teknologi følger nye muligheter.Med muligheter følger også nye risikoerog verdien av infrastrukturen vil foran-dre seg. For eksempel vil tilgang tilInternett bli viktigere for virksomheten,mens lokale servere kanskje kan redu -seres i antall og størrelse. Å være klar

over nye og endrede risikoer og sårbar-heter er essensielt for å understøtte virksomhetens måloppnåelse.

Mange virksomheter har lenge vurdertslike skytjenester med stor skepsis. Dethar per dags dato ikke vært rapportertom tap av data eller større sikkerhets -hendelser hos leverandører som Amazon,Google, Microsoft eller Salesforce. Nårdette skrives har Apple lagt til rette forsåkalt to-faktor autentisering i sin sky -lagringsløsning – iCloud, etter at flereavslørende og private bilder har blittstjålet fra brukerkontoer med dårlig sikkerhet. Om dette tyveriet skyldes atbrukerne hadde for svakt passord ellerApple hadde for dårlig sikring vil sikkertbli diskutert i lang tid fremover.

Kanskje har din virksomhet tatt i brukskytjenester allerede? Eller kanskje deter oppe til vurdering? Kanskje har detvært vurdert som for risikabelt?Uavhengig av bruk og utbredelse er skytjenester noe alle virksomheter måforholde seg til. Kanskje er det alleredeansatte som har tatt i bruk de samme tjenestene på jobb som de benytter privat. Det er jo så lettvint å flytte doku-menter mellom hjemmekontor og jobbmed skytjenester. Dermed har kanskjevirksomheten i praksis skytjenester i

bruk uten at de er vurdert i forhold tilbehov og bruk, eller i forhold til truslerog risiko. I verste fall kan det væresnakk om mindre sikre tjenester hvor detoppbevares personsensitiv og virksom-hetskritisk informasjon uten at ledelse,sikkerhetsansvarlig og IT-avdelingen erklar over utbredelsen.

Bruk av skytjenester utgjør dermed enpotensiell og ofte reell risiko for at datakan komme på avveie. En annen risikoer at data blir oppbevart på en måte somikke tilfredsstiller norsk lovgivning.Blant annet stiller Personopplysnings -loven og Bokføringsloven krav til hvorog hvordan elektronisk lagret informa-sjon skal oppbevares.

Selskapets styre og daglig leder haransvar for å ivareta sikkerheten og til -rettelegge for forsvarlig drift. Mye avdette handler om å vite hvilke verdier ogtrusler som finnes og iverksette tekniskeog organisatoriske tiltak for å håndteredette. Kanskje er det på tide med engjennomgang av verdier, trusler og risikoer, eller kanskje det er på tide ågjøre en ny vurdering av behovene virk-somheten har til nye tjenester.

Det er vanskelig å styre bruk av sky -tjenester fordi det eneste som kreves er

Virksomhetsstyr ing – Sikkerhet

Bjørn Chr. Borgen, CISA, ITIL, leder

Sikkerhet & Teknologi hos RSM

Kent Kvalvik, CIA, Dipl. IR, CRMA,

CRISC, CGEIT, partner Risk & Advisory

Services hos RSM

SIRK nr 2. 2014 9

Virksomhetsstyr ing – Sikkerhet

en helt ordinær nettleser. Virksomhetenemå ha et bevisst forhold til skytjenesterog følge med på bruk av slike løsninger.Et virkningsfullt tiltak er å arbeide medbevisstgjøring og opplæring av de an -satte. Retningslinjer for bruk av IT- systemer og behandling av informasjonmå gjøres kjent gjennom opplæring avansatte og gjentas jevnlig.

Skytjenester har kommet for å bli, i hvertfall til det dukker opp andre løsninger ogteknologi som kan gjøre arbeidshver -dagen vår enda mer effektiv. Er det ikkeblitt gjort noe relatert til slike tjenester,så er tiden kanskje kommet?

Bevisstgjøring og opplæring avsikre ansatteTidligere var det systemene og den tekniske infrastrukturen som var gjen-stand for dataangrep, men i dag er ikkebrannmurer, antivirus og oppdatert programvare nok for å sikre elektroniskeverdier i virksomheten. Det er ikke lenger tilstrekkelig at IT-avdelingen sør-ger for at uønsket datatrafikk blir stoppetpå vei inn via Internett og andre elektro-niske kanaler. Dette kan være i form ave-post med uønsket innhold eller uønsketprogramvare, eller det kan være reklamepå nettsider som blir besøkt. Selv om defleste har hørt om farene ved å klikke pålenker og bilder i mistenkelig e-post ellerpå internettsider, er det fortsatt mangesom gjør nettopp det. Det er derforbevisstgjøring og opplæring av de ansatte bør fokuseres på.

Målet for angriperne kan være å få til-gang til informasjon om brukernavn ogpassord slik at de kan hente ut informa-sjon, eller plassere eget utstyr inn i virksomhetens infrastruktur. Angriperneer nesten alltid ute etter å tjene penger påinformasjonen de får tilgang til.

Det har vært flere eksempler på at ansatte er den nye inngangsporten forhackere. Blant annet ble energisektoren iNorge utsatt for et større angrep i augusti år. Utvalgte ansatte mottok falsk e-posthvor klikk på lenker eller vedlegg installerte en spionprogramvare på PC-en. Budskapet i e-posten var troverdig,og angrepet var godt organisert og nøyeplanlagt. Formålet med slike angrep er ofte å til-egne seg virksomhetskritisk informasjon,

bedriftshemmeligheter og utvidede til-ganger til IT-systemer.

Angrepet viser at det blir benyttet merog mer sofistikerte metoder og at an -griperne tenker strategisk for å nå sinemål. Angrepene kan gjennomføres overlengre tid uten at ansatte, IT-avdelingeller samarbeidspartnere vil være i standtil å skjønne at de faktisk er underangrep. Dette kan gjøres gjennom å infisere mye brukte nettsteder og under-leverandører, samt med forskjellige former for sosial manipulering (socialengineering) mot utvalgte ansatte.

Ettersom angrepet går mot de ansatte ogikke de tekniske elementene virksom -heten har kontroll på, er ikke gode rutiner og teknisk sikkerhet tilstrekkeligfor å hindre slike angrep. Det må stilleskrav til at brukerne vet hva de kan ogbør gjøre når de oppdager mistenkeligaktivitet i forbindelse med IKT -systemene.

Det er virksomhetens ledelse som haransvar for å tilrettelegge for sikring avinformasjon og verdier. I dette liggerogså å sikre at de ansatte får tilstrekkeligopplæring. Det bør også etableres rutinerog retningslinjer for bruk av IT-syste-mene og hvordan eventuelt sensitiv ogvirksomhetskritisk informasjon skalbehandles.

For en potensiell angriper vil de ansattesbrukernavn og passord være en muligvei til informasjon. Hvor lett det er å fåtilgang til dette for en angriper avhengerblant annet av om de ansatte har fulgtrådene som blir gitt. Har de for eksempelforskjellig passord på alle nettsteder?Etterhvert som vi stadig tar i bruk fleretjenester både privat og på jobb blir detviktigere å sørge for at passordene vibruker er forskjellige. Det blir med andreord ikke lettere å være bruker i den digi-tale verdenen med det første. Fortsatt erdet nok mange som har det samme pass -ordet sitt på jobb-PC og private PC.Skulle en ansatt i virksomheten foreksempel miste passordet til Facebook-kontoen sin ville det være uheldig omdet er det samme passordet som er bruktpå alle IT-systemene på jobb også.

Tap av brukernavn og passord er noesom går igjen ved flere sikkerhetshen-

delser i år. Senest i september ble detlekket en fil med 5 millioner brukernavnog passord til Google-kontoer. Googlepåstår selv at de ikke har hatt noen bruddpå sikkerheten, så brukernavnene i filener sannsynligvis samlet inn via phishingangrep (falske kopier av nettsider) motbrukere og fra andre nettsteder. Detteviser hvor viktig det er å ha forskjelligpassord på forskjellige tjenester.

Enkle tiltak for å redusere risikoen fortap av passord kan være:• Bruk av forskjellige passord på for-

skjellige tjenester. Skill i det minstepå jobb og privat. Det finnes elektro-niske passordsafer som kan gjørehverdagen med mange passord littmer overkommelig.

• Benytte en form for to-faktor autenti-sering der det er mulig. Flere og fleretjenester tilbyr dette på en fornuftigog enkel måte. Også skytjenester somGoogle, iCloud Drive, LinkedIn ogDropbox har støtte for dette, men detkrever at brukerne velger å ta det ibruk.

• Å innta en kritisk holdning til mailhvor du blir avkrevd for personliginformasjon. Regelen er å aldri oppgibrukernavn og passord eller annenpersonlige informasjon via en e-post.

• Undersøke merkelige eller uventedebeskjeder på mail nærmere før deåpnes. Ikke klikk på lenker eller bilder i disse mailene før du er heltsikker på at det er trygt. Det sammegjelder "hyggelige" meldinger ompremier du har vunnet i konkurranserdu ikke har deltatt i.

At de ansatte i din virksomhet vil bli forsøkt angrepet via e-post eller tjenesterpå Internett er sannsynlig.

Et tiltak som vil være med på å avdekkehvilke risikoer de ansatte og virksom -heten er utsatt for er å gjennomføre enrisikoanalyse. En risikoanalyse vil gisvar på hvilke trusler virksomheten ståroverfor, hvilke verdier som må beskyt-tes, hvilke konsekvenser en sikkerhets-hendelse kan få og hvor sannsynlig deter at den inntreffer. Dette vil ikke barevære med på å beskrive behovet for opplæring i virksomheten, men ogsåhvilke andre tiltak som bør treffes for åoppnå ønsket nivå på sikkerhet innenforIT-området.

10 SIRK nr 2. 2014

Virksomhetsstyr ing – Mis l igheter/korrupsjon

Avdekking av misligheter vedhjelp av dataanalyser

I KPMGs årlige lederundersøkelse1 opp lyser en av tre ledere at deres virk-somhet, gjennom de siste fem årene, eneller flere ganger har vært utsatt for eneller annen form for økonomisk krimi-nalitet. Undersøkelsen viser at det erøkonomisk utroskap, underslag, regn-skapsmanipulasjon og korrupsjon somrammer norske virksomheter oftest.Det meldes om mange hendelser ogforsmedelige tap.

Hvordan kan internrevisjonen avdekke

misligheter gjennom dataanalyse?

Internrevisorer spiller en viktig rolle iavdekking av misligheter i selskaper ogorganisasjoner. I en undersøkelse gjen-nomført av Association for CertifiedFraud Examiners ("ACFE") fremkom-mer det at 14,1 % av mislighetssakeneinnrapportert til ACFE i 2014 bleavdekket av internrevisjon2.

En internrevisjon kan bruke dataanalysei flere sammenhenger og i alle deler avinternrevisjonsmetodikken. Figur 1 illustrerer at dataanalyse benyttes uliktavhengig av modenhet på internrevi -sjonsmetodikken.

I det følgende vil vi redegjøre for hvor-dan internrevisor kan benytte data-analyse i gjennomføringsfasen for åavdekke røde flagg og eventuelle

misligheter i virksomheters regnskaps -data. Dette kan gjøres som kontroll -handlinger i et tradisjonelt internre-visjonsprosjekt, som enkeltstående mislighetsrevisjoner eller kontinuerligerevisjoner og oppfølging /monitorering.

Ulike verktøy kan benyttes for å gjen-nomføre dataanalyser med fokus på åidentifisere røde flagg og misligheter,slik som IDEA, ACL, SQL og i2Analyst's Notebook for å gjennomførenettverksanalyser.

Noen av dataanalysene som kan gjennomføres blir nærmere beskrevetnedenfor.

Analyse av inngående fakturaer

Ved å analysere selskapets inngåendefakturaer for en tidsbegrenset periodekan man identifisere en rekke røde flaggved selskapets utbetalinger, som eksem-pelvis;

➢ Duplikate fakturanummer, leverandørog beløp for å avdekke mulig dobbelt-fakturering fra leverandør

➢ Fakturaer med feil/mangelfulle datapå fakturaen

➢ Fakturaer med ikke-verifiserbare tjenester

1KPMGs lederundersøkelse 2014 med nærmere 200 norske ledere. Se KPMG.no

2Association of Certified Fraud Examiners: Report to the nations on occupational

fraud and abuse, 2014 Global Fraud Survey

Jeanette Vatnemo Rasmussen

Senior Associate, Forensic,

KPMG Advisory

Magnus Digernes

Senior Manager, Internal Audit, Risk and

compliance Services, KPMG Advisory

Figur 1

Virksomhetsstyr ing – Mis l igheter/korrupsjon

SIRK nr 2. 2014 11

➢ Fakturaer med betaling til skatte -paradis

➢ Fakturaer med ulogisk faktura -nummerering

➢ Fakturaer med runde beløp

Listen over hvilke analyser man kangjøre er lang, og vi vil ikke nevne alleher. Analysene man gjør av inngåendefakturaer er spesielt for å avdekke falskefakturaer uten tilsvarende leveranse ellertjeneste som brukes for å skjule foreksempel utbetalinger som erbestikkelser, underslag eller hvitvasking.Omposteringer og korrigeringer kanbenyttes for å skjule utbetalinger somskjer uten reelt grunnlag.

Et reelt eksempel fra en dataanalysegjennomført for en stor norsk kundeavdekket betydelige avvik i selskapetsinngående fakturaer. Ved søk på dup-likate fakturanummer ble det avdekketflere treff. Det viste seg at det var fore-tatt utbetalinger flere ganger til sammeleverandør. Videre viste det seg at flerefakturaer til samme leverandør var lagtinn med fakturadato som ikke stemteoverens med fakturanummeret. Selskapethadde gjort flere utbetalinger tilleverandør med utgangspunkt i uriktigefakturaer. Ved nærmere innsyn i sakenviste det seg at de uriktige fakturaene varregistrert inn i regnskapssystemet av enansatt som hadde relasjoner tilleverandøren. I dette tilfellet hadde denansatte kunnet gjennomføre dissetransaksjonene på grunn av svakheterved selskapets internkontroll.Eksempelet er illustrert i figuren 2nedenfor.

Leverandører

Det kan avdekkes flere røde flagg ogmisligheter ved å utføre dataanalyser avvirksomheters leverandørdata, someksempelvis leverandører uten eller medugyldig organisasjonsnummer, duplikateleverandører og fiktive leverandører.

Det at ulike leverandører har identiskbankkontonummer i leverandørregistereter et rødt flagg, og gir risiko for at ansatte i kommunen har opprettet fiktive

leverandører og gjennomført utbetalingertil eget, eller tilknyttede personers,bankkontonummer.

I forbindelse med kryssjekk av data fraleverandørregisteret mot data fralønnssystemet, ble det avdekket at flereav leverandørene hadde sammebankkontonummer som en ansatt i selskapet. En ansatt i selskapet haddeutarbeidet uriktige fakturaer med fiktiveleverandørnavn i selskapets regnskaps -data. Deretter hadde det blitt ubetalt

penger til de fiktive leverandørene somhadde et kontonummer som var identiskmed den ansatte i selskapet. Eksempeleter illustrert i figuren 3:

Vær oppmerksom på at en ansatt eksem-pelvis kan endre leverandørens konto -nummer for en kort periode for å under-slå midler. Denne fremgangsmåtenavdekkes ikke gjennom en statisk gjennomgang av master data.

�

Figur 2: Eksempel inngående fakturaer (fiktive data).

Figur 3: Eksempel fiktive leverandører (fiktive data).

12 SIRK nr 2. 2014

Virksomhetsstyr ing – Mis l igheter/korrupsjon

Anskaffelser

Misligheter knyttet til anskaffelser er mestsannsynlig den vanligste formen for mis-ligheter i norske virksomheter. Dette kanomfatte uvanlige anskaffelser, innkjøputenfor rammeavtale, fakturaer utentilhørende innkjøpsordre og "budrigging".Uvanlige anskaffelser er innkjøp av varereller tjenester som ikke inngår i selskapetsnormale drift og er et rødt flagg som virk-somheten bør se nærmere på.

Innkjøp gjennomført uten godkjenning ihenhold til virksomhetens fullmaktsma-trise er verdt å følge opp. Store innkjøpgjennomført uten å innhente priser fraflere leverandører kan være et rødt flaggsom må ses nærmere på. Andre røde flagger at anskaffelsen blir delt opp i mindreinnkjøp for å komme innunder terskelver-di for innkjøp i virksomheten.

De fleste prosesser og transaksjoner haret naturlig og logisk forløp. Dersom foreksempel en ordredato ligger etter datofor inngående faktura vil det være viktigå følge opp. Innkjøpet kan da være gjortuten at man hadde fått godkjent innkjøps -ordre internt.

Et annet varselsignal er bruk av mellom-menn, konsulenter og tilretteleggere somi tillegg får store honorarer. Slike tjen-ester kan være reelle, men det kan ogsåvære en måte å skjule korrupsjon ogbestikkelser på.

Nærstående relasjoner

Transaksjoner med nærstående parter kaninnebære en stor mislighetsrisiko.Revisors plikter vedrørende kontroll avnærstående parter er definert i ISA 550.En mulig problemstilling er at personermed ledende posisjoner i et selskap (dvs.daglig leder, styret, hovedaksjonær mv.)kan sette sine personlige interesser foranselskapets interesser og misbruke rollerog innflytelse. En statsansatt kan ikke habierverv, styreverv og annet lønnet opp-drag som er uforenlige med arbeidsgiv-erens legitime interesser. De fleste norskeselskaper har også egne retningslinjer forinnrapportering av verv og mulige inter-essekonflikter i eksempelvis etiskregelverk.

I Norge er det flere eksempler påvennskapskorrupsjon eller krysstjenester,hvor vi ofte ikke ser direkte linker. Et

eksempel kan være at person A kjøpertjenester av en bekjent B sitt selskap tilhøy pris i bytte mot at person B kjøperprodukter på vegne av sitt selskap til høypris fra selskapet til person A sin kone.

Ved å innhente data fra Brønnøysund -registrene og informasjon om selskapetsleverandører og nøkkelansatte, slik sominnkjøpsansvarlige, kan vi kjøre analyserfor å avdekke hvorvidt det er relasjonermellom selskapets nøkkelansatte og rele-vante personer (eiere, styremedlemmer)hos selskapets leverandører.

Figur 4 over viser et eksempel avdekkethos et selskap hvor styreleder i detaktuelle selskapet også var styreleder iholdingselskapet til selskapets leverandør.Videre ble det avdekket at en av deinnkjøpsansvarlige i selskapet var deleieri en av leverandørene til selskapet. Deninnkjøpsansvarlige hadde vært leder avanskaffelsesprosessen hvor det ble beslut-tet å inngå avtale med den aktuelleleverandøren. Dette var et klart eksempelpå en interessekonflikt og et klart bruddpå selskapets retningslinjer.

Lønn

Det kan også forekomme misligheterknyttet til virksomhetens lønnssystem. Vihar sett på at ansatte kan opprette fiktivepersoner i lønnssystemet og hvorpå disselegges inn med eget kontonummer medpåfølgende betalinger. Andre eksemplerer at man utelater å fjerne ansatte som harsluttet i virksomheten, for deretter å endre

sitt eget kontonummer med påfølgendeutbetalinger.

Dataanalyser kan benyttes for å avdekkeuvanlige lønnstransaksjoner og til å se pålønnsdata opp mot andre data, someksempelvis inngående fakturaer ellerleverandørdata. Et tips er å analyserehvilke endringer som er gjennomført ifaste data, slik som bankkontonummerog adresse, samt hvem som kan og hargjort endringer i lønnsdata. Nærmerebestemt kan man gjennomføre følgendeanalyser:

➢ Dobbeltregistrering av ansatte

➢ Dobbeltregistrering av bankkontoer

➢ Sammenligne lønnsdata mot ulikedatoer

➢ Store overtidsutbetalinger

➢ Se på lønnsutbetalinger mot denansattes HR-data for å avdekke fiktiveansatte

Dette er bare noen av dataanalysene mankan gjennomføre for å avdekke mis-ligheter i virksomheters regnskapsdata ogsvakheter i virksomheters internkontroll.

Mislighetssaker kan svekke tro-verdigheten og omdømmet til en virk-somhet. Det er derfor viktig at virk-somheten tar risikoen for misligheter påalvor. Internrevisjonen har en unikmulighet til å avdekke flere mislighetergjennom en effektiv bruk av dataanalyse.

Figur 4: Nærstående relasjoner (fiktive data).

Produksjon AS

Herman

Marte

Peter

AndreProdukter AS

Industri AS

30%

Daglig leder

Innkjøper

Styreleder

70%

Leverandør

Leverandør

Andre

49%

Holding AS

100%

Styrets leder51%

SIRK nr 2. 2014 13

50Celebrating

1964 - 2014

years

www.RSMI.no

RSM LOKAL KUNNSKAP I ET GLOBALT NETTVERK

t er en usikkDe

er vt er en usikk

nologi og økekNy t

den der uterer v

ende globalisering har sk k kende globalisering har sk

eden der ut

den dererapt en vende globalisering har sk

negnintulsebegitkirnasjonalt. ertinog nasjonalt

kermasjonssikorog inf forer innenfyr tjenestRSM tilb

e mulighetyor nåpne forberdu derimot godt f

moekkerivåptroffonakkaeglene og risikspillernologi og økekNy t

et vil både du og dineedt . Dberore f forær og vene b åm oreldnahet Dnasjonalt. e viroror både små og sthet f for både små og stker

yrisikostor helhetlig r innenf for helhetlig r

.err.e muligheteduseran du både r, kedtorber

onomisk tillit og øk o, ee,mmødmG.serrednobildet stadig e sik o

ende globalisering har sk k kende globalisering har sk

et vil både du og dinee da t,rr,eidre vettykse

,err,ksomhete virolltrnkonert, iningyr

oen oge risik o eduser. Ererr. Ertesultae rske r

regnintulsebelaGden dererapt en vende globalisering har sk

is på.e prunder settk

ALOB GLT EIALOK L RSM

is på.

VERKTT NETLLTAP KUNNSKAL

, mo alvikk, mobil 965 19 700, evvalvikent K Kv K Kent KontaktKKontakt

gen og er, Ber i Osloortkonevisjons- og rv re aderytilb

v RSM Ier medlem aRSM

k@rsmi.no-post k, mobil 965 19 700, e

.RSMI.noww wes mer på. LossVVossgen og ge har vi. I Norerivningstjenestådgevisjons- og r

dens ledendeerv v, et ationalnaertnv RSM I

k@rsmi.no

.RSMI.noge har vi

dens ledende

14 SIRK nr 2. 2014

Virksomhetsstyr ing – Mis l igheter/korrupsjon

Det forventes altså at bedriftene regulererseg selv strengt, men uten noen direkteplikt til internregulering og uten klare retningslinjer.

Risikoen for korrupsjon er stor, og detsamme er konsekvensene for de involverteselskapene. Ikke bare bøter og rettighets -tap, men også tap av omdømme kan kosteet selskap mye. Korrupsjonsbekjempelseblir dermed ikke bare en juridisk for -pliktelse og et etisk standpunkt. Det erogså i bedriftenes egen interesse å ta av -stand fra og forsøke å unngå korrupsjon.

Foreign Corrupt Practics Act (FCPA)3 ogUK Bribery Act (UKBA)4 er interessantelover da de i hovedtrekk er svært like denorske bestemmelsene om korrupsjon ogforetaksstraff. Dette gjelder både hva mankan straffes for, og vilkårene for at straffinntreffer. UKBA skiller seg ut ved at denpålegger britiske myndigheter å fremleggeretningslinjer som selskapene må følge,dersom de skal unngå foretaksstraff forkorrupsjon.

Det britiske justisdepartementet har utgitten guide med seks prinsipper som er mentsom retningslinjer som bedrifter skal følgefor å unngå korrupsjon. Disse seks prin -sippene er kort fortalt; «ProportionalProcedures» – tiltakene må være utformetog til rettelagt ut fra bedriftens risiko;«Top-level Commitment» – tiltakene måspringe ut fra bedriftens ledelse; «Risk

Assessment» og «Due diligence» – det måfortløpende foretas risikovurderinger avsamarbeidspartnere, land, ansatte etc.;«Communication and Training» – fokus påopplæring og treningsprogrammer for åheve bevisstheten og kunnskapen til ansat-te og til sist «Monitoring and Review» –som pålegger selskapet å holde følge medforandringer i regelverk og kutymer påområder hvor de opererer.5

FCPA stiller ingen lignende krav om retningslinjer, men blant annet ervarslervern gitt betydelig oppmerksomhet ideres kamp mot korrupsjon. En egen lov,«The Sarbanes-Oxley Act» (SOX) fra2002, regulerer varsling av økonomiskkriminalitet. Denne loven gjenspeiler i storgrad de norske reglene om varsling i arbei-dsmiljøloven, men norsk lov gir her etbredere vern enn SOX. Amerika strekkerseg likevel lenger på et punkt. I 2006 fast-satte det amerikanske skattevesenet, IRS,at mellom 15 og 30 % av straffebeløpet ikorrupsjonssaker skulle tilfalle varsleren,såkalt «insentivbasert varsling». Dette kansies å gjøre Amerika til et av landene medbredest varslervern i verden og tilsier iprinsippet at man kan tjene penger på kor-rupsjon man selv har medvirket til.

Store endringer i flere lands lovverk og detnye fokuset på korrupsjonsbekjempelseførte til Transparency Internationals (TI)utgivelse av «The Business Principles forCountering Bribery» i 2003. «Beskytt din

virksomhet! Håndbok i antikorrupsjon fornorsk næringsliv» bygger på disse prin -sippene og ble utgitt av TI-Norge i 2009.TI-Norge oppfordrer alle norske bedriftertil å følge disse prinsippene for å etablereog opprettholde anti-korrupsjonsprogram-mer. TIs prinsippene går ut på det sammesom UKBA, men på noen områderstrekker TI seg enda lenger.

Ifølge TI er det særlig viktig med fokus pååpenhet som en del av et godt anti-korrup-sjonsprogram, både når det gjelder selveprogrammet, etiske syn, økonomi ogorganisasjonsopplysninger.6 I og med atkorrupsjon er noe som foregår i det skjulte,vil større åpenhet vanskeliggjøre at korrup-sjon forekommer, samt bygge tillit hosansatte, forretningspartnere, investorer ogikke minst hos myndighetene. TI frem -hever også nytten ved å kommunisere konsekvensene av korrupsjon og mener detburde komme tydelig frem at overtredelseer uakseptabelt og vil medføre disiplinær -tiltak. Videre vektlegger TI også at det måvære enda større fokus på varsling og etsunt varslingsmiljø i bedriften.7

TIs prinsipper gir en god oversikt over hvaselskaper burde tenke på når de igangsetteranti-korrupsjonstiltak. Prinsippene er like -vel bare veiledende og ikke lovpålagte retningslinjer utgitt av myndighetene, sliksom i Storbritannia hvor selskapene vethva de har å forholde seg til dersom deønsker å beskytte seg mot foretaksstraff.

Korrupsjon og foretaksstraff – Hva forventes av norske virksomheter?1

Av Christine Wendt, Contract Advisor, Aker Solutions

1Denne artikkelen springer ut av min masteroppgave «Korrupsjon og foretaksstraff – Betydningen av forebyggende tiltak

i «kan»-vurderingen i strl. § 48a ved korrupsjonstilfeller, og behovet for klarere retningslinjer på området» fra UiB våren

2014. Oppgaven er i sin helhet publisert på nettsidene til Transparency International Norge.

Se http://www.transparency.no/2014/09/10/korrupsjon-og-foretaksstraff/ .2 Stortingsmelding om «næringslivets samfunnsansvar i en global økonomi», nr. 10 (2008-2009).3 Foreign Corrupt Practices Act 1977, amerikansk korrupsjonslovgivning. 4 UK Bribery Act 2010, korrupsjonslovgivning i Storbritannia.5 Det britiske justisdepartementets «guidance» s. 21-31.6 TI-Norge sin undersøkelse «åpenhet i selskapsrapportering» s. 126-127.7 «Beskytt din virksomhet! Håndbok i antikorrupsjon for norsk næringsliv» s. 36-41.

I stortingsmeldingen «Næringslivets samfunnsansvar i en global økonomi»2 slår regjeringen klart og tydeligfast at det forventes at norske bedrifter motarbeider korrupsjon, etablerer varslingsmekanismer ogutvikler interne regler og retningslinjer. Det følger også av bestemmelsen om foretaksstraff at opplæring,kontroll og andre tiltak skal vektlegges i avgjørelsen av om selskapet skal straffes, men om hva som krevesav slike tiltak er forarbeidene tause.

SIRK nr 2. 2014 15

Virksomhetsstyr ing – Mis l igheter/korrupsjon

I Norge er det Økokrim som fungerer sombåde etterforsker og påtalemyndighet isaker om økonomisk kriminalitet. Økokrimhar utarbeidet en egen sjekkliste, bygget påmomenter fra norsk rettspraksis, over hvarettssystemet forventer av foretakene for atde skal kunne slippe straff selv om korrup-sjon har funnet sted. FørstestatsadvokatArnt Angell i Økokrim har uttalt at «omforetaket har alt på stell, så er det ikkenoen mening å straffe bedriften».8 Dennelisten blir slik sett et viktig holdepunkt for selskaper som ønsker å beskytte seg.

Momentene Økokrim trekker ut fra norskrettspraksis har store likhetstrekk med prin-sippene i UKBA og TIs håndbok. Detstilles således allerede i praksis strengekrav til selskapenes anti-korrupsjonspro-grammer for at de skal få betydning iformildende retning. Tiltakene skal ifølgeØkokrim også være grundig implementert,og krever tett oppfølging. Det kreves storåpenhet og velvillighet fra selskapers sidefor å få gjennomført alle tiltak.

Av norsk rettspraksis på området finnesdet per dags dato kun en Høyesterettsdom,den såkalte Norconsult-dommen. Selskapetble til slutt frikjent i Høyesterett, menspørsmålet om selskapet hadde gjort nokfor å forebygge korrupsjon ble til tross forfrikjennelsen besvart negativt av flertallet.Selskapet ble frikjent med hovedvekt påden lange tiden som hadde gått, og at selskapet i mellomtiden hadde innarbeidetgrundige anti-korrupsjonsprogrammer. Flertallet i dommen er tydelig på at detkreves klare og konkrete retningslinjer

innad i selskapet, rutiner for håndtering avkorrupsjons spørsmål og en jevn oppfølgingav disse og risiko utsatte områder.9

Også annen rettspraksis på området forforetaksstraff er av betydning. En gjen-nomgang viser at de samme kravene tilforebyggende tiltak går igjen i de flestedommer de siste 30 årene. Dommene viserat det stilles strenge krav til retningslinjer,instrukser, gjennomføring, oppfølging ogopplæring av de ansatte. Selskapene måsørge for etterlevelse, samt foreta risiko -vurderinger av bedriften selv, områder detopererer på og av mulige samarbeidspart-nere. Det stilles også krav om effektivinternkontroll, samt sanksjoner innad i selskapet ved brudd.

Det er mye som taler for at Norge burdeetablere retningslinjer, tilsvarende detStorbritannia har fått i UKBA, for å få detklart på papiret hva som kreves. Samtidigser man at de samme krav til forebyggingog tiltak som man finner både i UKBA,TI-Norges prinsipper og Økokrims sjekk -liste også ligger til grunn for Høyesterettsmomenter i norsk rettspraksis på området.

Slik sett kan ikke selskapers krav til forut-beregnelighet sies å bli tilsidesatt.Rettspraksis er allmenn tilgjengelig infor-masjon, som i hvert fall større bedriftermed internasjonal virksomhet relativtenkelt burde kunne få fatt i.

Når de nye bestemmelsene i 2005-straffe -loven trer i kraft vil det bli enklere forØkokrim å pålegge selskaper foretaks -

ansvar. Den nye § 48b bokstav h) tilsier atkorrupsjon blir en typisk overtredelse somtaler for at foretaksstraff skal ilegges. I til-legg blir det etter den nye korrupsjons-bestemmelsen § 27 ikke lenger et krav omat det må være utvist noen form for skyld.Det kan da bli enda viktigere med klare og konkrete retningslinjer til bedriftene åfølge for å kunne verne seg mot fore-taksstraff.

Dagens kamp mot korrupsjon tilsier ogsåat myndighetene burde utarbeide klarereretningslinjer, rett og slett fordi iverk -settelse av dyptgående anti-korrupsjons -programmer vil vanskeliggjøre at korrup-sjon forekommer og slik sett støtte opp omstraffebudenes ønskede preventive effekt.Dersom det for eksempel ble stilt størrekrav til åpenhet rundt selskapsform og selskapets økonomi, ville det blitt vanske-ligere å bedrive korrupsjon.

Korrupsjonsproblemet skyldes langt på veimanglende vilje, heller enn manglendekunnskap. Innføring av dyptgående oggode anti-korrupsjonsprogrammer vilkunne bidra til å oppnå en holdnings -skapende og holdningsendrende effekt påbåde ledelse, styre, ansatte, samarbei-dspartnere, varslere og resten av sam -funnet. Ikke minst ville slike programmerbidratt til å få et sunnere varslingsmiljø,der varsling anerkjennes som den sam-funnsnyttige handlingen den faktisk er.Med et nytt syn på varsling ville flere korrupsjonshandlinger komme frem ilyset, kanskje også i tide til å kunne for -hindre at ugjerningene blir gjennomført.

CORRUPTION PERCEPTIONS INDEX 2014The perceived levels of public sector corruption in 175 countries/territories around the world.

SCORE

0-9 10-19 20-29 30-39 40-49 50-59 60-69 70-79 80-89 90-100 No data

Very Clean

Highly Corrupt

COUNTRY/TERRITORY SCORE

COUNTRY/TERRITORY SCORE

COUNTRY/TERRITORY SCORE

Gjengitt med tillatelse fra Transparency International Norge

8 Uttalt på PwCs seminar om forebygging av korrupsjon og misligheter (april 2014).9 Rt-2013-1025 s. 69.

16 SIRK nr 2. 2014

Virksomhetsstyr ing – Mis l igheter/korrupsjon

Grov økonomisk kriminalitet i 1 av 4 norske virksomheter

Mange tror at korrupsjon, underslag ogandre økonomiske misligheter i liten gradskjer i norske virksomheter. Resultatene avEY Global Fraud Survey som ble publiserti juni 20141 viser noe annet. I under-søkelsen kommer Norge langt opp på listaover land med høy andel av grovøkonomisk kriminalitet de siste to årene.Hvilke ulike faktorer kan forklare detteresultatet, og hva kan gjøres for å forbedresituasjonen?

I EY Global Fraud Survey ble 2700 ledereav selskaper2 i 59 land verden over, hvorav50 norske, intervjuet om sitt syn på mis-ligheter, korrupsjon og bestikkelser. Etresultat som vekket særlig oppmerksomhetvar at hele 26% av de spurte norske lederne svarte at deres virksomhet haddeopplevd grov økonomisk kriminalitet iløpet av de siste to årene. Den høye pros-entandelen plasserer Norge på en overrask-ende 6. plass av 59 land, foran land somfor eksempel Russland (16%), Colombia(12%) og Kina (8%). Resultatet er ogsålangt over gjennomsnittet i både Vest-Europa3 og globalt, som begge er på 12%.

Resultatet er overraskende og det ervanskelig å si noe om årsaken. En muligforklaring kan være økt bevissthet somfølge av relativt stort mediefokus på

økonomisk kriminalitet og korrupsjon iNorge de senere årene, samt at det er stadige bedre kontroll- og varslingsord-ninger i virksomhetene som har ført til atflere saker oppdages og rapporteres.

Et annet interessant resultat i under-søkelsen er forholdet mellom antatte ogopplevde misligheter / korrupsjon. Så myesom 40% av lederne på global basis menerat korrupsjon og bestikkelser er et problemi eget land, mens bare 12% opplyser atderes virksomhet har opplevd grovøkonomisk kriminalitet de siste to årene. I Norge opplyser kun 14% at de anser korrupsjon som et problem, mens altsåhele 26% opplyser å ha opplevd grovøkonomisk kriminalitet. Nå inkluderer rik-tignok begrepet «økonomisk kriminalitet»mer enn bare korrupsjon og bestikkelser,men resultatet er likevel interessant. Detkan blant annet tyde på at definisjonen avkorrupsjon og oppfatningen av korrup -sjons handlingenes grovhet varierer mellomulike land. Det kan være et utslag av atmisligheter i større utstrekning avdekkes iNorge sammenliknet med mange andreland.

Vår erfaring fra granskingsenheten i EY, er at det er særlig tre områder som pekerseg ut i arbeidet for å forebygge og

avdekke økonomiske misligheter;- en effektiv varslingskanal,- et virksomhetstilpasset anti-mislighets-

program, inkludert anti-korrupsjons-program, samt

- ledelsens fokus på å bygge en god etisk kultur i virksomheten, blant annet gjennom en klar ”tone at the top”

En effektiv varslingskanal får mislighetssakene opp i lyset Det fremkommer av undersøkelsen at hele82% av norske virksomheter har innført envarslingsordning. Dette er langt over gjen-nomsnittet i Vest-Europa som ligger på53%. At så mange norske virksomheter haretablert varslingskanal skyldes nok primærtat den norske arbeids miljøloven gir arbeid-staker rett til å varsle om kritikkverdigeforhold på arbeidsplassen og påleggerarbeidsgiver en plikt til å tilrettelegge forslik varsling4.

Association of Certified Fraud Examiners(ACFE) gjennomfører annethvert år enundersøkelse hvor de blant annet kart -legger hvordan misligheter oppdages5.Siden 2002 har resultatene vist at tips ersvært effektivt for å avdekke misligheter.I de siste tre ACFE undersøkelsene har tipsstått for oppdagelsen av over 40% av mis-lighetssakene, mens internrevisjonen til

1 Overcoming compliance fatique - reinforcing the commitment to ethical growthhttp://www.ey.com/Publication/vwLUAssets/EY-13th-Global-Fraud-Survey/$FILE/EY-13th-Global-Fraud-Survey.pdf

2 Selskapene som er med i undersøkelsen representerer relativt sett store selskaper i hvert land, fordelt på ulike bransjer.

3 Vest-Europa er definert som Østerrike, Belgia, Finland, Frankrike, Tyskland, Hellas, Irland, Italia, Luxembourg, Nederland,Norge, Portugal, Spania, Sverige, Sveits og Storbritannia

4 Arbeidsmiljøloven §§ 2-4, 2-5 og 3-6

5 Report to the Nations on Occupational Fraud and Abuse. 2014 Global Fraud Studyhttp://www.acfe.com/rttn/docs/2014-report-to-nations.pdf

Martha C. W. Lind er jurist i Ernst

& Youngs granskingsavdeling med spesial -

kompetanse innenfor områdene compliance,

antikorrupsjon, antihvitvask og integrity

due diligence.

Hanne Oppen Bieker er siviløkonom fra NHH og

manager i Ernst & Youngs granskingsavdeling

med spesialkompetanse innenfor områdene fore-

bygging og gransking av misligheter, compliance,

risikoanalyse, antikorrupsjon og antihvitvask.

Virksomhetsstyr ing – Mis l igheter/korrupsjon

SIRK nr 2. 2014 17

sammenligning avdekker rundt 14% og IT-kontroller 1%.

Tilsvarende er det forventet at virk-somheter som tilrettelegger for varsling påen god og hensiktsmessig måte ogsåavdekker flere tilfeller av misligheter. Eneffektiv varslingsordning vil derfor væreen fornuftig investering for å få potensiellesaker opp i dagen. Varslingen bør ogsåkunne skje anonymt via telefon, post elleren sikker elektronisk løsning. Videre måbehandling av innkomne varsler ivaretaalle relevante lovkrav.

Et virksomhetstilpasset anti-mislighets -program må gjenspeile selskapets faktiske risiko Misligheter er en operasjonell risiko, oghåndtering av misligheter bør inngå som endel av virksomhetens overordnede systemfor risikostyring og internkontroll. Altarbeid med å forebygge misligheter børvære risikobasert i den forstand at man harfokus på de områdene som anses mest kritiske for virksomheten, og hvor risikoener størst.

De siste årene har det vært flere storeøkonomiske straffesaker i Norge som harfått mye medieoppmerksomhet. Den hyp-pigst forekomne formen for økonomiskemisligheter er underslag/ økonomiskutroskap. Det er ofte betrodde personermed god kompetanse og mulighet til åtilsløre mislighetene som begår handlin-gene. Av saker som har fått bred omtale imedia siste året kan nevnes saken hvor enfinansdirektør i et kjent forlagshusurettmessig overførte millionbeløp til segselv. Den påfølgende granskingen skal haavdekket at finansdirektøren gjennom enstørre mengde transaksjoner over flere århadde underslått til sammen 9,4 millionerkroner. Saken ble avdekket ved en til-feldighet internt i forlaget.

I tillegg til de mer tradisjonelle øko -nomiske mislighetene som underslag/økonomisk utroskap, ser flere og flerenorske selskaper nødvendigheten av å settekorrupsjonsrisiko på dagsorden.Korrupsjon medfører ikke bare om -dømmetap, eventuelle tap av kontrakt ellerutestengelse fra offentlig anbud og straffe -reaksjoner overfor individer, men ogsårisiko for foretaksstraff. Både norske ogutenlandske myndigheter strammer iøkende grad grepet med strengere korrup-sjonslovgivning og håndheving. Selskapet

Yara ble nylig ilagt et forelegg på 295 millioner kroner for bestikkelser av høyt-stående offentlige tjenestemenn i Libya ogIndia, samt bestikkelser av en leverandør iRussland. Til sammen dreier det seg omavtaler om bestikkelser for cirka 12 millioner USD. Forelegget er akseptert avselskapet og er det største som hittil erutstedt i Norge. Av andre saker kan nevnesrettssaken (som startet høsten 2014) motflere tidligere ledere i det kommunalt eideselskapet Unibuss, deriblant den tidligereadministrerende direktøren. Saken dreierseg i hovedsak om bestikkelser iforbindelse med kjøp av busser, inkludertprivat oppussing utført av underleverandør-er som ved fiktiv fakturering ble betalt avUnibuss. Så langt er 11 personer tiltalt, siktet eller dømt i denne korrupsjonssaken. I 2011 viste EY Global Fraud Survey at14% av norske ledere mente det varakseptabelt med rene pengegaver for åvinne eller beholde kunder dersom dethjalp virksomheten i økonomiskenedgangstider. I 2014 hadde andelen somsyntes pengegaver var akseptabelt falt til4%. I samme tidsperiode hadde andelenledere som bekreftet at de hadde gjennom-ført anti-korrupsjonsopplæring økt fra 30%til 74%. Dette kan tilsi at økt oppmerk-somhet, kunnskap og bevisstgjøring omkorrupsjon har stor påvirkning på ledernesoppfatning av hva de oppfatter som aksept-abelt. Som følge av dette vil de i størregrad enn tidligere kunne gjenkjenne kor-rupsjonsscenarier og hvilke konsekvenserdisse kan ha for egen person og virk-somheten.

Tone at the top - essensielt for å bygge enhelhetlig integritets- og compliance- kultur I følge EY Global Fraud Survey 2014opplyser 94% av de norske respondenteneat deres virksomhet har et internt anti-kor-rupsjonsregelverk. Videre fremgår at 92%av virksomhetene har klare sanksjoner forbrudd på slikt regelverk. Det fremgår ogsåat i 90% av de norske virksomhetenehadde ledelsen tydelig kommunisert for -pliktelsen om å etterleve anti-korrupsjons -regelverk.

Både styret og ledelsen bør spille en sen-tral rolle i etableringen av grunnleggendekjerneverdier, etisk regelverk og effektivecomplianceprogrammer, eksempelvis innenanti-korrupsjon. Styret og ledelsensintegritet og etterlevelse av virksomhetensetiske verdier påvirker kulturen i virk-

somheten, og hvilke rutiner og regler somblir fulgt, omgått eller ignorert. I følgeACFE er det en klar sammenheng mellomuklar eller fravær av tone at the top ogrisikoen for misligheter i virksomheten6.

Gjennom opplæring og trening må detvidere sikres en omforent forståelse hosvirksomhetens ansatte av hva som er for-ventet for å bygge en kultur med høy etiskstandard. Effektive sanksjoner for dem sombryter normene, samt det å motivere deansatte til å varsle dersom de mistenkerovertredelser, er også viktig.

En virksomhets etiske regelverk/complian-ceprogrammer søker typisk å definere hvasom er akseptabel og forventet adferd avvirksomhetens ansatte i ulike situasjoner.Et omforent begrepsapparat er viktig for atde ansatte skal definere korrupsjon påsamme måte og tolke situasjoner tilnærmetlikt. Eksempelvis det å forstå at de er i ensituasjon hvor de blir avkrevd en fasiliter-ingsbetaling, og å vite hvordan de skalhåndtere dette i henhold til virksomhetensinterne regelverk.

Virksomheter som definerer lovlig ogulovlig praksis, sørger for et omforentbegrepsapparat i virksomheten, og skaperen compliancekultur for årvåkenhet medhensyn til hvilke handlinger som er i henhold til internt regelverk og gjeldendelovgivning, legger til rette for at kritikk -verdige og ulovlige handlinger vil kunnebli avdekket og rapportert.

AvslutningStore selskaper kan være bedre rustet ennsmå og mellomstore selskaper til åavdekke misligheter, fordi de kan sette avmer ressurser til forebyggende ogavdekkende handlinger. På den andre sidenhar store selskaper gjerne mer uoversiktligstruktur, prosesser og tilgangskontroller,flere nivåledere samt høyere omsetning,slik at uregelmessigheter enklere kan gåunder radaren enn i et mer transparent ogmindre selskap. Uansett størrelse er detimidlertid vår erfaring er at en helhetligintegritets- og compliancekultur derledelsen og styret setter den etiske standar-den både i ord og handling, tilretteleggerfor en varslingskultur, samt etablerer eteffektivt og virksomhetstilpasset anti- mislighetsprogram er en grunnleggendesuksessfaktor i bekjempelsen avøkonomisk kriminalitet og misligheter.

6 Jf. Association of Certified Fraud Examiners, www.acfe.com

18 SIRK nr 2. 2014

Ris ikostyr ing / Internkontrol l / Compliance

Beste praksis på compliance-området

Finansindustrien og VerdipapirforetakRisikostyringsforskriften er det nærmeste vi kommer en gene-rell hjemmel for en compliancefunksjon innen finans i Norge.Merk at begrepet ”compliance” ikke nevnes i forskriften.Formålet med forskriften er å bedre foretakenes risikostyringog internkontroll gjennom å utdype styrets og ledelsens ansvarutover det som følger av selskapsrettslige regler og regler isærlovgivningen. Forskriften er generelt utformet og presisererat foretakenes risikostyring og internkontroll skal tilpassesvirksomhetens art, omfang og kompleksitet.

Det er særlig implementeringen av MiFID som har formalisertkravene til compliancefunksjonen i verdipapirforetak. I tilleggtil de omfattende operasjonelle adferdskravene som følger avMiFID, er MiFIDs krav til organisering av virksomheten inn-tatt i verdipapirhandelloven. I Norge har vi derfor særskiltelovhjemler for compliance i verdipapirfondsselskaper og verdi-papirforetak. For verdipapirforetakene ble, som en direkte kon-sekvens av implementeringen av MiFID, kravet til opprettelsenav compliancefunksjonen hjemlet i verdi papirhandelloven medtilhørende retningslinjer i verdipapirforskriften. Finanstilsynethar kommet med om fattende retningslinjer for tolkningen avkravene til compliancefunksjonen gjennom offentliggjøring avtilsyns rapporter (http://www.finanstilsynet.no/ offentlige brev).

Compliance i industri, særlig fokus på anti-korrupsjonDet er økende fokus på arbeidet med å bekjempe korrupsjon.Myndighetene i flere land har de siste årene fått øyene opp forat korrupsjon er noe som må bekjempes, og da med størreinvolvering fra myndighetenes side. Arbeidet mot korrupsjontydeliggjøres særlig med implementeringen av FCPA i USA i1977, og nå også UK Bribery Act, ”UKBA”, i Storbritannia,vedtatt i 2010. Regelverkene har noe ulik tilnærming til straff-barhetsnorm. Eksempelvis er «facilitation payments» straffbartetter UKBA, men ikke etter FCPA. Hovedprinsippene i regel-verkene er dog temmelig like. Norge var også tidlig ute med å

likestille privat og offentlig korrupsjon. Interessant å merkeseg er at FCPA og UKBA regelverket klargjør krav til fore -bygging som kan beskytte mot ansvar, altså vil et godt complianceprogram beskytte mot ansvar. Det er blitt publiserten rekke ulike veiledere som tar for seg hvordan regelverkeneskal implementeres, og kanskje aller viktigst, hvordan et com-plianceprogram bør bygges opp, og hva som skal til for at manskal kunne si at man har et velfungerende complianceprogramog hvordan compliancefunksjonen skal arbeide. Noen av veilederne som kan nevnes er FCPA Guidelines 2012 (FCPA-veilederen) og Bribery Act 2010 Guidelines (UKBA-veilede-ren). I tillegg finnes det OECDs 2009 Anti-korrupsjonsanbe -falinger kapittel II, Good Practice Guidance on Internal

Controls, Ethics, and Compliance, publisert i 2010.

Compliancefunksjonens plass i organisasjonenNår vi snakker om en compliance funksjon, er det naturlig åse på koblingen mellom risikostyring og internkontroll, og compliancefunksjonen. Det er også nærliggende å se på

Izabella Salicath, Compliance Manager, Abbvie

Kilde: FERMA / ECIIA ”Veiledning for styrer og revisjonsut-

valg”

”Compliance” er en foretaksfunksjon som vokser frem i stadig flere bransjer. Dog synes det ikke å foreligge noenklart etablert generell og bransjeuavhengig compliancemetodikk. Med utgangspunkt i et historisk tilbakeblikk påutviklingen av funksjonen kan man se at to ulike sektorer har vært viktige drivere for compliancefunksjonen, dogmed noe ulikt utgangspunkt. En av disse er finansbransjen og spesielt verdipapirsektoren – der compliancefunksjonener en del av konsesjonskravene for foretakene. Den andre er industrisektoren – hvor for eksempel antikorrupsjons-regelverk som FCPA (Foreign Corrupt Practices Act) og UK Bribery Act trigger behovet for et velfungerende com-plianceprogram. Er det mulig å finne noen kjennetegn i de ulike bransjene som jobber med compliance og som kandanne et utgangspunkt for en generell compliancemetodikk?

SIRK nr 2. 2014 19

Ris ikostyr ing / Internkontrol l / Compliance

koblingen mot internrevisjonen. Det kan være en utfordring åfinne compliancefunksjonens plass blant ulike funksjonerinnenfor kontroll- og risikostyring, samt å finne en hensikts-messig organisering for å sikre en effektiv arbeidsfordelingmellom disse. Figuren som viser de tre forsvarslinjene er flittigbrukt. Kort oppsummert viser figuren at risikoene selskapetmøter skal håndteres av de operative ansatte. Støttefunk sjo -nene, deriblant compliance, skal sørge for overvåkning. I tillegg kommer intern revisjon som tredje linje for å sørge foren uavhengig bekreftelse til styret.

Likheter mellom finans og industriUtgangspunktene for begge regelverksområdene er en generellutforming. Lovgiver har et ønske om en compliancefunksjonsom er tilpasset den enkelte virksomhet. Dette er også bak-grunnen for at det oppstår tolkningsspørsmål. Praksisen tilFinanstilsynet med å offentliggjøre tilsynsrapporter gir merdetaljert input på hvordan compliancefunksjonen bør organi-sere sitt arbeid. Tilgang til den type informasjon er noe knappere i forhold til etterlevelsen av FCPA og UKBA.Toppledelsens engasjement og ansvar i forhold til å gå foranmed godt eksempel er et felles moment. Denne faktoren for-enkler compliancefunksjonens arbeid med å skape et miljø iorganisasjonen hvor compliance blir frem hevet som viktig ognoe organisasjonen prioriterer. Det skapes et miljø som er etgodt utgangspunkt for de ansattes holdninger, integritet ogsunne etiske verdier.

Ut fra en risikovurdering skal selskapets policyer og opp -læringsprogram tilpasses selskapets kompleksitet. Risiko -til nær mingen er særlig presisert i veilederne til FCPA ogUKBA, men også innen verdipapirområdet er det presisert atregel verket skal tilpasses foretakets vurdering av egen virksomhet.

Oppfølging av effektiviteten av complianceprogrammet ermomenter som går igjen i begge bransjer. Oppfølging av etterlevelse av policyer og retningslinjer er viktige virkemidlertil å kunne av dekke områder som kan virke uklare og ikkeetterleves, rapportere på avvik og foreta justeringer. Det er dogulike tilnærminger til oppfølging.

Begge bransjene har krav til en complianceansvarlig som harautoritet og nok ressurser til å kunne fungere optimalt. I følgekorrupsjonsregelverkene skal complianceansvarlig være en av”top management”. Samtidig har finans bransjen en klar føringpå kravene til uavhengighet og objektivitet. Dette er ikke likeklart i veilederne til UKBA og FCPA. Arbeidet skal rapporteresog rapporteringen skal være hensiktsmessig. Den skal tilpassesvirksomhetens omfang. Art, kompleksitet og rapporterings -linjene, detaljnivå og hyppighet skal tilpasses virksomheten.Dette viser også viktigheten ved å ta utgangspunkt i en risiko-vurdering av virksom heten. Veilederen til FCPA er noe merpresis i forhold til hvem compliance skal rapportere til og nevner bla. direkte tilgang til styret eller revisjonskomiteen.

Ulikheter?På verdipapirområdet presiserer regelverket viktigheten av

compliance funksjonens objektivitet og uavhengighet. Dettelegger også Finanstilsynet vekt på i sine rapporter. Dette er etmoment som ikke blir omhandlet i like stor grad i veiledernetil FCPA og UKBA. Det presiseres dog at compliancefunksjo-nen skal plasseres på riktig sted i organisasjonen for å kunneutøve sitt arbeid på en velfungerende måte. Kan man si at enorganisasjonsmessig plassering som sikrer objektivitet og uavhengighet er en forutsetning for en velfungerende compliancefunksjon? I BS 10500:2011 (Specification for ananti bribery management system) kan man lese under punkt 5.2”Internal Audit” at det skal innføres interne kontroller for å bla.kunne teste dårlig eller manglende etterlevelse av policyer ogretningslinjer på området. Det presiseres at dette skal gjennom-føres av en objektiv part slik at man beholder uavhengighetentil den som blir kontrollert. Det er nærliggende å tro at dettepunktet viser til en intern revisjonsfunksjon gitt overskriften.Dette punktet presiserer dog videre at objektive kontroller ogsåkan/skal gjennomføres av compliancefunksjonen:

”5.2.6 To ensure the objectivity and impartiality of the audit

program, the organization shall so far as is reason able ensure

that the audit is undertaken by:

a) an independent function or person within the organization

established or appointed for this process; or

b) the compliance manager (unless it is the compliance

manager’s own actions which are being audited); (…)”

Det er dog ikke like klart som på verdipapirområdet hvordanarbeidet skal fordeles mellom compliance og intern revisjonen.Det som er viktig å legge merke til, er at kontrollene skalgjennom føres av en uavhengig og objektiv part.

Konklusjon Driverne bak etableringen av compliancefunksjoner i hen-holdsvis verdipapir- og industrisektoren er noe ulik. Innenforverdipapirsektoren er formålet bak rammeverket å sikre marke-det effektiv tilgang på kapital gjennom et regelsett som hindrerdiskriminering av investorer. Her har altså ønsket om et vel-fungerende kapitalmarked medført at compliancefunksjonenhar blitt en grunnstein i konsesjonsgrunnlaget for foretakene.Innenfor industrisektoren oppstår compliancefunksjonen somen konsekvens av et strengt regelverk som skal etterleves, mendet er ikke nødvendigvis en betingelse for å operere i marke-det. Selv om enkelte momenter er strengere praktisert i den eneeller den andre sektoren, finnes det noen felles grunnprinsippersom bør kunne danne utgangspunktet for en mer generell com-pliancemetodikk. En felles compliancemetodikk kan illustreresi figuren under. Egenskapene en stilling som f.eks. enCompliance Officer må ha illustreres i sirkelen i midten. Det er kritisk for en compliancefunksjon å ha tilstrekkelige ressurser, autoritet og uavhengighet. Dette blir presisert avmyndighetene innen begge bransjer. Oppgavene som gjennom-føres av en Compliance Officer skal være ut arbeidelse av poli-cyer, opplæring, opp følging og rapportering. Disse illustreresved hjelp av sirklene rundt kjerneegenskapene. Det er opp gaversom skal gjøres kontinuerlig og som ofte henger sammen. �

20 SIRK nr 2. 2014

Ris ikostyr ing / Internkontrol l / Compliance

Compliance Officer skal utarbeide policy-er og lære opp de andre i organisasjonene.Deretter skal etter levelse oppfølges ograpporteres. Ut fra resultatene fra opp -følgingen vil Compliance Officer kunnedanne seg et bilde av hvor mye opplæringsom kreves. Dårlig etterlevelse kan tydepå vanskelig tilgjengelige policyer og/ellerfor dårlig opplæring. Det som dannergrunnlaget for alt arbeidet er en risiko -vurdering. Det er risikovurderingen sombestemmer hvilke policyer selskapet skalha, hvilke områder opplæringen skal fokusere på, og hvilke områderCompliance Officer bør oppfølge særskilt.Rapporteringen er også avhengig av risikovurderingen; høy risiko tilsvarerhyppigere rapportering. Det viktigste avalt er ledelsens engasjement. Uten fokusfra ledelsen mister man ikke bare tilgangpå nok ressurser, men mangler god kulturhvor etikk og integritet er i fokus.

NIRF om eksterne evalueringerEkstern evaluering handler om å bidra tilforbedring av internrevisjonsleveransen.Vi søker å identifisere områder som kanutvikles slik at dere kan fortsette å i endastørre grad skape merverdi i virksom -heten. Den eksterne evalueringen fungererogså som en bekreftelse til ledelsen ogstyret på om internrevisjonen er organisertpå en optimal måte. I følge Standard 1312skal en ekstern evaluering av internrevi-sjonsavdelingen utføres minst hvert femteår. Evalueringen utføres av en uavhengigkontrollør utenfor organisasjonen. Denneeksterne evaluering kan være i form av enfull ekstern evaluering eller en egenevalu-ering med uavhengig ekstern validering.Se våre nettsiderwww.iia.no/no/ekstern_evaluering/ former informasjon om forskjeller i de ulikeoppdragene.

Hvorfor NIRFNIRF er internrevisjonsprofesjonens egeninteresseorganisasjon med formål å styrkeden faglige og etiske utviklingen innenforinternrevisjon. Vi tilbyr medlemmer etnøytralt og uavhengig alternativ for ut -førelsen av den eksterne evalueringen. I utøvelsen av kontrollene benyttes en

kombinasjon av faste ansatte og egnemedlemmer med god erfaring fra intern-revisjonsfunksjoner. NIRF har gjennom-ført eksterne evalueringer av intern -revisjoner fra statlig, privat og finansiellsektor.

Hva kan man forventeGjennomgangen vil foruten å bekreftehvorvidt internrevisjonsavdelingen er ioverensstemmelse med standardene, gi enoppsummering av vårt inntrykk av omenheten er organisert på en hensiktsmes-sig måte, slik at den får utnyttet de ressur-ser og kompetanse den disponerer for ålevere verdiskapende tjenester i tråd medvirksomhetens strategier og målsettinger. NIRF ønsker å fremheve profesjonen ogdens positive påvirkning i en organisa-sjon. Vi ønsker å bidra til å belyse for styret og ledelsen hvilken nytte de kan haav internrevisjonen. Dette kan være enmulighet til å løse opp i eksisterendeutfordringer. NIRF har en konstruktiv tilnærming tiloppdraget og søker å skape god kommu-nikasjon underveis, slik ta det ikke skalvære noen overraskelser i rapporten. Samtidig kan en ekstern evaluering være

utfordrende. Vi vil bringe med oss ideerog forslag basert på tidligere gjennom-ganger for å gi verdi og forbedringer tilinternrevisjonen.

HvordanVår gjennomgang tar utgangspunkt i kvalitetsmanualen fra IIA; Quality

Assessment Manual for the Internal Audit

Activity som vi har tilpasset norske for-hold, samt at vi har utviklet egne verktøysom benyttes under gjennomgangen.

Kvalitetssikring av oppdragetNIRF har etablert en egen overordnetkvalitetskontrollgruppe for å sikre konfor-mitet i alle kontroller og en mest muliglik vurdering av kriterier og tolkning avstandardene. Fire inneværende intern -revisjonssjefer utgjør denne gruppen, ograpporten blir gjennomgått og kvalitets -sikret av dem.

For mer informasjon ta kontakt medHilde Tanggaard, rådgiver i NIRFE-post: hilde.tanggaard@iia.no mob: 41107296

Ris ikostyr ing / Internkontrol l / Compliance

SIRK nr 2. 2014 21

COSO 2013 skal gjøre enheter bedre i stand til å tilpasse segendringer i forretningsmiljø, redusere risikoer til akseptablenivåer og støtte oppunder en hensiktsmessig beslutnings- ogstyringsprosess. Dette skal bidra til at de når sine mål. Denoppdaterte versjonen av COSO rammeverket understrekerbehovet for bruk av skjønn og en tydelig link mellom mål, risiko, og tiltak.

Den forsvunne diamant er et brettspill for 2-5 deltakere fra 7 årog oppover. Handlingen utspiller seg i Afrika, i et konkurranse-preget miljø med store muligheter og risikoer som røvere, dobbelt gevinst ved diamantfunn på Gullkysten, og insentiversom bonus til første spiller som når Cape Town. Hvilken verdikan COSO ha i jakten på den forsvunne diamant?

Uten regler fungerer ikke spillet, altså må man etablere et kontrollmiljø. Ikke bare må reglene finnes og være kjent, demå også etterleves. Hvordan sørger man for dette? I dette til-fellet; ved full åpenhet. Det sikrer blant annet at antall plasserman forflytter seg samsvarer med gitt terningkast, riktig turtaking, og at alle pengene blir levert banken ved røver-fangst. Videre har en av oss ansvar for banken som forsynerhele Afrika, i tillegg til å være bankkunde. Roller er fordelt.Manglende etterlevelse etterfølges av høylytte protester ogumiddelbar korreksjon.

Det er et relativt tøft miljø å operere i - diamantbransjen er ensvært konkurransepreget bransje. Det er seier for kun en part.Den store hvite diamanten er hovedmålet. Den finnes under enbrikke, et sted i Afrika, og brikken må bli snudd. Hvis detteinntreffer, eller rettere sagt når dette inntreffer, må man hurtigkaste seg rundt. Har man diamanten må man komme seg tilmål for å vinne. Har man ikke diamanten, må man finne et visaog så komme seg først i mål. Situasjonen inntreffer, men manvet ikke for hvem eller når. Man kan være i en posisjon langtfra mål, uten penger og langt fra potensielle visabrikker.Hvordan håndterer man denne usikkerheten?

I dette konkurransepregete miljøet er det stor sannsynlighet forbåde nye muligheter og risikohendelser. Sannsynligheten ersvært stor for at du flere ganger kommer til å miste alle pengene dine. Det er imidlertid også svært sannsynlig at dukommer til å oppnå ny opptjening ganske raskt. Muligheteneog farene må vurderes opp mot hovedmålet; diamanten. Mankan i teorien vandre rundt i jungelen, i ørkenen, eller på savan-nen, og aldri snu en brikke. Det vil imidlertid innebære at man

aldri vinner. Og trolig blir du heller ikke invitert til Afrika for åjakte diamanter igjen.

Hvis man velger å gå sjøveien, som man må betale for, er deten fare for at man blir utsatt for røveri på St. Helena, og der-med må stå over ett kast. Er det verdt å ta denne kostnaden ogakseptere denne risikoen? Er sjøveien raskeste vei til CapeTown? Vil man dit før de andre? Finnes det heller flere brikkeri nærheten som øker muligheten til diamantfunn?

Hvilke trekk gjør de andre? Stor usikkerhet og et stadig skriftende miljø krever kontinuerlig risikovurdering for åkunne fatte beslutninger som sikrer måloppnåelse. Vi flyr, betaler 3000 dollar, tar sjøveien, betaler 1000 dollar,mottar forskjellig gevinst etter grønt, gult eller rødt diamant-funn. Jeg kan velge å kaste eller å betale for å snu brikker. Nårvelger jeg å betale? Når vi jakter på samme brikke? Hvem nårfrem først? Har jeg penger? Har jeg altfor mye penger? Det erspennende, og vi koser oss.

Så hva med muligheten for misligheter; går det an å jukse medså mye åpenhet? Det er behov for en ny skive leverpostei tilkveldsmat. En part forlater rommet for å fremskaffe proviant,mens den andre blir igjen i stua med full tilgang til banken ogtil å lette på brikker. Tillit blir utvist. Muligheten for misligheter tilstede. Men som typisk norsk hersker det en god porsjonnaivitet som gjør at slike kontrolltiltak ikke en gang vurderes.Imidlertid kan det tenkes det bør vaie et rødt flagg om detkommer flere bestillinger fra stua, som sylteagurk og melk.

Samtidig som det er konkurrerende parter og en hard virkelig-het i Afrika, er det likevel rom for å utøve en god porsjon samfunnsansvar som ikke går på bekostning av muligheten tilseier, men som på sitt vis bidrar til verdiskapning. I et konkur-ransepreget miljø står det ikke tilbake for at røverfangst etterfølges av en latter med et visst snev av skadefryd hos motparten. Imidlertid kan man selv ha som policy å heie påmotparten ved funn av rød diamant, og sympatisere ved tap avaktiva.

Og så har vi alltid muligheten for at det inntreffer en svartsvane. Melkeglasset. Det er sølete. Vi må starte på nytt.

COSO i jakten på den forsvunne diamantAv Hilde Tanggaard, rådgiver i NIRF

22 SIRK nr 2. 2014

Ris ikostyr ing / Internkontrol l / Compliance

Compliance blir stadig viktigere for selskaper på grunn av økte regula-toriske krav og forventninger om etiskatferd fra kunder, investorer og sam-funnet for øvrig. Dette medfører atvirksomheter må etablere tiltak for åetterleve disse kravene og forventnin-gene, og gjennom det redusere risikoknyttet til omdømme tap, økonomisketap eller i verste konse kvens fore-taksstraff. Dersom selskapene kan visetil at de har implementert et helhetligcompliance- eller anti korrupsjons -program, viser tidligere retts avgjørelserat dette kan være formildende medhensyn til straff.

En rekke norske selskaper har desenere år erfart at det kan være en betydelig risiko knyttet til forret-ningspartnere, noe som har medført atflere ser nødvendig heten av å imple-mentere forebyggende tiltak knyttet tiltredjeparter. Internasjonale retnings -linjer og guidelines som UK BriberyAct, FCPA og World Bank IntegrityGuidelines har i stor grad vært ret-ningsgivende for complianceprogram.

Deloitte inviterte i september til etseminar hvor resultatene fra to under-søkelser relatert til etikk og complianceble presentert. En for å kartlegge statusi Norge og en for å kartlegge beste

praksis internasjonalt, basert på inter-vjuer med seks globalt ledende sel-skaper innenfor etikk og compliance.Undersøkelsene ble gjennomført vårenog sommeren 2014. Begge under-søkelsene peker på at et robust og hel-hetlig complianceprogram er basert påen sterk etisk bedriftskultur hvorledelsen leder an gjennom sine handlinger, samtidig som det er imple-mentert et solid internkontrollsystemsom bidrar til å redusere de viktige compliancerisikoene til et akseptabeltnivå. I denne artikkelen presenterer viutvalgte funn fra nevnte undersøkelser.

Den norske compliancesurveyen viserat norske selskaper har utfordringerknyttet til etterlevelse, og at detinvesteres for lite i compliance-funksjonen både med hensyn til antallressurser og budsjett1. Den norskeundersøkelsen viser i tillegg at tekno -logi og verktøy må benyttes for å få etmer effektivt complianceprogram. Hele81% av de norske selskapene viser tilat de gjennomfører risikovurderingerårlig eller oftere. De compliance-risikoene som selskapene har størstutfordringer med er tredjeparter,oppfølging av etterlevelse av policy ogprosedyrer, samt administrasjon avdisse.

Kultur og tonen på toppen

Styret og ledelsens engasjement for ågjøre etiske retningslinjer og compli-ance til en del av bedriftskulturen er avkritisk betydning for et effektivt com-plianceprogram. Det er ikke tilstrekke-lig at ledelsen snakker om viktighetenav etikk og compliance, de må ogsåvise sitt engasjement gjennom hand -linger og beslutninger. Undersøkelsenav internasjonale selskaper viser atcompliance og etikk må være kriterier iledelsens insentivordning og årligeevaluering for å forsterke ledernes handlinger2. «Tonen på toppen» harinnvirkning på kulturen i selskapet,som videre er toneangivende for at -ferden til ansatte og retningsgivendefor hva som er riktig og galt i organisa -sjonen. Av den grunn er kulturen sen-tral for et effektivt complianceprogram.Norske selskaper mener selv at de haren sterk bedriftskultur som bygger påetiske verdier.

Det er styret i selskapet som har detoverordnede ansvaret for at compli-ancefunksjonen har tilstrekkeligeressurser, og de bør være engasjert ievalueringen av effektiviteten til complianceprogrammet. Styret børdelegere myndighet til en person,Compliance Officer eller lignende, som

Fokus på etikk og complianceHelene Raa Bamrud

Partner og leder av

Enterprise Risk Services

i Deloitte Norge.

Endre Fosen

Partner i Enterprise

Risk Services.

Line N. Dahl

Manager i Enterprise

Risk Services.

1 Deloitte: The Norway Compliance Survey – Risk assessment, August 2014

2 Deloitte og Telenors undersøkelse av beste praksis innen etikk og compliance, 2014

Ris ikostyr ing / Internkontrol l / Compliance

SIRK nr 2. 2014 23

er ansvarlig for å styre, overvåke ogevaluere compliance programmet.Selskapet bør etablere en prosess somsikrer at styret er informert om allebrudd på retningslinjer av vesentligstørrelse, og at alle brudd og mistankerom brudd blir rapportert og håndtert.God praksis tilsier at Compliance

Officer har direkte tilgang til styret vedbehov.

Risikovurderinger og internkontroll

Det er avgjørende at virksomhetengjennomfører jevnlige risikovur-deringer som omfatter hele virksom -heten. Selskaper bør ha etablert enprosess som sikrer at risikovurderingengjennomføres i alle selskapets enheter,og at identifisert risiko på lokalt nivåløftes til den sentrale delen av orga -nisasjonen. Risiko vurder ingen utgjørgrunnlaget for beslutningen om åetablere risikoreduserende tiltak. Godpraksis tilsier prosedyrer som klartdefinerer roller og ansvar i prosessene,hovedaktiviteter med krav og retnings -linjer, risikovurdering ogtilhørende nøkkelkontroller.Etablering av konkretenøkkelkontroller i arbeids -prosessene er god praksis og imange tilfeller helt nødvendigfor å sikre etterlevelse.

Det er viktig at risikovurderin-gen gjennomføres og oppdateres jevnlig, da risikobildet endrer seg kon-tinuerlig. 81% av norske selskaper sierat de gjennomfører risikovurderingerårlig eller oftere, men det er nok mervarierende hvor mange som knytterrisikovurderingene til effektive tiltakog nøkkelkontroller i arbeids -prosessene. Ledende internasjonale selskaper innen compliance har risiko -vurdering knyttet til compliance som

en del av ERM-systemet3, og har et tettsamarbeid mellom funksjonene risk,intern revisjon og compliance.

Håndtering av tredjeparter

Det området norske selskaper sier dehar størst utfordring med er compliance knyttet til tredjeparter. For selskapersom opererer internasjonalt er det sentralt å vurdere korrupsjonsrisikoentil leverandører. Det er god praksis åetablere en prosess for å kontrollere og gjennomføre bakgrunnssjekker av forretningspartnere for å avdekke og redusere risikoen knyttet til tredje parter. Selskaper med risiko knyttet tilleveran dører bør i tillegg vurdere å haegne etiske retningslinjer som gjelderspesielt for tredjeparter. Samtidig børdet utarbeides avtaler om forsvarligforretningsdrift som blant annetinneholder retten til å inspisereleverandør, til å benytte sank sjoner ogtil å terminere kontrakt ved brudd.Ledende internasjonale selskaper

gjennomfører trening også av sine forretningspartnere, som for eksempeldilemmatrening og opplæring i etiske retningslinjer.

Testing og overvåkning av styrings -

systemet og compliance programmet

En kritisk suksessfaktor for et effektivtetikk- og complianceprogram er testingog oppfølging av implementering ogetterlevelse. Alle policyer, prose dyrer

og nøkkelkontroller som er utviklet forå redusere risiko er irrelevante hvis deikke brukes. Selskapet må sikre at alleansatte er kjent med og følger sel-skapets policyer og prose dyrer ved ågjennomføre jevnlig trening ogopplæring.

Den globale undersøkelsen til Deloitteviser at det er effektivt at linjeledere oggeografiske ledere har ansvaret forimplementering i sine enheter.Selskaper som er best i klassen innencompliance har egne treningsprogramfor ansatte i land hvor for eksempelrisikoen for korrupsjon anses som høy.Selskapet må ha etablert solide kon-troller som blir jevnlig testet ogovervåket. Dette er viktig for å kunnegjennomføre tiltak for å fjerne avvik ogfor å sikre kontinuerlig forbedring avprogrammet.

Undersøkelsen viser også at norske selskaper i liten grad benytter verktøyog teknologi innen complianceområdet.

God praksis er å benytteteknologi og verktøy for åjobbe effektivt, sikre imple-mentering, etterlevelse, godkontroll og rapportere tilledelsen og styret.

Et fullverdig compliance- program skal sikre at

selskapet er rustet for å forebygge,avdekke og håndtere alle misligheterog brudd på eksterne og interne retningslinjer. Norske selskaper har enlang vei å gå for å komme på nivå medde beste internasjonale selskapene –men det er en positiv utvikling – ogflere selskaper ser nå behovet for åvidereutvikle sin compliancefunksjonog sitt complianceprogram.

3 Enterprise Risk Management

Et fullverdig complianceprogram skalsikre at selskapet er rustet for å forebygge, avdekke og håndtere allemisligheter og brudd på eksterne oginterne retningslinjer.

24 SIRK nr 2. 2014

Internrevis jon

Vasilka, many people say that it is impor-tant to define what the organisationmeans by risk and risk management –what is your experience from Swiss Re?In Swiss Re the ERM philosophy is allabout more adaptive and intuitiveapproach to risk. Swiss Re's ERM pro-gram is focused on intelligent protection:through understanding planned risks, supporting the taking of good risks andtop-down management of the biggestthreats. The business is shifting from astrategy of “blanket” protection or 'zerotolerance' to encouraging educated andtransparent risk-taking and seizing theopportunity aspect of risk. The ultimateobjective is to enable better commercialdecisions, without incurring unsustainablecost, thus improving competitive advan-tage.

How did you find moving to a third line

role when you moved from working in

Capital and Risk Management to

Internal Audit?

Coming from the first or second line givesan appreciation of the complexity andchallenges Risk Management faces tostrike the optimal balance between edu -cating, challenging and enabling the risktakers who own the core business exe -cution. This is not an easy cultural shift:compliance is no longer only about following rules, but is also about applyingknowledge and experience contextuallyand interpreting risk accordingly. Thedemand now is for the Risk Managementfunction to focus less on controlling theday-to-day decisions and look more strategically across the business, e.g.: togive an independent perspective and

enhance the risk and return profile of thebusiness, influence product development,investment decisions, etc.

In your speech at the Norwegian

Business school you identified a further

category of audit planning beyond cycli-

cal planning and risk based planning

could you explain what you mean by this.

We call this further category ERM internalaudit planning. This approach builds onthe internal audit's universe of enterpriserisks and the key themes from manage-ment's top-down risk assessment. ERMplanning ensures that risks critical to thebusiness strategy are covered and are adequately mapped to the correspondingbusiness processes. In addition, it allowsthe flexibility to re-prioritize the auditwork and adjust the audit plan in real timeas the business and its environmentchange. Cost optimization and businessvalue come as a by-product of this plan-ning approach as audit resources are real-located to 'hot spots' and are fully utilized.

Some people have said that the internalauditor's role in a developed governancesystem is to ensure the second line ofdefense is working do you agree withthis?

I find such a view only partially validbecause risk management is a responsibili-ty of everyone in a company and thisincludes core business execution in thefirst line as well as activities related tostrategy setting, business planning, per-formance measurement, oversight andreporting. Under Swiss Re's RiskManagement Standards the risk manage-

ment function acts as the risk controller.However, the risk owners and takers residewith the first line of defense and haveshared responsibilities for risk identifica-tion (including horizon scanning), imple-mentation of controls, monitoring of iden-tified risks, and validation and mainte-nance of risk models, etc. Internal audit isresponsible to provide assurance over theactivities of both the 1st and 2nd lines ofdefense.

In Norway it is common for the internal

audit to report either semi-annually or

quarterly to the Board but I understand

in Swiss Re you have a monthly report-

ing. Could you explain briefly the content

of such a report and who receives it ?

We produce a Monthly Risk Assessment(MRA) business summary, which supportsour proposals to the Group Audit

Auditing ERMInterview with Vasilka Bangeova, internal auditor, Swiss Re

By Martin Stevens, internal auditor, Gjensidige

On 31st October we in NIRF were fortunate to receive a visit from Vasilka Bangeova,

internal audit director in Swiss Re in London. Vasilka is head of the risk management

audit team in Swiss Re.

Swiss ReThe Swiss Re Group is a leading whole-sale provider of reinsurance, insuranceand other insurance-based forms of risktransfer. Dealing direct and workingthrough brokers, its global client baseconsists of insurance companies, mid-to-large-sized corporations and publicsector clients. From standard productsto tailor-made coverage across all linesof business, Swiss Re deploys its capitalstrength, expertise and innovationpower to enable the risk taking uponwhich enterprise and progress in societydepend.

Premiums earned in 2013 USD 28.8 bn.Employees worldwide. 11,500

SIRK nr 2. 2014 25

Committee for changes to the Annual AuditPlan. .The report includes an overview ofmanagement and organizational change perbusiness unit and corporate function, significant business developments, changesin the market and regulatory environment,operational incidents and key risk themesunder monitoring. The MRA is informationsharing mechanism for the audit directorsand a business educational tool for thebroader internal audit team as it condensesthe findings from hundreds of relationshipmeetings, reviews of committees' packs,specialist publications and intranet posts.

In the auditing standards it is stated that

the internal audit should assess whether

appropriate risk responses are selected

that align risks with risk appetite. Do you

have any suggestions as to how an inter-

nal auditor might plan such an audit?

In each audit at Swiss Re we report explicitly on the quality of the manage-ment's self-assessment of residual risk. Welook for evidence that our auditees arefamiliar with the risk appetite statement relevant for their area of responsibility. Weaudit the governance process for makingdecisions on management response to risk(e.g. control, accept or transfer). We testhow risk exposure is measured againstappetite; we also assess the quality of related monitoring data and the validationof underlying models and measurementmethodologies. In addition, we audit thegroup-wide process for setting risk appetite,

for communicating it to business units andfor 'translating' it into a set of limits andkey risk indicators.

In your speech you presented a two lens

approach to auditing ERM. Could you

give a brief explanation of these two

approaches and what in your opinion are

the main challenges for internal audit ?

The two lens approach analyzes ERM intoorganizational and individual (human) components. Then for each componentinternal audit considers both the 'tangible'characteristics (i.e. capabilities one canmeasure) and the 'soft' attitudes and be -havior (i.e. motivation). The organizationalview captures policies and standards, riskappetite and limit setting, as well as the'soft' risk culture: corporate values and tonefrom the top. The individual view looks atemployees' skills and competences and howemployees' controls related behaviors areinfluenced by remuneration policies andcareer management practices.

The main challenges for internal audit arisefrom the need for new skills and higherflexibility in stakeholder management. Forexample, in an ERM environment we nowneed experts in complex quantitative techniques to audit causal models but alsospecialists in behavioral psychology whocan assess how people anticipate and influ-ence risk outcomes. Audit methodologyand the assurance products also need toevolve: judgmental areas do not lend them-selves to sample testing; it is also a verydelicate balancing act to remain independ-ent and deliver business value, especiallywhen assessing ERM's role in steering business performance and resilience (asopposed to hazard avoidance).

How is internal audit work aligned and

coordinated with that of the second line

without breaching internal audit's

independence?

Swiss Re's Group Internal Audit (GIA)operates an Integrated AssuranceFramework (IAF) together with OperationalRisk Management (ORM) and Compliance.This is a platform for information exchangesupporting coordinated risk assessment,assurance planning, and issue monitoringand reporting. The IAF uses common riskheat maps, which capture senior manage-ment's top-down risk assessments and linkto key strategic initiatives. GIA opines on

the effectiveness of the activities performedby the 1st and 2nd lines of defense, how -ever GIA leverages management's risk andcontrols self-assessment, the key ORSAconclusions and the findings of ORM andCompliance risk reviews. GIA's independ-ence is maintained via its reporting line andbudget approval by the Audit Committee,'operational immunity' in recruitment andremuneration policies, clear mandate definition and observance of professionalstandards.

Finally I believe this was your first time in

Norway. We apologise for the dreary late

autumn weather, but apart from that what

were you first impressions of Norway and

its inhabitants.

Well, I am very well trained by the Britishweather, so the rain in Oslo did not deter mefrom indulging into my other passions:modern architecture and sculpture. I enjoyedthe vibrant vibe of the city but could alsorelate to its reflective coastal views.Everyone I have met and spoken to on myfirst visit to Norway met me with a smile,openness and curiosity, I felt welcome andcomfortable and am definitely coming backin the spring to experience the fjords.

Thank you Vasilka and we hope that you

may visit us again soon when the weather

will be hopefully a bit more on the sunny

side.

Internrevis jon

Vasilka BangeovaVasilka is a qualified accountant with13 years post-qualification experienceand a student of the UK Institute &Faculty of Actuaries. Prior to joiningSwiss Re, Vasilka headed the aggre-gation of Group available economiccapital of a global listed insurer andled a Solvency II Model Validationteam. She has 16 years of experiencein insurance, pensions and banking invarious roles with Big 4 firms, boutique consultancies and internalaudit functions. Vasilka has led largecross-border projects for re-engineer-ing of business process, developmentof IT strategies, financial due- diligence, private placements andAIM listings. Vasilka has also advisedregulators in Eastern Europe andCentral Asia on the implementationof IFRS and Basel II.

An overview of internal audit inSwiss Re85 employees located in the USA,Continental Europe, the UnitedKingdom and Asia.Reporting lines are organized by business area but operation follows amatrix logic whereby subject matterexperts lead or contribute to auditswhere the audit scope creates demandfor their particular skill.

The Risk management audit team comprises three specialists in financial,actuarial and other insurance risk andcapital management. It is complementedby 'Risk Management ambassadors' - avirtual team of co-opted auditors fromother teams who have local businessknowledge and are trained in variousrisk management topics.

26 SIRK nr 2. 2014

Internrevis jon

I forbindelsen med studietInternrevisjon; Governance -Risikostyring - Intern styring og kontrollpå Master of Management på BI har viforetatt en empirisk undersøkelse avinternrevisjons instrukser i norske virk-somheter, for å undersøke i hvilken gradinternrevisjoner i Norge oppfyllerkravene til instruksen i standard 1000,og hvorvidt man følger anbefalinger tilbeste praksis beskrevet i PracticeAdvisory 1000-1. Disse er utformet for åivareta internrevisjonens uavhengighet,og for å sikre levering av verdiskapendetjenester. Vår analyse av datamaterialetviser at det er et forbedringspotensial nårdet gjelder oppfyllelse av krav i standar-den, og at det også er et stykke igjen førinternrevisjoner i Norge har integrertanbefalt beste praksis. Analysen harogså medført refleksjoner om utformingav mal til instruks, og om proaktive løsninger oppdaget i data materialet.

Det ble sendt en spørreundersøkelse tilinternrevisjonssjefer kjent for NIRF pådaværende tidspunkt, og svarene blekoblet mot innholdet i tilsendteinstrukser. Vi rettet oss mot intern -revisjoner i Norge som sier at de aner -kjenner definisjonen av internrevisjon,etiske regler og standardene til theInstitute of Internal Auditors, og harminst en internrevisor ansatt i virk-somheten. Totalt gjennomgikk vi 26instrukser.

Det funksjonelle rapporterings-forholdet Vi ser at de aller fleste er organisatoriskkorrekt plassert for å ivareta uavhengig -heten, med rapporteringslinje til øverstemyndighet. Det er imidlertid tidvisuklart i flere instrukser hva som inngår idet funksjonelle rapporteringsforholdet

for internrevisjonen i virksomheten, ogdermed om rapporteringsforholdet itilstrekkelig grad ivaretar uavhengig -heten. Enkelte har stadfestet i instruksenat man rapporterer funksjonelt til øverstemyndighet, og andre har i instrukseninkludert flere av forholdene tolkningentil standard 1100 nevner som eksemplerpå hva som kan inngå i et funksjoneltrapporteringsforhold. I og med at stan-dardene kun gir eksempler, er det romfor selv å betegne hva dette forholdetinnebærer for den enkelte virksomhet. Etfunksjonelt rapporteringsforhold kanvariere fra internrevisjon til internre-visjon, og noen elementer kan være viktige enn andre. Det som er nyttig åreflektere rundt er hvordan disse ele-mentene (tilstede eller fraværende) kanpåvirke uavhengigheten til internrevisjo-nen. Er dette klart for alle involverteparter? Og er det tilstrekkelig uttrykt iinstruksen?

Hvordan gjør vi det? Dersom man i virksomheten har valgt årette seg etter det eneste anerkjenteinternasjonale rammeverket for intern -revisjon, skal dette i følge standard 1010være nedfelt i instruksen. Vår under-søkelse viser at det er 9 av 26 som ikkehar dette riktig beskrevet i instruksen, tiltross for at dette kravet er lett å innfri.Ved å vise at man følger IIAs ramme -verk er det visse elementer som alleredeer definert i ramme verket og visse elementer som er omtalt som skal, foreksempel at man skal ha en ekstern evaluering av en uavhengig kvalifisertpart minst hvert femte år (standard1312). Dermed er det grunnlag til åhenvise til rammeverket ved behovfremfor å overøse instruksen medbeskrivelser og definisjoner. I utarbei-delsen og vurderingen av instruksen kan

det være nyttig å reflektere over hvaman tar med i instruksen og hvorfor.Selv om det er visse krav til hva somskal være omtalt i instruksen, er detingen fasit for hvordan den utformeseller hva annet man beskriver i instruk-sen. Hva kan være nyttig å inkludere iinstruksen i din virksomhet?

Gjennomgang og kommunikasjonDet er et krav at man periodisk skalgjennomgå innholdet i instruksen for åvurdere om den i tilstrekkelig gradreflekterer de faktiske forholdene i

InternrevisjonsinstruksenSilje Evjen Hansen, seniorrådgiver i

Forsvarsdepartementets internrevisjon

Hilde Tanggaard, rådgiver i NIRF

Internrevisjonsinstruks• Hvem er vi?

– Hva er vårt formål?– Hva er vårt ansvar?– Hva er vår myndighet?– Hvordan sikrer vi vår

uavhengighet? • Hva gjør vi?

– Hvilke typer bekreftelsestjenester leverer vi?

– Leverer vi bekreftelser til parter utenfor virksomheten?

– Hvilke typer rådgivningsoppdrag gjør vi?

• Hvordan gjør vi det? – Følger vi IIAs standarder, etiske

regler, definisjonen av intern-revisjon?

Uansett hvordan man velger å beskriveinternrevisjonens formål, ansvar ogmyndig het i instruksen, så er det viktigat den er oppdatert for å gjenspeile defaktiske forhold, noe som sikres gjen-nom en periodisk gjennomgang ogkommunikasjon med styret og topp -ledelsen.

SIRK nr 2. 2014 27

virksomheten. Flere oppgir i spørre -undersøkelsen at de ikke oppfyller dettekravet. Verken standarden eller PA-1000definerer hvor ofte dette bør gjøres.Hvis man velger å utføre en årlig gjennomgang kan det gjøres for eksem-pel i forbindelsen med årsrapporteringeneller årsplanleggingen. Samtidig kan detogså være nødvendig å løpende vurdereendringer som kan påvirke intern -revi sjonens formål, fullmakt og ansvar. I PA 1000-1, som er anbefalt beste prak-sis, står det at resultatet av gjennomgan-gen av instruksen også skal kommunis-eres til toppledelsen og styret. Analysenvår viser at dette følges opp i varierendegrad.

Om vi ser på kombinasjonen av opp -fyllelse av kravet om periodisk gjen-nomgang, og utøvelse av anbefalt beste

praksis for kommunikasjon av denne, erdet 10 av 26 som gjennomfører dette, ogdermed sikrer at toppledelsen og styreter informert om forholdene som er vur-dert. Hvordan er det i din virksomhet?Når kan være et naturlig tidspunkt åsette dette på agendaen?

Proaktiv løsning?NIRF vil på grunnlag av kunnskapfremkommet blant annet på bakgrunn avoppgavens analyse, utarbeide en mal forinstruks som kan være nyttig både foretablerte og nye internrevisjoner. Vi serfor eksempel en økning i nyetablerte,små enheter som ikke trenger å finneopp kruttet på nytt. En inspirasjon inn idette videre arbeidet, er hva vi liker åkalle for en proaktiv løsning i noen avinstruksene i datamaterialet. I gjennom-gangen ble det observert at to instrukser

omtalte beste praksis. Dette er ikke endel av kravene til hva som skal værenedfelt i instruksen, men ettersom detikke finnes en fasit for utforming av eninstruks, så kan nettopp det å nedfellebeste praksis av instruksen bidra til åsikre nettopp det.

Vi håper at disse funnene og reflek-sjonene rundt instruksen vil bidra til atflere internrevisjoner innfører bestepraksis. Instruksen er et grunnleggendedokument som man kanskje ikke tenkerpå i det daglige, men som uansett børvære et levende dokument.

Helt til slutt, vil vi benytte anledningentil å takke alle internrevisjonssjefer somhar bidratt til datainnsamlingen ogdermed også bidratt til foreningensarbeid. Tusen takk!

Internrevis jon

Internrevisjon er ikke en del avkontroll systemet.

Oktober 2014

The European Banking Authority’s(EBA) sitt forslag til retningslinjer forfelles prosedyrer og metodikk til bruk forbanktilsynsmyndigheter mangler klarhet ibeskrivelsen av internrevisjonens rolle ivirksomhetsstyringen, sier the EuropeanConfederation of Institutes of InternalAudit (ECIIA).

ECIIA svarer på høringsrunden EBA initierte på sitt dokument Draft Guide -

lines for common procedures and

methodologies for the supervisory review

and evaluation process under Article 107

(3) of Directive 2013/36/EU, ECIIAut talte at EBA tok feil i å beskrive intern revisjon som en del av finans -institusjonenes internkontrollsystem.

"Internrevisjonens oppgave er ikke å ut -føre kontroller, men i hovedsak å reviderekontrollfunksjonene og gi bekreftelse påstatus og kvalitet av disse til styre og til-synsmyndighetene" sier ECIIA.

ECIIA mener dette skillet er grunn -leggende fordi det gjenspeiler at kjerne-

virksomheten til internrevisjon er, på styrets vegne, å overvåke alle de andrefunksjoner i en bank fra sitt eneståendeuavhengige ståsted.

"Ettersom fremtidige internasjonale til-synsinspektører vil komme til å benytteseg av dette meget nyttige dokumentet, erdet viktig å klargjøre forskjellen mellomkontrollsystemer og internrevisjonsfunk-sjonen" sier presidenten i ECIIA ThijsSmit.

For videre informasjon sehttp://www.eciia.eu/our-current-views/responses-to-consultation/

Internrevisjonens uavhengig-het må tydelig defineres iSolvency II

September 2014

Internrevisjon må være utvetydelig uavhengig skal det spille en effektivrolle under det nye tilsynssregimet forforsikrings selskaper som går under nav-net av Solvency II - dette ifølge ECIIA.

Retningslinjer for implementering avSolvency II utgitt av the EuropeanInsurance and Occupational Pensions

Authority (EIOPA) krever eksplisittansvarsskille mellom de ulike virksom-hetsstyringsfunksjoner, noe som ECIIAhilser velkommen. Imidlertid bør doku-mentet der ansvarsoppgavene er nedfeltuttrykke mer detaljert hvordan intern -revisjonens uavhengighet skal oppnås.

"En av hovedoppgavene til internrevisjoner å revidere virksomhetsstyringssyste-met" sier ECIIA i sitt svar til hørings -dokumentet. "Dette inkluderer en rolle i årevidere andre nøkkelfunksjoner som risikostyrings-, compliance- og aktuar-funksjoner og derfor må internrevisjonholdes adskilt fra disse funksjonene."

Nøkkelen til internrevisjonens uavhengig-het er sitt forhold til revisjonsutvalget –kommunikasjonen må kunne skje direkteog konfidensielt der dette er nødvendig –og retten til å revidere hvilket som helstområde i forsikringsvirksomheten utenbegrensninger og påvirkning fra ledelsen.Internrevisjonen må rapportere funksjo-nelt til styret og operasjonelt til organisa-sjonens daglig leder, skrives det i kom-mentaren til høringsutkastet fra EIOPA.For videre informasjon sehttp://www.eciia.eu/our-current-views/responses-to-consultation/

Høringskommentarer fra ECIIA

28 SIRK nr 2. 2014

Internrevis jon

LEAN AUDITING– using lean techniques to enhance added value and reduce waste

By James C Paterson. PIIA, Director, Risk & Assurance Insights Ltd

When I was Chief Audit Executive(CAE) for Pharmaceuticals companyAstraZeneca PLC, I became increasinglyinterested in two key questions aboutinternal auditing:

• How could I be sure the internal auditfunction was adding the maximumvalue it could?

• How could I be sure the internal auditfunction was as efficient as it could be– moving beyond benchmarking andgoing back to first principles?

One of my audit team alerted me to leanmanufacturing (which revolutionized theJapanese motor industry in the 1960s and1970s) and suggested we could adapt thisto internal auditing. After an initialreview we agreed that lean techniquescould help us and thereafter we worked toapply these to what we did, creating alean auditing approach and obtaining pos-itive recognition internally and externally,and also driving efficiency improvementsof around 20%.

Several years later I started to work as afreelance consultant and took what I hadlearned at AstraZeneca and applied andenhanced it with my clients. I also startedto run training on lean auditing for theIIA UK and thereafter gained interestoverseas in Belgium, Sweden, the MiddleEast, South Africa and as far afield asCanada and Australia.In 2013 I was approached by John Wiley& Sons, Ltd and asked if I would write abook on lean auditing (due for releaseearly in 2015). I was aware that some ofthe ways of working that I would be pro-posing would be challenging to some

internal auditors, so I decided to discussthe principles and practices with a rangeof heads of audit, some of whom weremy clients and some not, to validate andenhance what I was planning to write. Inaddition to interviews with more thantwenty heads of audit, I was also luckyenough to interview Richard Chambersthe CEO of the IIA in the USA, NormanMarks, a leading thought leader in GRCin the US and also Chris Baker the tech-nical manager of the IIA UK.

What is lean and what can it offer us?The label “lean” was first used in 1987by John Krafcik, a student at that time ofthe Massachusetts Institute of Technology(MIT) who examined the ToyotaProduction System that had revolution-ized their production methods andobserved: “It needs less of everything tocreate a given amount of value, so let’scall it lean.”

Lean techniques have now been success-fully applied in a range of sectors outsideof motor manufacturing (e.g. in whitegoods and pharmaceuticals manufactur-ing) and, increasingly, in service sectors(e.g. airlines, healthcare). Typical benefitsobtained from lean ways of workinginclude:

• Reductions in: Defects, Lead times,cost, inventory and waste

• Improvements in: Customer satisfac-tion, Productivity, Capacity,Responsiveness and Quality

Lean ways of working have also beenused in relation to finance, HR and IT.And the application of lean to internal

auditing can be thought of as just a continuation its application. However, thekey to success is to understand how tointelligently apply these principles andtechniques whilst respecting key IIA standards.

Key principles of leanThe 5 key principles of lean can be summarized as:• Specify value from the point of view

of the customer• Identify the value stream• Create activities that Flow• Pull through “just in time”• Always strive for perfection

It is important to recognize therefore thatlean is not simply about reducing costsalthough managing and reducing costs isa by-product of lean ways of working.This also means that working in a leanway is often a much more positive thingthan most people realize and is somethingthat regularly is told to me during thelean auditing workshops I run.

Of course, which lean tools to apply andhow apply them needs to be situation specific and appropriately tailored tointernal audit work.

The consequences and benefits of usinga lean auditing approachThe benefits from using these tools andtechniques can range between each auditfunction and will depend on the extent towhich best practices are already in opera-tion. One of my interviewees makes a keypoint:

SIRK nr 2. 2014 29

“I think that there can be issues aroundpeoples’ understanding of lean auditing.People can easily see it as just finding anefficient way of doing an audit. In otherwords, it is the methodology that is related to lean, not the focus of the auditand the outcome. They might think it'smeant to relate to cutting out unnecessaryadministration and trying to avoid longdrawn-out audit reports and taking agesto get your audit report produced. Thisprobably comes from the layman’s understanding of lean which is that itsabout cutting things back to their barebones.

Of course lean has an element of this butits not just about cutting out unnecessaryactivities, its just as much about gettingthe focus of the audit right and using thetime more wisely and more effectively”.

Thus the key benefits from a progressive,lean audit approach are manyfold for bothinternal audit and the wider organizationbut can include:

• The creation of an audit culture that isfocused on delivering value add

• An audit plan that is more closely, anddemonstrably, aligned with the keyvalue drivers of the organization on anongoing basis

• An audit function that plays a key rolein understanding the overall risk assur-ance landscape of the organization

• An audit plan that is scheduled anddelivered with the minimum of delaysor difficulties

• Audit findings, reports and other formsof communication, that are short,insightful and recognize the wider context of the organization and thechallenges it is facing

• An audit function that is able to highlight appropriate efficiency opportunities in the wider organisation,including instances where the stream-lining of compliance and controlprocesses would be beneficial

• A function that can clearly demon-strate a positive return on its cost

Final reflectionsMany more detailed practices andinsights are contained within the leanauditing book. These have given meencouragement that there is a consider-

able body of progressive, value adding,practice in the internal audit professionacross a range of countries and sectors.However, it is clear from my research thatmany audit functions can do more toimprove their value add contributionand/or improve their efficiency and willtherefore gain benefit from the practicesoutlined in the book.

Of course making progress in driving for-ward more progressive audit practicesrequires leadership and judgment fromheads of audit and auditors. As one headof audit explained:

“It takes confidence and courage to sayno, I'm not doing any more audit work. Ittakes confidence and experience to sayI'm not going to drill down any further.I've got my point. Management have saidyes, we agree, we've got an issue, weneed to do something about it.”

My hope is that the greater understandingof lean principles can help us as a profes-sion to become more confident in makingthese judgments, without feeling like weare “cutting corners”.

Illustrasjonsfoto: Scanstock photo

30 SIRK nr 2. 2014

Av Martin Stevens, redaktør SIRK

Det første som slo meg i rapporten var atforretningsstrategi var identifisert som etlike viktig område for planlagte revisjo-ner som regnskap/økonomi. For ikkemange år siden var regnskap/økonomihovedfokusområde, uten tanke på forretningsstrategi. Nå har sanneliginternrevisjon utvidet horisonten sin.

Et annet interessant spørsmål som blestilt, var om det var godt definerteavgrensninger mellom internrevisjon og2.linjeforsvarsfunksjoner som feks com-pliance og risikostyring. Her respondertekun en tredjedel at det var meget klaregrenser mellom disse rollene. Dette viserat selv om den treforsvarslinjemodellenhar nådd allmenn anerkjennelse, er manfortsatt usikre på den praktiske delingenav arbeidet. Dette kan ingen være tjentmed og svaret må blant annet ligge i engod og regelmessig dialog mellom partene.

Til slutt synes jeg det er interessant å senærmere på listen over ønsket ferdigheter

ved ansettelse og videreutvikling avinternrevisjonsfunksjonen. Evnen til åtenke analytisk og kritisk som intern -revisor scorer høyst med 75%, etterfulgtav kommunikasjonsferdigheter og kunn-skap om risikostyring. Langt nede på listen med en score på 28% kommer

regnskapskompetanse. Det er ikke tvil omat rapporten illustrerer at internrevisjons-profesjonen har definitivt har /utvikletseg. Stemmer kompetanseønskelistenmed den utarbeidet i din internrevisjons-avdeling?

Internrevis jon

Profesjonens pulsHvert år utgir IIA en rapport om utviklingstrender i internrevisjon kalt "The Pulse of the Profession". En slik rapport er også laget i 2014 basert på en global undersøkelse som ble besvart av 1935 intern -revisorer fra hele verden, og konklusjonene er sammenstilt med relaterte undersøkelser utført av KPMG,PwC og Protiviti samme år. Rapporten kan lastes ned på IIA global sin webside https://global.theiia.org/knowledge/services/Pages/Global-Pulse-of-the-Profession-Study.aspx

@IIA_Norge

Norges Interne Revisorers Forening

NIRF

nirf_iianorge

Source: The IIA's AuditExecutive Center Global Pulseof the Profession survey, 2014.This chart reflects data fromthe global CAE respondents ofthe survey. Respondentsselected up to five responses.

Internrevis jon

SIRK nr 2. 2014 31

Bokanmeldelse av Esa Leporanta

Boken til Richard F. Chambers blir innledet med et kapittel somgir en helhetlig oversikt over den lange og hendelsesrike karrie-ren hans som CEO, CAE og internrevisor.

I de neste 15 kapitlene deler han åpenhjertig sine erfaringer medlesere, hvilket gjør denne boken til et relevant informasjonskildebåde for erfarne og mindre erfarne revisorer.

I et av bokens første kapitler beskriver Chambers hvilke egen-skaper han anser som viktige for å lykkes i rollen som revisor.Deretter belyser han hvorfor det er så kritisk å kjenne til hvavåre viktigste interessenter forventer av oss som revisorer.

Lengre frem i boken blir verdien og betydningen av revisjons-planleggingen fremhevet. Chambers påstår at dårlig planlegginger den første og største feilen vi kan gjøre som revisorer. Selvom viktigheten av planleggingen normalt ikke vektes like høyt i

andre lærebøker, vil en erfaren revisor kunne si seg enig medforfatteren.

Chambers forteller oss videre hvordan vi som revisorer kangjennomføre effektive intervjuer og hvilke grep det kan foretasfor å øke effektiviteten i revisjoner. Det blir gitt råd om hva manikke bør skrive i revisjonsrapporter og hvordan vi kan møte klienter som er generelt skeptiske til internrevisjon. Rådeneomfatter også hva vi kan gjøre for å få revisjonsoppdraget pårett kjøl, dersom vi holder på å spolere hele oppdraget.

Det som skiller denne boken fra de fleste andre er enkelte avChambers egne refleksjoner. I utvalgte tilfeller er han enig medoss lesere at det ikke er lett å innfri hans forventninger. Samtidigguider han oss videre for å vise at det er mulig følge anbefaling-ene og at vi uansett ikke må stoppe å utvikle oss videre.

Gjennom hele boken viser Chambers sine 35 viktigste erfaringeri separate tavler, hvilket gjør det lettvint å repetere bokens inn-hold.

Når vi sjonglerer mellom ulike revisjonsoppgaver, vil vi ikke tilenhver tid huske hele den kompleksiteten og alle de detaljene,som Chambers har samlet i boken sin, men boken tjener da somet utmerket oppslagsverk.

Ved å dele sine erfaringer med oss, står Chambers også fremsom et lysende eksempel på en menneske som forsøker å leveetter det fremragende mottoet vi har innen vårt fagfelt:«Progress through Sharing».

Alt i alt, vil jeg gjerne anbefale denne boken til alle som vil læreseg mer om hva som kjennetegner en profesjonell intern -revisjon. Her finnes det noe nytt for hver og en av oss!

God leselyst!

Lessons learned

Følg med på vår hjemmeside: www.iia.no

IIAs Research Foundation

Richard F. Chambers

- Lessons Learned onthe AUDIT TRAIL

32 SIRK nr 2. 2014

Internrevis jon

Frank Alvern om sertifiseringForsvarsdepartementet har etablert en kompetansepool på ti personer. Med disse ti ansatte leveres internrevisjonstjenester til tre av Forsvarsdepartementets etater – Forsvarsbygg, Forsvarets forskningsinstitutt og Nasjonal sikkerhetsmyndighet – i tillegg til at departementet revideres, Forsvaret (koordinert med Forsvarssjefens internrevisjon), samt mer og mer sektor -prosesser og aktiviteter/prosjekter som er felles over hele sektoren. Endelig forvaltes varslings -kanalen i departementet samt at det er gitt et sektoransvar i den sammenhengen.

Frank Alvern internrevisjonssjef iForsvarsdepartementets internrevisjonhar fokus på kompetansebygging, herunder sertifisering, av sin stab og erstolt over teamet sitt. Frank svarer følgende på spørsmål om sertifisering:

Hvor mange ansatte har du, og hvilke

sertifiseringen innenfor internrevi-

sjonsfaget innehar teamet?

Etter en bevisst satsing er status akkurat nå at vi i teamet har fire CIA,seks CGAP, tre CRMA, toCISA, en CCSA samt fire somer Dipl. I.R. De fleste har merenn en sertifisering, en kjappberegning gir akkurat to igjennomsnitt!

Er det krav, sterk oppfordring

til eller frivillig for den ansat-

te å bli sertifisert?

Jeg tror medarbeiderne vil lande på«sterk oppfordring» her. Vi ser klartetter sertifisering når vi rekrutterer, ogprioriterer sertifisering både med tid ogpenger i hvert budsjett.

Hva betyr det for deg som intern -

revisjonssjef å ha sertifiserte ansatte?

I forsvarssektoren er det å synliggjørekompetanse virkelig satt i systemgjennom graden uniformen viser.

I Internrevisjonen er vi kun siviltansatte, og internasjonale faglige sertifiseringer er en måte for sivilisteneå vise at man har gjennomført et kompetanseløp som har resultert i sertifisering/diplomering. Vi har lageten liten «brosjyre» hvor vi presentereross i internrevisjonen, og i denne harvi inkludert en beskrivelse av de enkelte sertifiseringene og diplome-ringen. En annen viktig faktor formeg er at sertifiseringene bidrar til å

sikre at vi står på den samme faglige grunnmuren for å si det slik. Man måskjønne standardene for å oppnå sertifisering/diplomering! Til slutt viljeg legge til at standardene jo er ganske klare i sin anbefaling på detteområdet også – og instruksen vår er åfølge IIA her.

Hva tror du det betyr for den enkelte

medarbeider å være sertifisert?

Jeg opplever at det er lett «å selge» eninnsats mot å oppnå en sertifisering.Når det kommer til stykket så er ensertifisering noe som den enkelte medarbeider eier, og tar med segvidere uansett om det er hos oss ellerandre steder etter hvert. Jeg vinkler detsom et konkurransefortrinn for denenkelte.

Hva tror du sertifiseringsmuligheten

har å si for motivasjonen til den

enkelte medarbeider?

I forlengelsen av det forrigespørsmålet – vårt sertifise-ringsprogram viser for denenkelte at vi er villige til åprioritere investering i fagligvedlikehold og kompetanse-bygging i en travel hverdag.

Utover sertifisering og

annen formell utdannelse, hva er de

tre viktigste egenskapene du ser etter i

en internrevisor?

Analytisk, logisk tenkende er definitivtder – det er her vi skal bygge uavheng-ige bekreftelser. Så er kommunika-sjonsevner særdeles viktige, så den ermed i min topp tre. Endelig vil jeg tamed lagspilleren som noe jeg ser etter.Særdeles viktig når vi har bygget enslik ressurspool som vi har i vår sektor.

Sertifiseringene bidrar til å

sikre at vi står på den samme

faglige grunnmuren.

Av Hilde Tanggaard, rådgiver NIRF

SIRK nr 2. 2014 33

Få en inngående forståelse for samspillet mellom virksomheters etablerte strategier og mål, og hvordan du kostnadse�ektivt sikrer at målene oppnås gjennom god virksomhetsstyring. Programmet tar utgangspunkt i aktuelle aspekter av virksomhetsstyring som kan bidra til at toppledelsen og styret får relevant informasjon om organisasjonens situasjon. Programmet gir kunnskap og innsikt i hvordan bruk av intern revisjon, aktiv risikostyring og god intern kontroll gir en nøkkel til god måloppnåelse. Du lærer også hvordan den interne revisor i samspill med andre kan utøve sin funksjon.

Programmet er utviklet og blir gjennomført i samarbeid med Norges Interne Revisorers Forening (NIRF).

INTERN REVISJON – Governance – Risikostyring – Intern styring og kontroll

Oppstart høsten 2015bi.no/emm

EXECUTIVE MASTER OF MANAGEMENT

34 SIRK nr 2. 2014

Internrevis jon

By Hilde Tanggaard, advisor, NIRF

Greg Hollyman, theChief Internal Auditorat the AustralianTaxation Office, held apresentation at the global Conference inLondon earlier this

year, called: So you think you are good –how do you get better? Greg found himself in the difficult position of takingover as CAE on the retirement of hisprede cessor who earlier had undergonean external quality assessmentwhich concluded that thedepartment was world-class.In his presentation in LondonGreg shared his experience ofthe challenges he had in developing and improving thefunction further. For those ofyou who missed that presenta -tion, Greg visited Oslo on 3rdJuly for a seminar on Qualitytogether with a group of otherHeads of Internal Audit fromAustralia and New Zealand all of whomhad been invited by IIA Norway to pre-sent and contribute to the seminar. Forthose of you who missed that too – get agrip! Note for the future - pay closerattention to all the inspiring seminarsand courses IIA prepares for your participation.

As it is we also took the opportunityafter the seminar to ask Greg a few questions about external quality assess-ment (QA), which we would like toshare here with you SIRK reader.Specifically we sought his opinion onthe QA requirement in the IIAInternational Professional PracticesFramework and whether he sees it as anatural part of a modern internal audit

function and as an opportunity foradvancing its work.

• What value can be derived from

being subject to a QA?

In my opinion there are two keyadvantages from a QAR, the first isto obtain the assurance that yourteam is in fact in conformance withthe standards, the second one, whichI obtain the most benefit from, is theopportunity to receive some ideasfrom my peers as to what better

practices or ideas I can implementinto my function to take it up anothernotch.

• The requirement in Standard 1312

is to undergo a QA every five years,

what do you think is the best

prac tice time interval?

I think that five years feels aboutright, though I would suggest thatfunctions do not leave it until the lastsecond but plan for it to be conven -ient to your timing. What I mean isthat we all have our peaks andtroughs so book it to be in one ofyour troughs as it will take time fromyour side and the last thing you wantis to be working towards other dead-

lines then having a QAR at thesame time. I would also suggestrequesting one when you take overa func tion if one was not done immediately prior to you taking over(as it was in my case) as it gives agood feel of where the function actually is and where further enhancements can be made.

• Some internal auditors might feel

uncomfortable having a QA, why do

you think that is? And what is your

advice to them?

It is natural to feel uncomfor-table about a team coming infrom the outside, looking atyour work then telling you howto do it better, but consider this,is this not we do when we doaudits? A QAR is in fact anaudit of what we do so it provi-des us with the opportunity tosee what it is like for the areaswe audit. My advice is toembrace this experience as

there is nothing better than to experi-ence what our clients go through soas to increase our empathy to whatwe put them through.

• Sometimes it may be difficult to

communicate to the stakeholder the

value/importance of getting a QA

performed? If so, how would you

handle this situation?

The most important thing in my opinion is selling the reason as towhy we, as an organisation, benefitfrom a QAR rather than just sayingthat we are having one because thestandards say we must. As mentio-ned earlier there are the two aspectsthat can be “sold”, the first is to provide assurance to the key stake-

So you think you are good– How do you get better?Interview with Greg Hollyman, Chief Internal Auditor for Australian Taxation Office

The most important thing in my

opinion is selling the reason as to

why we, as an organisation, benefit

from a QAR rather than just saying

that we are having one because

the standards say we must.

Internrevis jon

SIRK nr 2. 2014 35

holders that the function is abidingas per the international professionalstandards, the other is the aspect thatwe are getting better practice adviceas well to improve the function evenmore.

• A complete Program for Quality

Assurance and Improvement also

includes ongoing and periodic

internal assessments. Can you

describe what internal assessment

activities you perform in your

internal audit function, and in what

ways they are interconnected to or

support the results of the QA (i.e. in

regard to the outcome of the QA.)

We periodically examine the variousstandards to see if we are abiding tothem through a self-assessmentapproach. We have also recentlycommenced a comprehensivequality review process of a sampleof our files where we check that theyare completed in line with ourmethod ology and documentationsstandards. We have already deve -loped our methodology in closealignment to the standards so thisalso provides us assurance that weare in alignment with the standards.This gives me a continual assurancethat our function is working in general conformance to the standardsand will feed in as evidence to theQA team to support their review.

• In choosing between the two: a

Self-assessment with an

Independent Validation or a full

External Assessment, which would

you choose, when and why?

There is no right or wrong answerhere as it is really up to what worksbest for a function and organisation.Both approaches have their differingadvantages. In our organization weprefer to have a full external assess-ment as I prefer to have that fulldetailed look at our function, but thatis a personal preference, which isshared by my Audit and RiskCommittee.

• What do the stakeholders, the board

and management, often perceive as

the greatest value from QA of their

internal audit function?

Similar to what I mentioned earlierour Audit and Risk Committee likesto receive external assurance that theInternal Audit function is indeed ingeneral conformance to the IPPF,though they do not have reservationsthat we are. In addition they alsoappreciate the aspect of obtainingadvice as to how the IA function canfurther improve itself as we shouldnever believe that we are truly asgreat as what we often say we are.

• Any advice for those who are about

to have a QA or who are conside-

ring to put it in on their plan for

next year?

Firstly it is going to take some timefrom your side as well so be pre -pared for that as you collate all the

information required for the QAteam. Secondly book it in for a quitter period for yourself so thatyou can focus on it. Finally andmost importantly, treat the QA teamin the way that you would wish to betreated as an auditor, it is a bit of arole reversal – we know what werequire from our clients, now we arethe clients.

Greg Hollyman, CIA, CCSA, CFSA,

CGAP, CRMA, Chief Internal

Auditor, Australian Taxation

Office.

Greg has over 20 years of experience and numerous qualifications in the internal auditand risk management fields. He hasbeen recog nized nationally andinternationally, including through hisassociation with the global Instituteof Internal Auditors. He currentlyholds the position of Chairman ofthe Institute Relations Committeeof the Global IIA and is a pastChairman of the Victoria Chapter ofthat Institute. He was previously theChairman of the Global PublicSector Committee, President ofthe Institute in South Africa andhas also been the Vice Chairmanof the Global Ethics Committee.In addition Greg has spoken oninternal audit, governance and risk management topics at national andinternational conferences.

Vi ønsker våre lesereen riktig God Jul oget Godt Nyttår!

36 SIRK nr 2. 2014

Internrevis jon – Finans

Are Jansrud fra KPMG fortalte om deviktigste endringer som følger av inn -tredenen av Finansforetaksloven. Utkastettil lov er oversendt Stortinget med forventetbehandling i Finanskomiteen i november.Loven vil erstatte Sparebank loven,Forretningsbankloven, Finansi erings -virksomhetsloven samt at store deler avForsikrings virksomhets loven oppheves.Lovutkastet inneholder flere bestemmelserrelatert til finansforetakenes risikostyringog internkontroll, blant annet at alle finans-foretak skal ha uavhengige funksjoner forrisikostyring, compliance og internrevisjon.Loven stiller nye kapitaldekningskrav tilforsikring og innebærer i praksis en inn -føring av Solvency II i Norge. Videre gisdet nye regler mht. utkontraktering samtom utveksling av kundeinformasjonmellom konsernforetak. For øvrig vil kravet til Kontrollkomitèer avvikles.Dessuten forventes det at bankenes kon-tanthåndtering skal avstemmes med kun-denes forventninger og behov. Are Jansrudrefererte avslutningsvis til at det er varsletat det vil komme en ny forskrift om virk-somhetsstyring, til erstatning for dagensforskrift om risikostyring og internkontroll.Den vil ha vesentlig påvirkning for denfunksjon som forsamlingen representerer.

Neste foredragsholder var JoachimBernhardsen fra Nordea. Han skisserte etbilde av den fremtidige makrosituasjonen,som slett ikke er fri for utfordringer. Hanspresentasjon tok forsamlingen over iFinanstilsynets foredrag som denne gangble presentert av Ingvild Eide Sanden.Hun bidro med status i inn føringen av CRDIV og andre nyheter. EU har vedtatt CRDIV som setter regler for rapportering avkapitaldekning, kvantitative likviditetskrav,uvektet kapitalkrav mv. Når forordningener på plass vil CRD prinsippene legges tilgrunn i utformingen av de norske forskrif-tene som vil erstatte en rekke av dagensgjeldende regulering. Sanden kom deretternærmere inn på bestemmelsen som er gitt iFinansieringsvirksomhetsloven § 2-9b omat «Institusjonen skal ha et risiko utvalgoppnevnt av styret». Uav heng ig hets -problematikk kan oppstå hvis samme person leder revisjons- og risikoutvalget.

Sanden bekreftet til slutt Finanstilsynetsarbeid med en ny forskrift til erstatning forForskrift om risikostyring og internkontroll.Nettverket ga uttrykk for at det ser frem tilå bli involvert i arbeidet med den nye for-skriften.

Åsfrid Betten fra DNB presenterte hvit-vaskingsregelverket og forslag til hvordaninternrevisor kan innrette sin tilnærming.Lovens formål er å forebygge og avdekketransaksjoner med tilknytning til hvitvas-king og terrorfinansiering. Den skal hindreat finansinstitusjoner brukes som kanal forhvitvasking og terrorfinansiering øke opp-dagelsesrisikoen og være kriminalitetsfore-byggende. Utgangs punktet for etterlevelseav Hvitvaskings loven og Anti MoneyLaundering (AML) arbeidet er en risiko -basert tilnærming. Finanstilsynet har i sittrundskriv nr. 8/2009 presisert at det ermeget viktig at den rapporteringspliktigeoverfor tilsynet klart kan påvise at den operasjonelle risikoen som hvitvasking ogterrorfinansiering innebærer er konkret vurdert og tilstrekkelig tatt hensyn til vedomfanget og intensiteten av kundekontroll-tiltakene. Fra internrevisjonens ståsted erdet derfor vesentlig å påse at de AML- rutiner som er etablert er risikobaserte.Betten fremhevet at det er viktig at terske-len er mest mulig lik gjennom hele finans-bransjen, ellers vil de kriminelle søke segdit hvor det er enklest å etablere et kunde-forhold. Alvorligheten understrekes av desaker som har vært gjennom rettsapparatetinternasjonalt hvor bøtene har kommet oppi et flertalls MRD USD.

Trygve Sørlie var invitert til å fortelle omnytt fra IIA internasjonalt. Deltakerne fikkgod anledning til å relatere det øvrige dehadde fått presentert gjennom dagen til«IIA’s vision, mission and motto». Det erarbeidet frem et forslag til endringer iInternational Professional PracticesFramework som er på høring frem til 3.november. Helt nytt denne gang er at detfremsettes et forslag til «Mission ofInternal Auditing» som er formulert somfølger: «To enhance and protect organizati-onal value by providing stakeholders withrisk-based, objective and reliable assurance,

advice and insight». Nytt i forslaget er også«12 Core Principles for the ProfessionalPractice of Internal Auditing». Det arbeidesmed å lage en modell for å presentere deforeslåtte endringer som sammen med opp-daterte versjoner av definisjonen, standar-dene og de etiske retningslinjer skal utgjøredet nye rammeverket. Sørlie delte til sluttsine erfaringer fra bruken av en modenhets-modell i en virksomhet og som verktøy forinternrevisjonen. Modellen baserer seg påCoCo regelverket. Den dokumenterer virk-somhetsledelsens innstilling til hvilkenmodenhet som forventes nå og i fremtidenpå prosesser for internkontroll, risiko -styring og virksomhetsstyring. Bruken avslike modeller spås å ville tilta fremover. Seminaret ble avsluttet med middag i historiske omgivelser ved Akershus festning. Symboleffekten i valg av spise-sted var fra arbeidsutvalget side ikke helttilsiktet, men like fullt en fulltreffer tatt ibetraktning at nettverket representerer enforsvarslinje med lange tradisjoner og etstort behov for å fortelle anekdoter fra oppdrag i felten.

Aktuelt fra ledernettverk for FinansLedernettverket for Finans gjennomførte sitt høstseminar på Bjørvika Konferansesenter den 15. oktober med et tyvetalls deltakere. Arbeidsutvalgets leder Vidar Hansen fra Sparebanken Sør ønsket velkommen og presenterte programmets hovedbolker. Programmet inneholdt en rekke aktuelle tema for alle som interesserer seg for intern -revisjon innen finansforetak.

Av Reidar Døli, medlem av arbeidsutvalget

Ledernettverk for finans har linjertilbake til 1967 og stiftelsen avRevisjonssjefkretsen. Nettverket bleinnlemmet i NIRF i 2012. Det har idag medlemmer fra alle typer finans-foretak som har ansatt leder avinternrevisjonen. Felles for medlem-mene er at de fleste er ansatt i virk-somheter som er underlagt Finans -tilsynets forskrift om Risikostyringog internkontroll. I følge mandatet ernett verket en møteplass for med-lemmene for bearbeiding av fagligetema og for diskusjoner av mer stra-tegisk art. Nettverket fungerer ogsåsom et bindeledd mellom bransjenog Finanstilsynet i for bindelse medarbeid med nytt regelverk.Aktiviteten i nettverket har igjen tattseg opp da det skjer endringer påflere fronter som berører regule-ringen og innholdet i funksjonen.

Internrevis jon – Finans

SIRK nr 2. 2014 37

Av: Ellen Brataas, generalsekretær

Det har vært en aktiv høst der høringer ibåde privat og offentlig sektor har stått påagendaen. Her kommer en oppsummeringav de viktigste sakene NIRF har engasjertseg i.

Finansdepartementets rapport «Bruk avinternrevisjon i statlig sektor»Finansdepartementet har avgitt en rapport derformålet og mandatet med utredningen harvært å etablere mer forutsigbare rammer forbruk av internrevisjonen i staten. De viktigstegrepene de foreslår er å videreutvikle økono-miregelverket og tilrettelegge faglige standar-der og annen støtte for internrevisjonen.Arbeidsgruppen bak rapporten har gjort grundig research av intern revisjonsordningeri norske statlige virksom heter, og sett tilandre europeiske land for å kartlegge hvor-dan de har løst det der. Rapporten fremmerforslag om organisering, kompetanse ogrekruttering, bruk av anerkjente standarder,rapportering og dialog, eventuelt krav til vurdering av bruk av internrevisjon og eventuelt krav om bruk av internrevisjon.

NIRF synes det er bra at internrevisjon i statlig sektor er satt på agendaen og støtterflere av de forslagene Finansdeparte mentetforeslår i rapporten. Men det er også noenpunkter vi skulle ønske var formulert anner-ledes: NIRF konsta terer at arbeidsgruppenanbefaler at det ikke innføres krav om at stat-lige virksomheter skal bruke internrevisjon. Istedet foreslår de at spørsmålet vurderes igjenom noen år, på grunnlag av erfaringer med eteventuelt pålegg om å vurdere bruk av intern-revisjon. Rapporten anbefaler at det skal væreopp til virksomheten (i praksis dermed virk-somhetsleder) å vurdere behovet for etable-ring av internrevisjon, og føyer til at det ernaturlig at denne vurderingen blir tema i sty-ringsdialogen med overordnet departement.

Den 20. juni 2014 la Finansdeparte mentet utforslag til ny Finansforetakslov (Prop. 125),der det legges opp til etablering av intern -revisjon i alle finansforetak, uavhengig avstørrelse. NIRF mener god forvaltning av fellesskapets midler er like viktig som inter-essene til investorer og aksjonærer, og an -befaler at det innføres objektive kriterier forhvilke statlige virksomheter som skal etablereinternrevisjon, på lik linje med lovkravene ifinanssektoren, helsesektoren og arbeids- ogvelferdsforvaltningen.

De fleste medlemsstatene i EU har krav ominternrevisjon i statlig sektor. Objektive kriterier for hvilke statlige virksomheter somskal ha internrevisjon hindrer at dette viktigespørs målet avgjøres av de personlige prefe-ransene til den enkelte virksomhetsleder. Ihenhold til Riksrevisjonens Practice Note tilISSAI 1610 (INTOSAI), tillegges det vekt atintern revisjonsordningen er etablert ved lov

når Riksrevisjonen vurderer å bygge påintern revisjonens arbeid. Norge har en stor ogmangfoldig statlig sektor som ivaretar fellesskapets midler.

Departementene er etter NIRFs vurdering detviktigste leddet i et godt styrings- og kon-trollmiljø for forvaltning av fellesskapetsmidler. OECD har på sin side anbefalt Norgeå forankre internrevisjonsordningen i departe-mentene. Arbeidsgruppen foreslår imidlertidat departementene ikke inkluderes i et påleggom å vurdere bruk av internrevisjon i egenvirksomhet. NIRF er uenig i dette. Vi er ogsåuenige i premisset om at internrevisjon ikkepasser inn i den norske styrings- og forvalt-ningsmodellen, herunder ansvarsdelingenmellom departement og underliggende virk-somhet. Vi slutter oss til OECDs anbefalingtil Norge. Det ville styrke departementene åha en internrevisjon som gir uavhengige ut -talelser og proaktive bidrag til god styring ogkontroll innenfor departementets ansvars -områder.

Norsk anbefaling for eierstyring og selskapsledelse (NUES) – en oppdateringDen norske anbefaling for eierstyring og sel-skapsledelse ble 30. oktober 2014 lansert i enoppdatert utgave. Lanseringen ble gjort påNUES-forum, der over 100 deltakere haddesamlet seg for å markere 10-årsdagen for lan-seringen av den første utgaven av anbefaling-en. Endringene er, i følge NUES, mindreomfattende og neppe særlig kontroversielle.

NIRF hadde ingen særskilte kommentarer tilde foreslåtte endringene. Derimot har vibenyttet anledningen til å komme med noenytterligere innspill, samt åpne opp for disku-sjon av en mer prinsipiell karakter.

Sammenlignet med anbefalinger til godgovernance i andre land, både i og utenforEU, er NIRF av den oppfatning at innholdet iden norske anbefalingen er relativt snevert.Den norske anbefalingen dekker hovedsake-lig kravene til foretaksstyring sett fra eier ogledelsens perspektiv. Det vil være god praksiså inkludere også øvrige interessenter, someksempelvis ansatte, brukere, leverandører,kunder og samarbeidspartnere, sine krav tilgod governance i en nasjonal anbefaling.Likeledes vil prinsippet om å ta ut de emnersom blir lovfestet fra den norske anbefaling-en, medføre at anbefalingen på sikt vil bliganske kort. Vi mener det vil være en fordelfor styrer, revisjonsutvalg, revisorer, regn-skapsbrukere, investorer og andre interessen-ter at en norsk anbefaling er helhetlig medhensyn til hva som forventes og kreves i forhold til anbefalinger, krav og prinsipperknyttet til governance.

Eksempelvis er internrevisjon i liten gradlov regulert i Norge, men en rekke bransjer erunderlagt krav om internrevisjon gjennomFinans tilsynets forskrift om risikostyring og

intern kontroll. I veiledningen til forskriftenfremheves internrevisjonens betydning i styrets overvåking av risikostyring og intern-kontroll.

Rapporten «Corporate Governance Codes onInternal audit: current status in the EU(2012)» gir et overblikk over bruk av statligintern revisjon i EU. Rapporten viser at gover-nance-kodene i flertallet av EU-landene enteninne holder et krav om etablering av internre-visjon, eller et krav om at virksom hetensstyre skal begrunne hvorfor en slik internre-visjonsfunksjon ikke er hensikts messig. Isiste fall kreves henvisning til at internkon-troll og risikostyring blir ivaretatt på andremåter. NIRF mener at det ville styrket ogsåden norske anbefalingen for eierstyring ogselskapsledelse dersom det fremgikk avpunkt 10 at «Dersom virksom heten ikke harintern revisjon bør styret årlig evaluere om etslikt behov er til stede». NIRF ønsker å utfor-dre til debatt rundt behov for at det utviklesen hel hetlig norsk anbefaling om god governance som kan brukes av alle interes-senter, og sam tidig drøfte konklusjonene irapporten fra OECD. Fortsettelse følger…

Finanstilsynets høringsnotat om«Meldeplikt ved utkontraktering»Finanstilsynet ba om kommentarer tilhøringsnotatet «Meldeplikt ved utkontrakte-ring av virksomhet fra foretak under tilsyn»,hvor NIRF kun kommenterte på forslagenesom gjaldt internrevisjonstjenester.

NIRF er enige i Finanstilsynets vurdering omat internrevisjon er en funksjon som ansessom viktig og derfor skal omfattes av melde-plikten. Vi støtter også tilsynets forslag om atmeldingen om utkontraktering må inneholdeopplysninger om avtalepart og avtalens art,omfang og varighet. Ved ut kontraktering avinternrevisjonsfunksjonen bør meldingenogså omtale hvorvidt utkontrakteringspartne-ren legger de internasjonale standarder forprofesjonell utøvelse av intern revisjon tilgrunn for sitt arbeide. NIRF mener det er fornuftig, slik tilsynet legger til grunn, at deti meldingen opplyses om hvordan foretaketvil følge opp sitt ansvar for den utkontrakter-te virksomheten.

Håndbok i antikorrupsjon for næringslivetNIRF fikk i oppgave å formulere et utkast tiloppdatering av kapittel 9.3 Intern kontroll ogrevisjon i Transparency International Norgeshåndbok i antikorrupsjon. Deretter har vi kommentert på hele den oppdaterte versjonenav håndboken, som skal lanseres på den årli-ge antikorrupsjonskonferansen i desember.

Det er vanskelig å få med seg alt i en hektiskog veldig variert hverdag, derfor blir vi i sekretariatet alltid glad for tips tilpost@iia.no dersom medlemmer ser at detkommer utkast til lovendringer, reguleringerog annet der foreningen bør reise sin stemme.

En høst med regulatoriske endringer på agendaen

38 SIRK nr 2. 2014

Internrevis jon – Offentl ig

Kjennetegn ved virksomhetsstyringVirksomhetsstyring betegner virksom -hetens interne styring, som blant annetomfatter krav til myndighets- og ansvars-strukturer, styringsprosesser og intern kontroll. For å skape større sikkerhet for atvesentlige mål nås, er det i reglementet ogbestemmelsene for økonomistyring for staten innført prinsipper om at risiko -styring og intern kontroll skal inte greres imål- og resultatstyringen. Mål- og resultat-styringen er hovedprinsippet i den statligevirksomhetsstyringen.

Virksomhetsstyringen skal kjennetegnesved gode styringsprosesser tilpasset virk -somhetens risiko og egenart. Risiko -styringen skal gi større sikkerhet for atvesentlige mål nås gjennom å identifisererisiko og iverksette tiltak for å reduseredenne.

Alle virksomheter skal etablere intern

kontroll tilpasset risiko og vesentlighet.Intern kontroll omfatter de prosesser, systemer og rutiner som er etablert for ågi rimelig sikkerhet for god måloppnåelse,god kvalitet, effektiv drift, pålitelig rappor-tering og økonomiforvaltning og over -holdelse av lover og regler.

Toppleder og andre ledere har et særligansvar for å fremme en internkultur somvektlegger kvalitet i alt arbeid som utføresi virksomheten. Dette gjøres gjennom strategiarbeid, kommunikasjon, arbeids- ogansvarsrutiner og beskrivelser, evalueringerog gode rutiner for tilbakemelding oglæring.

Disse prinsippene og aktivitetene utgjørvirksomhetsstyringen og skal inngå i virksomhetens styringshjul.

Få revisjoner hvor virksomhets styringener saksforholdetRiksrevisjonen har gjennomført få revi -sjoner hvor hovedtyngden i saksforholdetsom revideres er virksomhetsstyring. Det

kan være mange forklaringer på hvorfordet er slik. Alt fra manglende kompetansehos revisor på helheten i virksomhets -styringen, og derfor problemer med å iden-tifisere risiko som gjelder hele virksom-hetsstyringen, til manglende tradisjon for årevidere virksomhetsstyringen som et egetsaksforhold. En tredje forklaring kan værerevisjonens metoder for risikovurderinger.Oppmerksomheten har vært rettet motsektormålene og de mer tradisjonelle virke-midlene som tilskudd, lover, handlings -planer og investeringer, og virksomhets -styringens betydning for gode resultater ogmåloppnåelse har ikke blitt tilstrekkeligvektlagt av revisor.

Denne praksisen kan også henge sammenmed at Riksrevisjonen rapporterer tilStortinget som er opptatt av de strategisketemaene som rettssikkerhet og god sam-funnsmessig måloppnåelse på ulike om -råder, mens det ligger mer i forvaltningensrolle "å holde orden i eget hus". Det erimidlertid en sammenheng mellom profe-sjonaliteten i virksomhetsstyringen og virksomhetens bidrag til de samfunnsmes-sige målene, herunder effektiv ressursbruk,som revisor må være oppmerksom på.Virksomhetsstyring er også et kjerneom -råde for internrevisjoner, og det gjøres nåvurderinger i forvaltningen av hvorvidtdenne funksjonen skal brukes mer syste-matisk.

Elementer av virksomhetsstyring inngår imange revisjoner under lignende problem-stillinger som: Hva kan forklare svakheter iresultatoppnåelsen? Dette var tilfelle i ennylig gjennomført undersøkelse av NAVsarbeidsrettede oppfølging av personer mednedsatt arbeidsevne. Her var problem -stillingen: Hva kan forklare svakheter ibrukerrettet oppfølging og manglendeovergang til arbeid? Riksrevisjonen konkluderte med at det var svak styring avkvaliteten i oppfølgingsarbeidet ved NAV-kontorene. For eksempel hadde ingen avde undersøkte kontorene gjennomført

kvalitetskontroller av de aktivitetsplanersom er en del av oppfølgingsarbeidet.Denne revisjonen kan bidra til at NAV forsøker å forbedre elementer i virksom-hetsstyringen, men den gir ikke innspilltil en mer helhetlig vurdering av virk -somhets styringen i NAV. Ulike mangler ivirksomhetsstyringen blir ofte brukt somen forklaring på svake resultater uten atrevisor er 100 prosent sikker på årsaks -sammenhengen.

Risikovurdering av virksomhetsstyringFor revisor er et aktuelt spørsmål: Hvilkeforhold er kjennetegn på svak virksomhets-styring og utgjør dermed risiko for at denikke sikrer at virksomheten gjennomføreroppgavene effektivt og når sine mål? Utenå påstå å være uttømmende, mener jeg følgende forhold kan gi indikasjoner påsvak virksomhetsstyring: Mange og skiftende mål, svak måloppnåelse over tid,liten konsistens mellom mål og rapporte-ring, liten opplevd nytte av styringsinfor-masjonen internt i virksomheten, mang-lende risikostyring og svak internkontroll.Hver for seg blir ikke disse svakhetenevurdert til å representere tilstrekkelig risikotil å starte en helhetlig revisjon av virk-somhetsstyringen, men hvis revisor harindikasjoner på svakheter ved virksomhets-styringen, må flere elementer ved virksom-hetsstyringen kartlegges. Det vil gi revisoret bredere grunnlag til å vurdere risiko vedvirksomhetsstyringen og behovet for ognytten av å gjennomføre en revisjon hvorvirksomhetsstyringen utgjør saksforholdet.

Vesentlighet er også en utfordring ved risikovurdering av en virksomhet.Vesentligheten skal blant annet vurderes utfra hvilken betydning virksomheten har, ogom forbedringer i virksomhetsstyringen vilpåvirke virksomhetens resultater positivt.

Som tidligere nevnt har Riksrevisjonengjennomført få revisjoner hvor virksom-hetsstyringen har vært hovedproblem -stillingen i saksforholdet. Vi gjennomførte

Revisjon av virksomhetsstyring

Av Therese Johnsen, ekspedisjonssjef i Riksrevisjonen

Internrevis jon – Offentl ig

SIRK nr 2. 2014 39

en slik revisjon av Helsedirektoratet i 2013.I denne revisjonen var målet å vurdere hel-heten i virksomhetsstyringen. Helse direkto -ratet har stor vesentlighet, da det er en stororganisasjon som legger premisser for tjenesteutforming innenfor helsesektoren.

Den finansielle revisjonen hadde gjennomflere år tatt opp mangler ved regnskaps -føringen, budsjetteringen, tilskuddsforvalt-ningen og saksbehandlingstidene. Det vargodt dokumentert risiko som utløste dennerevisjonen hvor virksomhetsstyringen varsaksforholdet sammen med departementetsetatsstyring av direktoratet.

Et annet eksempel er revisjonen av Bufetatsom Riksrevisjonen gjennomførte i 2008.Også den etaten har stor vesentlighet, sær-lig fordi den har viktige oppgaver knyttettil barn og unge i vanskelige livssituasjo-ner. Tidligere regnskapsrevisjoner haddevist at det ikke var etablert gode systemerog rutiner for intern styring, og at det varvesentlige feil og mangler i etatens etter -levelse av sentrale statlige regelverk.Samtidig var måloppnåelsen svak på flereområder. I denne revisjonen var virksom-hetsstyringen saksforholdet sammen meden vurdering av etatens resultater og departementets etatsstyring.

Eksemplene over illustrerer at erfaringerfra tidligere revisjoner kan gi viktige inn-spill til risikovurderingene. Revisor fårogså ofte innspill til risikovurderinger avvirksomhetsstyring fra virksomhetensinterne styringsdokumenter, virksomhets-statistikk og eksterne evalueringer, i noentilfeller også fra intervju med ansatte ivirksomheten, samarbeidende virksomhetereller brukere/brukergrupper. Det er først ogfremst de interne dokumentene og inter -vjuene som vil synliggjøre om manglenderesultater kan knyttes til svakheter i virk-somhetsstyringen. Det er som regelgjennom intervju at revisor får innblikk iproblemer knyttet til virksomhetskulturen,kontrollmiljøet og internkontrollen, foreksempel mangelfull informasjon omvesentlige oppgaver hos virksomhetensledelse.

Revisjonskriterier for virksomhets -styringFor statlige virksomheter har vi et godtgrunnlag for å utlede revisjonskriterier.Økonomireglementet, Bestemmelser omøkonomistyring i staten, Bevilgnings -reglementet og forvaltningsloven er godekilder. Som grunnleggende styringsprin -sipper gjelder at det skal fastsettes mål- og

resultatkrav. Videre skal virksomheten drives i tråd med gjeldende lover og regler,herunder krav til god forvaltningsskikk,habilitet og etisk atferd.

Statlige virksomheter skal etablere syste-mer og rutiner som har innebygd internkontroll, blant annet for å sikre at ressurs-bruken er effektiv. Videre har virksom -hetens ledelse ansvar for å påse at styring-en og internkontrollen er tilpasset virksom-hetens risiko og egenart.

Virksomhetsstyringen skal være innrettetslik at den gir tilstrekkelig styringsinforma-sjon til å følge opp aktivitetene og resulta-tene. Informasjon fra virksomhetens øko-nomisystem skal sammen med statistikk,analyser, evalueringer og andre relevantesystemer kunne belyse om virksomhetendrives effektivt når det gjelder kostnaderog fastsatte mål- og resultatkrav. Ledelsenhar også et ansvar for å prioritere innenforeget ansvarsområde.

Ifølge Bevilgningsreglementet skal utgifts-bevilgningene disponeres slik at ressurs-bruk og virkemidler er effektive i forholdtil de forutsatte resultatmålene. Og det ervirksomhetsleders ansvar å sikre at nød-vendige rutiner og systemer er på plass, atansvar og myndighet er forstått og at planer og mål følges opp.

Gjennomføring av en revisjon av virksomhetsstyringEn revisjon av virksomhetsstyring krever ilikhet med revisjon av andre saksforholdgod planlegging og en metodisk tilnærmingsom tar høyde for den antatte risikoen. Enrevisjon av virksomhets styring kan blisvært omfattende. Virksomheten kan haproblemer med å oppfylle målkravene, styringsinformasjonen kan mangle ellervære mindre relevant, og det kan væreusikkert om virksomheten har effektiv drift.Revisjon av virksomhetsstyring innebærerbåde en resultatorientert, en systemorientertog en problemorientert tilnærming. Somregel krever revisjonen at man har en meto-disk tilnærming hvor systemet vurderes fraflere nivåer i organisasjonen, både et top-down og et bottom-up perspektiv.

Virksomhetsstyring innebærer at det skalvære etablert et system for å styre både påkort og lang sikt. Det betyr at virksom -heten bør ha mål som er rettet mot effek-tene av tjenesten eller produksjonen, menden må også ha informasjon som fortellerhvordan det går i det daglige arbeidet. Foreksempel: Når virksomheten saksbehand-

lingstidene, og har den effektive arbeids-prosesser? Har den rutiner for å følge oppat arbeidsprosessene er effektive, og er deten systematisk læring i organisasjonen somsikrer kontinuerlige forbedringer? Har virk-somheten systemer som sikrer at ressurseromfordeles dersom uforutsette hendelserskulle oppstå? Revisjonen må vurdere omvirksomheten har en balansert styring hvorsammenhengen mellom de kortsiktige ogde langsiktige målene er ivaretatt.

Revisjonen må også sjekke ut at virksom-heten kan begrunne hvorfor den har valgtdet styringssystemet den har.Styringssystemet skal være tilpasset virk-somhetens egenart og risiko, og så er detopp til revisjonen å vurdere om styrings -systemet er tilstrekkelig ut fra revisjons -kriteriene. Ikke minst er det også viktig atinformasjon fra styringssystemet brukes tilå forbedre arbeidsprosessene og målopp -nåelsen.

Siden en revisjon av virksomhetsstyringfort kan bli meget omfattende, må revisorofte erkjenne at man ikke rekker å se påalt. Det er derfor nødvendig å velge utområder, organisatoriske enheter og/elleraktiviteter som skal studeres nærmere irevisjonen. I tillegg til å gjøre et utvalgblant virksomhetens primæroppgaver, måman også se på om administrative støtte-funksjoner understøtter en effektiv opp -gaveløsning. Det er viktig at revisjonenvelger ut områder som hver for seg ogsamlet er vesentlige for virksomheten. Vedå gjøre dette er det på vesentlige områdermulig å undersøke om styringen er til -passet områdets risiko og egenart og ometatens virksomhetsstyring samlet sett ivaretar de krav som stilles til gode styringsprosesser og god intern kontroll.Med et godt metodisk design kan revisormed rimelig sikkerhet si noe om hvorvidtvirksomheten har effektiv drift, om kvalite-ten i oppgaveløsningen overvåkes og omvirksomheten har rutiner og kultur sombidrar til læring og utvikling.

Mange virksomheter har på plass elemen-ter i virksomhetsstyringen, men elemen-tene henger ikke alltid godt nok sammen.For eksempel ser vi ofte at styringsinfor-masjon ikke blir brukt til læring, eller atvirksomheten har større ambisjoner når detgjelder hva den ønsker å styre på enn hvaden har kapasitet til å gjennomføre. Jeg tror at gode og mer helhetlige revisjo-ner av virksomhetsstyringen vil kunnevære nyttige innspill til forbedringer i denenkelte virksomhet.

40 SIRK nr 2. 2014

Fra NIRF

Av Ellen Brataas, generalsekretær

Veiledning i beste praksis for Compliance-funksjonenNettverk compliance har ferdigstilt utkast til en veiledning tilbeste praksis for organisering av compliance-funksjonen. Planen er at utkastet skal sendes på høring i desember og forhåpentligvis kan veiledningen lanseres primo 2015.Veiledningen er en overordnet beskrivelse ment til bruk for nyecompliance-funksjoner, eller ledere som vurderer å etablere encompliance-funksjon. Veiledningen er bransje-uavhengig. Somvedlegg til veiledningen har nettverk compliance som formål ålage diverse maler som skal være til støtte og fri benyttelse forcompliance-funksjon.

Foreslåtte endringer i rammeverket (IPPF) forprofesjonenSom flere kanskje har lagt merke til, har IIA kommet med for-slag til endringer i strukturen i rammeverket for profesjonen,IPPF. Forslaget har ligget ute på høring denne høsten, og allemedlemmer, institutter og interessenter har fått muligheten til ågi tilbakemelding. Jeg har hørt rykter om at det har kommetinn rundt 3 000 kommentarer som IIA skal gå igjennom på Mid-year meeting i Orlando i desember. Det er ikke selve stan-dardene som skal endres i denne omgang, men det forslås å lageen «mission» som skal forklare internrevisjon på en enkel måte,utarbeide prinsipper som de prinsippbaserte standardene skaltuftes på samt gjøre om i hierarkiet til practice advisories, position papers og practice guides.

COSO har satt i gang et prosjekt for å oppdatere COSO ERMCOSO-rapporten “Intern kontroll et integrert rammeverk”(COSO 1) ble oppdatert i 2013. Nå er turen kommet til COSOERM “Helhetlig risikostyring – et integrert rammeverk” (COSO2), som første gang ble utgitt i 2004. Verden er i konstantendring, og rammeverkene må oppdateres for å være relevante.Akkurat nå kan du gi innspill til nåværende rammeverk og forslag til forbedringer via en undersøkelse på COSOs hjemme-sider, www.coso.org. Dette vil danne grunnlaget for første utkasttil oppdatert rammeverk.

Konferansedatoer verdt å merke seg NIRFs årskonferanse, 31. mai – 2. juni 2015, Trondheim, NorgeCAE Nordic Light, 11. – 12. juni 2015, Stockholm, SverigeIIAs International Conference, 5. – 8. juli 2015, Vancouver,CanadaECIIA Conference, 19. – 22. september 2015, Paris, Frankrike

Nye veiledninger fra IIA siden forrige nummer avSIRK:

Practice Guide: Business ContinuityManagementBusiness continuity management (BCM) is arisk management approach based on businessvalue. It matches business continuity capabili-ties and risks. The goal of BCM is to enableany organization to restore critical operationalactivities, manage communications, and mini-mize financial and other effects of a disaster, business disrup -tion, or other major events. This practice guide specifically discusses the definitions of Business Continuity Management(BCM) and Crisis Management (CM), the activities that may beperformed by internal audit before, during, and after a crisis andinternal audit’s evaluation of key BCM elements. Also, practiceaids are provided in the appendices.

Practice Guide: Auditing Anti-bribery andAnti-corruption ProgramsThe IIA’s new Practice Guide: Auditing Anti-

bribery and Anti-corruption Programs offersinternal audit practitioners insight on the nature of bribery and corruption in organi -zations throughout the world. It discusses thecurrent business landscape and stresses thatno organization, regardless of whether it is public, private, largeor small is immune from the devastating impacts bribery andcorruptions bring. The guide provides an overview of the keycomponents necessary to effectively audit prevention and deterrence programs.

Policy Setting for Public Sector Auditing inthe Absence of Government LegislationThis Global Public Sector Insight will assistgovernment organizations for which legis lationhas not been developed in relation to auditactivities or is relatively narrow in scope. Thispublication navigates audit practitioners andtheir key stakeholders in a practical way todevelop suitable policies and procedures forthe entire organization in the absence of government legislation.

Nyheter fra sekretariatet, IIA og andre samarbeidspartnere

Fra NIRF

SIRK nr 2. 2014 41

The five-step process shared in this report for developing all-encompassing policies and procedures could be beneficial to anyorganization and its audit activity.

Independent Audit Committees in PublicSector Organizations Independent audit committees help public sec-tor organizations meet taxpayers’ increasingdemands for transparency and account abilityby providing oversight of management practi-ces in key governance areas such as risk mana-gement, internal audit, value and ethics, gover-nance, financial stability, and others. Strongaudit committees build public trust and confidence in how orga-nizations are managed and strengthen the independence andvalue of the internal audit activity. This Global Public SectorInsight is designed to communicate the importance of indepen-dent public sector audit committees, the value they provide, andhow an organization can properly establish an audit committee.

New Research Reports from The IIA ResearchFoundation:

Internal Audit Capabilities and Performance Levels in thePublic SectorInternal Audit Capabilities and Performance Levels in the PublicSector, provides a global bird’s-eye view of public sector inter-nal audit activities. Co-authored by the lead researcher and prin-cipal author of the Nine Elements Required for Internal AuditEffectiveness in the Public Sector, Elizabeth MacRae, CGAP,this new report analyzes the survey responses of public sectorchief audit executives (CAEs). As part of The Global InternalAudit Common Body of Knowledge (CBOK) Study, this reportprovides the first-ever public sector-specific analysis of its kind,delivering a snapshot of what public sector internal audit activi-ties are doing well, what they could improve upon, and what themain differences are by region.High-level takeaways from the report include: - Internal auditors’ perception of how they can, or should, add

value to their organizations.- The most common activities undertaken by internal audit

functions and the tools used to carry them out.- A demographic profile of internal auditors.

Cybersecurity – What the Board of Directors Needs to AskThe overwhelming number of cybercrime incidents in recentmonths has forced boards of directors to ask strategic andthoughtful questions directed toward management and internalaudit. Boards need to take a more proactive role in cybersecurityor face the possibility of lawsuits in the event of a security bre-ach. Yet in The IIA Audit Executive Center’s “Pulse of theProfession 2014” survey, when asked how involved the boardwas during the last fiscal year in regard to specific action orrequests on cybersecurity preparedness, only 14% respondedthey were actively involved.

The IIA Research Foundation, in partnership with ISACA, com-missioned the research report, Cybersecurity: What the Board ofDirectors Needs to Ask, to:

- Help directors know how they should react to cybersecurity breaches and what to do.

- Understand that cybersecurity is an enterprisewide issue, not just an IT issue.

- Know what the IT auditor’s role is in helping the Board of Directors address the issue.

The report also outlines the NACD’s five principles for theboard, and provides a list of top questions every board needs toask.

Internal Audit Around the WorldThis research report provides an in-depth analysis of the factorsand rationale behind the development of the profession andseeks to identify opportunities for the transfer of success storiesto the rest of the internal audit community. To perform the ana-lysis, the researchers initially analyzed the 2010 CBOK results,comparing the data for each region. Where the 2010 and 2006survey questions were comparable, a temporal comparison wasconducted to analyze those trends.

The Value of Quality and Improvement Programs: A GlobalPerspectiveResearched and developed by IIA–France, this research provi-des an overview of the current state of Quality Assurance andImprovement Programs (QAIPs) around the world. The report,which incorporated responses from more than 1 000 practitio-ners in 46 countries, offers practical information about leadingQAIP practices and specifically addresses:- Added value specific to the internal audit function.- The most commonly cited challenges to building and

sustaining a QAIP. - Ways in which respondents believe the QAIP has added value

to their organization.

This can be used to identify key factors for successfully imple-menting QAIPs and communicate the benefits of QAIPs to auditcommittees and boards. To assist in this process, the report alsoincludes suggestions for CAEs as to how they can engage stake-holders in a meaningful dialogue about internal audit’s value.

Promoting internal audit in European corporate governance The ECIIA has worked hard over the last twelve months to pro-mote the value of internal audit in European corporate gover-nance. One of ECIIA’s key messages has been that good coordi-nation between internal and external audit adds real value andincreases the effectiveness of corporate governance. It publishedits position paper Improving cooperation between internal and

external audit during the year to illustrate best practice in thisarea. It explored this theme further with the EuropeanOrganisation of Supreme Audit Institutions (EUROSAI) in ajoint study on better cooperation between internal auditors andsupreme audit institutions.

With audit reform on the agenda of the European Commission,ECIIA was involved in thought leadership activities too. Forexample, it organised a round table discussion on the topic at theEuropean Parliament.

�

42 SIRK nr 2. 2014

Fra NIRF

ECIIA had regular meetings with theEuropean Insurance and OccupationalPensions Authority (EIOPA) to review theimpact of Solvency II and the role ofinternal audit; and it reinforced its colla-boration with EUROSAI by signing anew agreement with them on 19 June2014 in The Hague.

“Twenty-fourteen was a busy year for us,but 2015 promises to be even moreimportant,” Thijs Smit, ECIIA Presidentsays. “We will continue to represent theprofession, ensuring that the role of inter-nal audit and best practice are properlyunderstood and taken into consideration.”

Ny veiledning fra ECIIA (theEuropean Confederation of Institute ofInternal Auditors) med titteleen "Auditand Risk Committees"

Endring i lovgivninggir behov for etable-ring av risikoutvalginnen finansielle virk-somheter – dette vilvære noe som kan bliaktuelt også for andrevirksomheter

ECIIA og FERMA (the Federation ofEuropean Risk ManagementAssociations) har samarbeidet om å utar-beide en veiledning til styrer for å hjelpemed tilpasninger til den siste utviklingen i selskapslovgivning i EU, med blant annetetablering av risiko utvalg.

Formålet med veiledningen er å belysemulige konsekvenser av ny lovgivning,med fokus på etablering av risikoutvalg itillegg til revisjonsutvalg. Dokumentet girråd om hvordan revisjons- og risikoutvalgkan understøtte selskapsstyret, samt fåbistand fra risk management og internre-visjon. Krav til etablering av risikoutvalgmå ses på som en direkte følge av finans-krisen. Evalueringer som er gjennomførtetter finanskrisen viser at en forklaring tilat det gikk galt var blant annet svakhet irisikostyring og at styret ikke fikk presen-tert en helhetlig oversikt over virksom -hetens risikoer. Ett annet forhold som harblitt trukket frem var at flere selskaperhadde etablert en unødig komplisert orga-nisering, med utydelige roller og ansvar.

Bente Sverdrup, revisjonsdirektør iGjensidige var medlem i arbeidsutvalgetog sier om publikasjonen; "Arbeidet meddenne veiledningen viser hvor viktig deter å sørge for at risk management oginternrevisjonen bidrar med helhetsbilde isin rapportering. Dette for å hjelpe styretmed dets ansvar for å sikre at virksom -heten har oversikt over de vesentligsterisikoene og at det er etablert tiltak somskal sikre effektiv styring og kontroll. En må også huske på at krav til risikout-valg har sitt utspring innen store interna-sjonale finanskonsern, hvor evalueringeretter finanskrisen viser at de før var orga-nisert på en uhensiktsmessig måte. 2. og3. linjen evnet ikke i tilstrekkelig grad åbistå med helhetsbildet på risikosituasjo-nen. Utfordringen med etablering av egetrisikoutvalg er at det er stor grad av over-lapp av oppgaver mellom risikoutvalg ogrevisjonsutvalg. Det betyr mer byråkratiog behov for koordinering og kan fremståunødvendig og faktisk lite hensiktsmessigi mindre virksomheter eller mindre komplekse virksomheter.Kontrollfunksjonene skal utfordre at 1.linjen overskuer egne risikoer og at nød-vendige tiltak blir iverksatt, det er her 2.og 3. linjen kan tilføre verdi».

White Paper from IIANetherlands: CombiningInternal Audit and Second Lineof Defense Functions?There are many different views acrosscompanies and industries on the benefits,feasibility and acceptability of combiningrisk, compliance and assurance functions.Management Boards, Supervisory Boards(in particular the Audit Committee) andother governing bodies want to know ifsuch combinations are possible, andunder which circumstances, based onwhich basic conditions and facilitated bywhich safeguards. The key question is ifthe Internal Audit Function can workindependently and objectively if supportis provided on areas relating to riskmanagement, compliance and internalcontrols.

In order to answer these questions andprovide clear direction to the stakeholdersinvolved, a task force of IIA Netherlandsconducted research and held roundtable

sessions. This white paper provides anoverview of existing global standards andgood practices and considers the differentstakeholder perspectives.

Tips: Du kan laste ned standardene ogalle veiledninger ved å logge deg på medlemssiden.

Upcoming Guidance

Enhancing Integrated Reporting –Internal Audit Value PropositionA European task force was initiated inApril 2014 by IIA UK & Ireland, IIASpain, IIA Netherlands, IIA France andIIA Norway, to clarify the impact ofIntegrated Reporting (<IR>) on internalaudit activity. The task force propositionsare not mandatory. They are based on theInternational Professional PracticesFramework (IPPF) of The IIA and a lite-rature review on <IR>. Each section ofthe <IR> framework has been reviewedto:- highlight the IIRC recommendations;- identify potential challenges to and

enablers for the implementation of theserecommendations;

- clarify the underlying governance, risk and control issues;

- discuss internal audit¡¦s assurance and advisory role;

- share good practices. For example, regarding coordination with other functions.

Eli Moe-Helgesen (PwC) has been IIANorway’s voice in the group. The propo-sition is expected to be released by yearend 2014.

Audit Channel.tvI tråd med mottoet “Fremskritt gjennomdeling av kunnskap” har IIA laget envideoside som publiserer videosnutter frahele verden med relevant innhold forinternrevisorer og andre. Såkalte “video-kanaler” fokuserer på områder som misligheter, compliance, goveranance,risk, etikk og mye mer. Gå til -www.auditchannel.tv og vurder innholdetselv.

Følg oss for øvrig på Nyhetsbloggen,

Twitter, LinkedIn, Facebook og

Instagram.

Fra NIRF

SIRK nr 2. 2014 43

Certified Internal Auditor (CIA)Minner om at fra 1. juli 2013 skal CIA-kandidater bestå tre, ikkefire, eksamener som tidligere. CIA del 1 består av 125 spørsmål,mens del 2 og 3 er på 100 spørsmål hver. Hvilke områder somtestes på den enkelte eksamen, finner du en detaljert oversiktover på www.globaliia.org. Kravet til to års praksis er ikkeendret. Selv om du ikke har tilstrekkelig praksis, kan du avleggeeksamene og får automatisk tildelt CIA-tittelen hvis du oppfyllerkravet til praksis innen fire år. Du avlegger eksamen hos et test-senter i Oslo, eller andre deler av verden, når det passer dinkalender best.

Certification in Risk Management Assurance (CRMA)Det er nå muligheter for å avlegge CRMA-eksamen som består av 100 mulitiple-choicespørsmål fra følgende områder:Domain I: Organizational governance related to risk management (25-30 %)Domain II: Principles of risk managementprocesses (25-30 %)Domain III: Assurance role of the Internal Auditor (20-25 %)Domain IV: Consulting role of the Internal Auditor (20-25 %)

I tillegg må du også ha bestått del 1 av CIA eksamen og kravet til praksis for å oppnå tittelen CRMA. Les mer på www.gobaliia.org.

Årlig innrapportering av CPE-poengFra og med 2013 skal alle som innehar en global sertifisering,selv rapportere poengene direkte inn i IIAs CCMS-system.Poeng for 2014 må rapporteres innen 31.12.2014. Det holder årapportere at man har nok poeng, så man trenger ikke føre oppalle kurs eller poenggivende aktiviteter. Dokumentasjonen skalikke sendes inn til IIA, men må tas vare på som bevis dersom dublir trukket ut for tilfeldig kontroll fra IIA. NIRF har besluttet ådekke innrapporteringsgebyret fra IIA for alle sine medlemmer.Medlemmer velger derfor skjemaet «FORM-FEE WAIVED» forå unngå gebyr.

Denne prosedyren gjelder dessverre ikke for Diplomert InternRevisor. Dere må derfor som tidligere år rapportere denne direkte til NIRF på post@iia.no.

NEWS: Qualification in Internal Audit Leadership (QIAL)Today, growth and change in the internal auditing field is deman-ding a new type of leader — one who drives a high performingaudit team while delivering value by consistently addressing stakeholder needs, top-down risks, and expectations of an evolving marketplace. The IIA has developed the Qualificationin Internal Audit Leadership™ (QIAL™) to support you onthis journey to be the next generation of visionaries for the profession. So whether you’re an aspiring leader or an audit executive, the QIAL is the right qualification for the next stagein your career progression.

Find the QIAL Pathway that meets your level of experiencebelow:

QIAL Method and Steps to AchievementAs a QIAL candidate, you’ll work with an assigned panel ofaccomplished senior audit executives to give you highly focusedfeedback and coaching. You’ll make a presentation based uponcase information or your own experiences. The knowledge andskills you develop are directly linked to The IIA’s latestCompetency Framework. Although in-person sessions are benefi-cial, if schedules don’t permit, web-based meetings are available.

Access CCMS to begin the applicationprocess or contact QIAL@theiia.org formore information.

Sertifiseringshjørnet

Elgibility QIALRequirements CIA Experience Other Elgibility Pathway

Aspiring Leader a

b

New Leader

c

dExperienced

Leadere

Yes

No

Yes

No

Yes

Five years’ internal auditor related area15 year’s generalmanagement includingthree as audit executive10 years’ generalmanagement includingthree as audit executive15 years’ generalmanagement includingthree as audit executive10 years’ generalmanagement includingthree as audit executive

Now working as anaudit executive

Now working as anaudit executive

Audit executive forthree of last fiveyearsAudit executive forthree of last fiveyears

ProgramPathway 1

ProgramPathway 2

Activities by Program Program ProgramPathway Pathway 1 Pathway 2Case study 1 � Portefolio ofCase study 2 � ProfessionalCase study 3 � Experience

20-minute Presentation � �

90-minute Panel Interview � �

Continuing ContinuingPost-qualifying Professional Professional

Development Development

Candidates critically analyze an extensive set of complex information andproduce a written response providing penetrating insights for a senior-level audience.

Experienced AEs may opt to replace the three case- study exams and document their own professional experience with supporting evidence.

Candidates present to a senior-level panel on a set topic followed by aquestion and answer session.

A panel interview draws upon personal and professional experience.

Methodology DescriptionQIAL Methodology Description Time

Three CaseStudies

Portfolio ofProfessionalExperience

Presentation

Interview

3 – 4 hoursper case study

20 minutes

90 minutes

QIAL InvestmentMember Nonmember

Application US$250 US$300

Case Study (or experience portfolio) unit 1 US$450 US$600

Case Study (or experience portfolio) unit 2 US$450 US$600

Case Study (or experience portfolio) unit 3 US$450 US$600

Presentation US$950 US$1,150

Interview US$1,450 US$1,750

44 SIRK nr 2. 2014

INTERVJUTEKNIKKHvordan bli bedre til å intervjue? Hva som skal til for å be -herske intervjusituasjonen, forberede og ta kontroll over inter-vjuet? Hvordan best få tak i relevant informasjon på en effektivog formålstjenlig måte? Det finnes ingen fasit på hvordan mangjennomfører et godt intervju, men kurset gir deltakerne inn-sikt i en utprøvd metodikk og hvordan den kan anvendes ipraksis, hvordan en stiller de gode enkeltspørsmålene, hvordanen hindrer avsporinger og hvordan en bestemmer mål og strategi for intervjuet.

Brynjulf Handgaard er programutvikler i NRK og forfatter avboken «Intervjuteknikk for journalister». Brynjulf har ved fleretidligere anledninger holdt kurset for NIRF og med gode skuss-mål.

Når: 10. og 11. februar 2015

Sted: Oslo

Pris: Medlemmer: kr 6 900, ikke-medlemmer: kr. 7 500

CPE: 14 for CIA, CCSA, CGAP, CFSA og Dipl. IR.

CIA EXAMINATION PREPARATION COURSE The CIA designation is the only globally accepted certificationfor internal auditors and remains the standard by which indivi-duals demonstrate their competency and professionalism inthe internal auditing field. NIRF offers courses for candidateswho want to achieve the CIA designation. The CIA exam consists of three parts, with one exam for each part. Theexams are computer based multiple choice tests. Note: youdon`t have to take the exam in any given order. In our experi-ence, part three is the most challenging part of the exam,hence the offer of this course. However, if you are a nativeNorwegian speaker, you may benefit from attending thesecourses this fall in preparation for parts 1 and 2: Introduksjontil internrevisjon og Praktisk internrevisjon.

CIA preparation course part 3 will be of four days duration.The course will be held in Norwegian or in English if requiredby participants. This is also an opportunity to form studygroups. It is recommended that you already got the studymaterial for the CIA exams.

We got highly qualified members as instructors. In addition toa CIA designation, they got in-depth knowledge of the differentparts of the CIA that they will be teaching. Anders Blix, CIA, CISA, MBA from NHH. Anders has 14 yearsof experience as an internal auditor and IT auditor, and hasbeen with EVRY since 2002. Kent M. E. Kvalvik, CIA, CRMA, CGEIT, CRISC, Dipl. I.R. Kent ispartner and head of Risk & Advisory Services at RSM.

Date: 10th - 13th of February, 2015

Place: Oslo, Norway

Price: NOK 9 800 for members and NOK 10 900 for non-

members, IIA members from the Baltic region NOK 7 200

CPE: 24 for CIA, CRMA, CCSA, CGAP, CFSA and Dipl. IR.

WRITING REPORTSTHAT GET READA lot of hard work goes into writing a report, but it does notalways have the impact we would like. How do you make yourvoice heard? This one-day workshop will take you through thebasics of writing for a professional audience. The workshoptakes participants systematically through the most problematicareas of writing, with a focus on audience, core argument andstructure. The workshop also covers developing good writinghabits as well as giving and receiving feedback. Workshopobjective is to increase participants’ understanding of whatprofessional writing is all about, how they can get more out ofthe writing process, and how they can most effectively reachtheir audience. The presentation will be held in English, butparticipants may bring Norwegian texts, and discussion cantake place in either English or Norwegian.

Facilitator Lynn P. Nygaard has led writing workshops for academics and researchers for more than ten years, andworks daily with researchers in the institute sector as an advisor. She has also published a practical guide for writing tomake sense and be heard.

Date: 24th of February

Place: Oslo

Price: Members NOK 3 500, non-members NOK 3 800

CPE: 7 for CIA, CRMA, CCSA, CGAP, CFSA and Dipl. IR.

INTRODUKSJON TILINTERNREVISJONKurset er en innføring i internrevisors roller og ansvar,begrepsavklaringer og definisjoner, samt hvilke etiske regler oghvilke krav som ligger i internrevisjonens standarder. Det vil gideltagerne de nødvendige grunnkunnskaper i internrevisjon dadet spesielt tar for seg de obligatoriske delene av det inter -nasjonale rammeverket for profesjonell utøvelse av intern -revisjon (IPPF). Kurset er nødvendig basiskunnskaper for kurset Praktisk internrevisjon som avholdes hver høst. Kursetpasser for personer som er nye i internrevisjon, samt intern-revisorer som ønsker oppfriskning av rammeverket.

Presenteres av Karl-Ludvig Mauland, partner i BDO og HildeTanggaard, rådgiver i NIRF.

Når: 24. mars 2015

Sted: Oslo

Pris: Medlemmer kr 3 500, ikke-medlemmer kr 3 800

CPE: 8 for CIA, CCSA, CGAP, CFSA, CRMA og Dip. IR.

ww

w.iia.n

o

SIRK nr 2. 2014 45

COSOS RAMMEVERKFOR INTERNKONTROLLInternkontroll hjelper virksomheter med å oppnå viktige målsettinger, opprettholde og forbedre presentasjoner. COSOsInternkontroll - et integrert rammeverk 2013 gjør organisa sjoner istand til å utvikle målrettede og kostnadseffektive systemer forinternkontroll, for å kunne tilpasse seg endringer i forretnings-miljø og rammebetingelser, redusere risikoer til akseptable nivå-er og støtte opp under en hensiktsmessig beslutnings- og sty-ringsprosess.

I kurset presenteres helheten i rammeverket, dets oppbygging,hva som er nytt i forhold til 1992-versjonen, nyhetene prin -sipper og fokuspunkter, rammeverkets Illustrative Tools med depraktiske hjelpemidlene Templates og Scenarios, og hvordanrammeverket og de praktiske hjelpemidlene kan være til nyttefor internrevisorer.

Presenteres av Tor Solbjørg, leder av internrevisjonen i Helse-Nord RHF og Karl-Ludvig Mauland, partner i BDO.

Når: 6. mai 2015

Sted: Oslo

Pris: Medlemmer kr 3 500, ikke-medlemmer kr 3 800

CPE: 8 for CIA, CCSA, CGAP, CFSA, CRMA og Dipl. IR.

KVALITET - MED HOVED -FOKUS PÅ EKSTERNEGJENNOMGANGEREt program for kvalitetssikring og forbedring gjør det mulig åvurdere om internrevisjonen er i overensstemmelse med defini-sjon av internrevisjon, standardene og de etiske reglene. Samtidigskal programmet gjøre det mulig å vurdere effektiviteten oghensiktsmessigheten av internrevisjonen og identifisere mulig -heter for forbedring. Hva ligger egentlig i dette og hvilke kravsetter standardene til kvalitet? Hva bør internrevisjonen hafokus på og hvordan forbereder den seg til en ekstern evalu -ering? Disse sentrale spørsmålene skal vi belyse gjennom forelesninger, erfaringsdeling og diskusjoner.

Kurset tar utgangspunkt i kvalitetsmanualen fra IIA QualityAssessment Manual for the Internal Audit Activity, 7th edition.Vi har tilpasset gjennomgangen til norske forhold, samt at vi harutviklet egne verktøy. Det er ingen «one size fits all» så vi vilformidle hvordan du best kan anvende verktøykassen i din virk-somhet. NIRF har utført ekstern evalueringer siden 2009 og vil ikurset trekke på tidligere erfaringer og generelle observasjoner.

Forelesere: Ellen Brataas, CIA, CRMA, CISA, generalsekretær i

NIRF og Hilde Tanggaard, Dipl. IR, rådgiver i NIRF.

Når: 17. mars

Sted: Oslo

Pris: Medlemmer kr 4 400, ikke-medlemmer 4 700. Inkludert i

kursavgiften er IIA Quality Assessment Manual 7th edition.

CPE: 7 for CIA, CRMA, CCSA, CGAP, CFSA og Dipl. IR.

ww

w.iia.n

o

IIA Norway is delighted to have James Paterson return to Norway,this time to deliver courses on Lean Auditing and Assurance

mapping. James delivers training on this topic for the IIA UK andworks as a consultant in this field. If attending both courses youwill qualify for a discount of NOK 600 off the total fee. Price forone day: Members NOK 3 500, Non-members: NOK 3 800.

LEAN AUDITING –DRIVING VALUE AND PRODUCTIVITY IN AUDIT This course addresses two key questions 1) how to define valueadded from internal audit and what does delivering the maximumvalue add look like from audit, and 2) how to drive efficiency andproductivity in audit, beyond simple benchmarking of efficiency rightback to first principles.

Upon completion of the lean auditing workshop you will be able toapply lean tools and techniques to make your internal audit effortsmore streamlined, develop greater insights into the key stakeholdersof audit, have a clearer sense of how lean your audit function is com-pared to others, and develop a practical, step-by-step route map ofthe key areas to focus on to add value and improve efficiency.

Presented by James Paterson, who has specialist skills in this fieldand real life experience applying lean to the internal audit team atAstraZeneca. James has written a book on lean auditing that will bepublished just ahead of the workshop and this workshop gives us agreat opportunity to hear the latest about progressive audit practi-ces from leaning audit functions.

Time: Monday 2nd of February

Place: Oslo

CPE: 8 Continuing Professional Education points for CIA, CRMA,

CCSA, CGAP, CFSA and Dipl. IR.

RISK ASSURANCE MAPPINGRisk assurance maps and Risk assurance frameworks are a vital toolfor a modern progressive internal audit function. A robust assurancemap or risk assurance framework can give greater confidence tostakeholders that key risks and objectives are being properly mana-ged, help to clarify how the risk assurance jigsaw is joined up – ornot, act as a tool to enhance the quality of risk assessments by thewider organisation, act as an important accountability framework toconfirm and clarify how key business objectives and key businessrisks are being managed, and provide stakeholders with a clearersense of the best way to allocate the resources of internal audit. Upon completion of the assurance mapping workshop you will beable to deliver assurance in a timely and cost effective way, withclear benefits for key stakeholders, save time and effort in terms ofdelivering assurance maps with internal resources, recognize the keycomponents of an effective assurance map, assess your currentefforts and plans to deliver an assurance map so that you can avoidthe common pitfalls and difficulties, build a realistic business case foran assurance map, including likely 'quick wins', and prioritise yourcurrent efforts and understand future opportunities, including assurance scorecards and synergy opportunities.

Time: Tuesday 3rd of February

Place: Oslo

CPE: 8 Continuing Professional Education points for CIA, CRMA,

CCSA, CGAP, CFSA and Dipl. IR.

46 SIRK nr 2. 2014

LUKK GAPET

Vår nye nordiske undersøkelse viser at det stilles økte krav og forventninger til internrevisjonens risikodekning, effektivitet og forretningsmessige forståelse. Flere internrevisjonsfunksjoner opplever utfordringer med å kombinere krav til kompetanse med krav til effektivitet og

Ta kontakt med oss om du ønsker :• å vite mer om resultatene fra vår nordiske

benchmarkundersøkelse• bistand til å etablere/videreutvikle

internrevisjonen i din virksomhet• tilgang til spisskompetanse

Terje Klepp Tove Albrektsen Partner Executive DirectorTlf. 906 34 968 Tlf. 982 06 924

© 2014 Ernst &

Young AS. A

ll Rights Reserved.

Fra NIRF

SIRK nr 2. 2014 47

Det hadde seg slik at vi var to som dro på ferie til det sydligeFrankrike, nærmere bestemt Lyon. Reisen var godt forberedtog planlagt som seg hør og bør når revisorer drar på tur.Planen var, siden vi befant oss midt i vin- og matdistriktet, atvi virkelig skulle slå på stortromma og bestille bord på enMichelin-restaurant. Bestillingen ble selvfølgelig ordnet i godtid. Vi hadde litt vanskeligheter med å finne et egnet sted sidenvår ferie var lagt til en tid der de fleste franskmenn inklusivede fleste kokker, også var dratt på ferie.

Vi fant imidlertid frem til en restaurant som vi etter nøye vurderinger mente skulle holde mål. Den hadde én stjerne.Menyen som var bestilt på forhånd inneholdt hele syv retter.Vinpakke var også forhåndsbestilt. Vi hadde der valget mellomen pakke på tre, fire eller fem viner. Vurderingen var at tre varlitt snaut, mens fem var for råflott, så vi falt ned på fire viner.

Vi dro på oss våre beste antrekk og stilte presis til avtalt tid.Vi ble vist til et nydelig bord. Restauranten lå solvendt, medflott utsikt over byen og vi hadde bord ute på terrassen. Detsvermet rundt oss av kelnere og vinkelnere og vi bestilte førsten kir royal som vi mente var på sin plass, omgivelsene tatt ibetraktning. Denne bestillingen klarte restauranten imidlertid åkludre til, men vi fikk noe som lignet, og gjorde ikke noenummer av det.

Før vi visste ordet av det stod første rett på bordet med en passende vin til. Det fulgte deretter på med Médaillon dehomard, Loup de mer grillé, Filet de canard med flere bittesmå hvileretter innimellom før vi var over på det søte medPetite gourmandise. Vi var så interessert i det vi fikk servert atmobilen ble sneket frem for en liten snapp hver gang det komen ny rett på bordet.

Vi koste oss og snakket og smattet og drakk og glemte nestenå følge med på antallet retter. Plutselig sto siste dessert på bordet med dessertvin til. Vi fortærte også dette før vi begynteå telle opp hva vi hadde fått i oss. Vi repeterte de viner vihadde satt til livs, og var kjapt helt enige om at vi kun haddefått servert tre viner. Dette kunne kontrolleres mot den dokumentasjon som befant seg på mobilen. Vi var likevel såfornøyde med måltidet og opplevelsen at vi ikke så på dettesom noe problem.

I mellomtiden hadde det brutt ut et forferdelig tordenvær meddertil hørende styrtregn som skylte innover terrassen. Måltidetvar på dette tidspunktet nærmest avsluttet og vi fant da at viville vende nesen hjem mot hotellet. Pengehåndteringen bleivaretatt av en ung dame som var plassert i hjørnet av restauranten, rett ved utgangen.

Denne damen presenterte oss for regningen, som naturligvisble nøye kontrollert. Til vår store overraskelse hadde vi blittfakturert for en vinpakke med fire viner! Nå hadde vi nok kunnet godta den prisforskjellen det ene glasset representerteuten at det hadde tatt fra oss nattesøvnen, men vi kunne simpelthen ikke unngå å påpeke feilen. Damen lot oss forstå athun måtte ta kontakt med den aktuelle vinkelneren, som straksble kalt bort til kassen.

Heldigvis var alle i denne restauranten i stand til å forstå vårengelsk, og vi forklarte glippen på nytt til den unge vin -kelneren. Vårt budskap var at her er det begått ikke mindreenn tre feil. For det første hadde vi fått feil vordrink. Dernesthadde vi ikke fått servert hele den vinpakken vi hadde bestilt.Til slutt var vi blitt fakturert for den vinen vi ikke hadde mottatt. Det ble også lagt til noe fra vår side om at dette varen lite anbefalelsesverdig opplevelse fra en restaurant av dennekaliber, mens vi forsøkte å la det skinne gjennom at vi varsvært erfarne Michelin-travere.

Vinkelneren ble gjennom vår redegjørelse først lysegrønn iansiktet. Så ble han helt stum. Så ble han enda grønnere.Vi forsto raskt at dette var en svært ubehagelig opplevelse forham. Han var nok livredd for at vi skulle rapportere til hovmesteren eller enda verre, at vi skulle offentliggjøre skandalen gjennom Trip Advisor.

Når personalet fikk summet seg ble vi presentert for en korrigert regning og en paraply etter at vi høflig hadde avslåtttilbudet om gratis champagne. Vinkelneren pustet lettet ut, ogfølte seg nok helt sikkert skjerpet og gjennomrevidert for enstund. Mette og tilfredse bega vi oss ut i regnet.

På tampen

Lyon Basilique de Fourvière. Foto: Redaksjonen

Returadresse: NIRF, Postboks 1417 Vika, 0115 Oslo

Styring og kontrollskaper verdier

www.pwc.no

Bedre styring og kontroll er fellesnevnere for våre bidrag til økt verdiskaping. Det bygger og sikrer tilliten til din virksomhet, det legger grunnlaget for at dere satser riktig og det reduserer risikoen for negative hendelser.

Store bedrifter har gjerne komplekse utfordringer og muligheter, hvor løsningene krever tverrfaglig samarbeid.

La oss snakkes om hva våre revisorer, rådgivere, advokater og regnskapsspesialister kan gjøre sammen med deg for å forbedre din bedrift!

Kontaktpersoner

Eli Moe-HelgesenTlf: 952 60 113eli.moe-helgesen@no.pwc.com

Petra LisetTlf: 952 60 152petra.liset@no.pwc.com

Jonas GaudernackTlf: 952 60 769jonas.gaudernack@no.pwc.com

© 2014 PwC. Med enerett. I denne sammenheng refererer “PwC” seg til PricewaterhouseCoopers AS, Advokatfi rmaet PricewaterhouseCoopers AS, PricewaterhouseCoopers Accounting AS, PricewaterhouseCoopers Skatterådgivere AS og PricewaterhouseCoopers Services AS som alle er separate juridiske enheter og uavhengige medlemsfi rmaer i PricewaterhouseCoopers International Limited. Foto: Annette Larsen

ISSN 1892-9370