Ny översättning av COSO

COSO 2013

Claes Holmberg

15 maj

Hos Transcendent Group möter du erfarna

konsulter inom governance, risk and compliance. Våra

tjänster skapar trygghet och möjligheter för

myndigheter, företag och andra organisationer

inom en rad olika branscher.

Transcendent Group utsågs både 2012 och 2013

till en av Sveriges bästa arbetsplatser.

Om företaget

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Intern styrning och kontroll

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Varför är intern styrning och kontroll i

fokus?

• Många organisationer har misslyckats med att skapa en god intern styrning och kontroll– Enron (2001)

– Skandia (2003)

– Försäkringskassan (2007)

– HQ Bank (2010)

• Behov av att återställa förtroendet

• Regelverk, bl.a.– Sarbanes-Oxley Act (2002)

– Svensk kod för bolagsstyrning (2004)

– Förordning om intern styrning och kontroll (2008) (FISK)

– EIOPA, EBA, ESMA, Finansinspektionen; exempelvis FFFS 2005:1, GL44 (2012), FFFS 2014:1

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Behövs ett ramverk för intern styrning

och kontroll?

• Internationell utveckling mot gemensamma ramverk

• Underlättar bedömning och jämförelser samt sättande av

branchstandards och best practice

• Ger organisationer något att luta sig mot

• Underlättar dialog inom och mellan verksamheter

• Underlättar för organisationer att granskas

• Underlättar att följa upp och granska

– Risk/compliance

– Internrevision

– Externrevision

– Finansinspektionen

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Om COSO-ramverket

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Vad är COSO-modellen?

• En struktur för byggandet av ett ramverk kring intern styrning

och kontroll i alla olika typer av organisationer

• Modellen bygger på:

– En definition

– Tre mål

– Fem komponenter

– 17 principer

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Bakgrund

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

När? Vad?

1985 COSO i USA - The Committee Of the Sponsoring Organizations of the Treadway

Commission - grundades

1992 Publicering av det första COSO-ramverket (Internal Control – Integrated

Framework)- Begrepp och struktur för att utveckla organisationers interna styrning

och kontroll

1996 Publicering av vägledning – Styrning och kontroll av derivat

2004 Publicering av nytt ramverk rörande organisationers företagsövergripande

riskhantering – COSO Enterprise Risk Management Framework

2006 Publicering av vägledning - Hur interna styrningen och kontrollen av den finansiella

rapporteringen kan utvecklas och fokuseras

2009 Publicering av vägledning - Hur den interna styrningen och kontrollen ska följas upp

(Monitoring)

2012 Publicering av ERM-vägledningar; ERM in practices, ERM Cloud computing,

Board oversight

2013 Publicering av ett uppdaterat ramverk (Internal Control – Integrated Framework)

COSO 2013Modellen i illustrativt format

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Control ObjectivesC

on

tro

l C

om

po

nen

ts

COSO 2013

COSO - Definition och mål

• “Internal control is a process, effected by an entity’s board of directors,

management, and other personnel, designed to provide reasonable assurance

regarding the achievement of objectives relating to operations, reporting, and

compliance.”

• Intern styrning och kontroll är en process, utförd av en

organisations styrelse, ledning och annan personal, utformad för

att ge en rimlig försäkran om uppnåendet av mål som rör

verksamheten, rapporteringen och följsamheten gentemot lagar

och regler.

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Komponenter och principer

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 1. Integritet och etiska värden

• 2. Oberoende och uppföljning

• 3. Organisationsstruktur, ansvar och befogenheter

• 4. Kompetensförsörjning

• 5. Ansvarsskyldighet, påföljder

Styr- och kontrollmiljö

• 6. Relevanta mål

• 7. Identifiera och analysera risk

• 8. Medvetenhet kring oegentlighetsrisker

• 9. Identifiera och analysera förändringar

Riskvärdering

• 10. Identifiera och utforma kontrollaktiviteter

• 11. Identifiera och utforma generella IT-kontroller

• 12. Sprida genom policys och riktlinjerKontrollaktiviteter

• 13. Använda relevant information

• 14. Strukturer och rutiner för intern kommunikation

• 15. Strukturer och rutiner för extern kommunikation

Information och kommunikation

• 16. Genomföra löpande och separata utvärderingar

• 17. Identifiera, utvärdera och kommunicera brister

Övervakande aktiviteter

Intern styrning och kontroll – en process

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

© COSO

Intern styrning och kontroll – en process

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Modell från ESV

Uppdateringar i COSO 2013

• Tillämpar ett tillvägagångssätt baserat på 17 principer

• Omfattar nu all typ av rapportering (intern och extern, finansiell

och icke-finansiell)

• Tydliggör hur verksamhetens mål förhåller sig till intern styrning

och kontroll

• Reflekterar över den ökade betydelsen av IT och systemstöd

• Utvidgar konceptet kring bolagsstyrning

• Ökar förväntningar på förebyggande arbete kring oegentligheter

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Tillförlitlig rapportering

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Extern finansiell rapportering:

• Årsredovisning

• Delårsrapport

• Kurspåverkande information

• Myndighetsrapportering

Extern icke-finansiell rapportering:

• Förvaltningsberättelse

• Bolagsstyrningsrapport

• Hållbarhetsredovisning

Intern finansiell rapportering:

• Resultatrapporter per AO

• Budget

• Kassaflödesanalyser

• Covenanter

Intern icke-finansiell rapportering:

• Styrelserapportering

• Kundundersökningar

• Medarbetarindex

Mål: Tillförlitlig rapportering

Hur etablerat är COSO?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

Intern styrning och kontroll – COSO

• Intern styrning och kontroll är en process, där ett företags styrelse, ledning och övrig personal samverkar och som med en rimlig grad av säkerhet ska tillse att verksamhetens mål uppnås avseende:

• Effektiv och ändamålsenlig verksamhet

• Tillförlitlig rapportering

• Regelefterlevnad

Intern styrning och kontroll – Förordning

2007:603 (FISK)

• Med intern styrning och kontroll i staten avses i normalfallet en process styrd av myndighetens ledning som med rimlig säkerhet leder till:

• En effektiv verksamhet

• Att gällande rätt och de förpliktelser som följer av medlemskap i EU följs

• En tillförlitlig redovisning och rättvisande rapportering

• God hushållning med statens medel

Intern styrning och kontroll – FFFS 2005:1

• Med intern styrning och kontroll menas en process genom vilken företagets styrelse, verkställande direktör, ledning och annan personal skaffar sig rimlig säkerhet för att företagets mål uppnås på följande områden:

• En ändamålsenlig och effektiv organisation och förvaltning av verksamheten

• En tillförlitlig finansiellrapportering

• Efterlevnad av tillämpliga lagar, förordningar och andra regler

Ramverksstruktur för riskhantering och

intern styrning och kontroll

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

UppföljningÅtgärderRiskbedömning

(omfattning)

Ko

ntr

oll

Sty

rnin

g

Lagar och

förordningar

Policys och

riktlinjer

Processer

Intern kontroll

Riskanalys Aktiviteter

Självutvärdering/

oberoende testning

Statusrapportering

Verksamhetens

mål/

Riskområden

Identifierade

brister/inträffade

incidenter

Styr- och kontrollmiljön

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

COSO-principer relaterat till kontrollmiljö

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 1. Integritet och etiska värden• 2. Oberoende och uppföljning

• 3. Organisationsstruktur, ansvar och befogenheter

• 4. Kompetensförsörjning

• 5. Ansvarsskyldighet, påföljder

Styr- och kontrollmiljö

• ”Organisationen visar engagemang och åtagande för integritet

och etiska värden”

– ”Tone at the Top”

– Etablerar uppförandekod (värdegrund/etisk policy)

– Bedömer efterlevnaden

– Adresserar avvikelser i god tid

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 1. Integritet och etiska värden

• 2. Oberoende och uppföljning• 3. Organisationsstruktur, ansvar och befogenheter

• 4. Kompetensförsörjning

• 5. Ansvarsskyldighet, påföljder

Styr- och kontrollmiljö

• ” Styrelsen är oberoende av ledningen samt utövar tillsyn av

utvecklingen och uppföljning av intern styrning och kontroll”

– Etablerar styrelsemedlemmars ansvar för tillsyn

– Bibehåller och delegerar tillsynsansvar

– Agerar oberoende

– Utövar tillsyn (komponenterna)

COSO-principer relaterat till kontrollmiljö

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 1. Integritet och etiska värden

• 2. Oberoende och uppföljning

• 3. Organisationsstruktur, ansvar och befogenheter

• 4. Kompetensförsörjning

• 5. Ansvarsskyldighet, påföljder

Styr- och kontrollmiljö

• ”Ledning etablerar, med styrelsens tillsyn, strukturer,

rapporteringslinjer, och lämpliga befogenheter och ansvar för att

uppnå målen”

– Beaktar alla strukturer av enheten

– Etablerar rapporteringslinjer

– Definierar, tilldelar och begränsar roller och ansvar

COSO-principer relaterat till kontrollmiljö

Specifika stödfunktioner Ansvar: Underlätta för verk-

samheten i riskarbetet,

övervaka och utmana utfallet

av verksamhetens arbete samt

utvärdera regelefterlevnad

Arbetsuppgifter: Sätta

standarder och metoder,

stödja riskvärderingen samt

aggregera och analysera utfall.

Rapportering: Verksamhe-

tens aggregerade riskexpo-

nering till ledning och styrelse.

Försvarslinjerna i organisationen

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2013

Styrelsen

VD

1:a försvarslinjen 2:a försvarslinjen 3:a försvarslinjen

VerksamhetenAnsvar: Se till att verk-

samheten når sina mål inom

ramen för given riskaptit.

Arbetsuppgifter: Fullt ansvar

och ägarskap över

risktagandet, intern kontroll

och uppföljning.

Rapportering: Rapporterar

riskläget till riskkommitté och

andra försvarslinjen.

InternrevisionAnsvar: Oberoende utvärdera

organisationens interna

styrning och kontroll samt öka

effektiviteten i bolagets GRC-

arbete

Arbetsuppgifter: Utvärdera

processer och efterlevnaden

av regler, ramverk och

modeller ur ett internkontroll-

perspektiv.

Rapportering: Identifierade

iakttagelser tillsammans med

föreslagna förbättringsom-

råden till styrelsen

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 1. Integritet och etiska värden

• 2. Oberoende och uppföljning

• 3. Organisationsstruktur, ansvar och befogenheter

• 4. Kompetensförsörjning• 5. Ansvarsskyldighet, påföljder

Styr- och kontrollmiljö

• ”Organisationen visar engagemang och åtagande för att

attrahera, utveckla, och bibehålla kompetenta individer i enlighet

med satta mål”

– Etablerar Policys och riktlinjer

– Attrahera, utveckla och bibehålla individer

– Utvärderar kompetens och adresserar tillkortakommanden

– Planerar och förbereder för succession

COSO-principer relaterat till kontrollmiljö

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 1. Integritet och etiska värden

• 2. Oberoende och uppföljning

• 3. Organisationsstruktur, ansvar och befogenheter

• 4. Kompetensförsörjning

• 5. Ansvarsskyldighet, påföljder

Styr- och kontrollmiljö

• ”Organisationen håller individer ansvariga för deras interna styrning och kontrollansvar för att nå satta mål” – Utövar ansvarskyldighet genom strukturer, ansvar och roller

– Etablerar utvärdering av prestation, incitament och belöning

– Utvärderar nyckeltal, incitament och belöning löpande (?)

– Beaktar ökade påtryckningar

• Orealistiska nyckeltal, speciellt kortsiktiga

• Målkonflikter mellan olika intressenter

• Obalans mellan kortsiktig belöning mot långsiktiga mål

– Utvärdering av prestation och belöning eller disciplinära åtgärder

COSO-principer relaterat till kontrollmiljö

Riskvärdering

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

COSO-principer relaterat till risk

• ”Organisationer specificerar mål med tillräcklig tydlighet för att

möjligöra identifiering och värdering av risker relaterade till

målen.”

– Verksamhetsmål

– Rapporteringsmål

– Regelefterlevnadsmål

– Mål bör uttryckas som SMART:a

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 6. Relevanta mål• 7. Identifiera och analysera risk

• 8. Medvetenhet kring oegentlighetsrisker

• 9. Identifiera och analysera förändringar

Riskvärdering

Sätts mot bakgrund av risktolerans!

COSO-principer relaterat till risk

• ”Hela organisationen identifierar risk relaterat till uppsatta mål

och analyserar risk som en förutsättning för att bestämma hur

risken ska hanteras”

– Riskidentifiering på alla nivåer, beaktat såväl externa som interna faktorer

– Analys av hur identifierade risker kan påverka måluppfyllnad

– Riskkategorisering efter väsentlighet

– Metoder för att styra hur risk ska hanteras

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 6. Relevanta mål

• 7. Identifiera och analysera risk• 8. Medvetenhet kring oegentlighetsrisker

• 9. Identifiera och analysera förändringar

Riskvärdering

COSO-principer relaterat till risk

• ”Organisationen beaktar särskilt risker för oegentligheter i sin

riskanalys”

– Beaktar olika sätt när bedrägeri kan inträffa

– Bedömning av incitament och möjliga påtryckningar

– Beaktar möjligheter

– Analyserar attityder och rationaliseringar

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 6. Relevanta mål

• 7. Identifiera och analysera risk

• 8. Medvetenhet kring oegentlig-hetsrisker

• 9. Identifiera och analysera förändringar

Riskvärdering

COSO-principer relaterat till risk

• ”Organisationen identifierar och utvärderar förändringar som

väsentligen kan påverka den interna styrningen och kontrollen”

– Förändringar i den externa miljön

– Förändringar i verksamheten/affären

– Förändringar i ledarskap

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 6. Relevanta mål

• 7. Identifiera och analysera risk

• 8. Medvetenhet kring oegentlighetsrisker

• 9. Identifiera och analysera förändringar

Riskvärdering

Kontrollaktiviteter

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

COSO-principer relaterat till kontroll

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 10. Identifiera och utforma kontrollaktiviteter

• 11. Identifiera och utforma generella IT-kontroller

• 12. Sprida genom policys och riktlinjer

Kontrollaktiviteter

• ”Organisationen definierar och utformar kontrollaktiviteter som

bidrar till att hantera risk till en acceptabel nivå”

– Integrerat med riskanalysen

– Beaktar företagsspecifika faktorer

– Fastställer relevanta affärsprocesser

– Utvärderar sammansättning av olika typer av kontrolltyper

– Beaktar på vilken nivå kontrollaktiviteterna ska ske

– Adresserar dualitet (segregation of duties)

COSO-principer relaterat till kontroll

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 10. Identifiera och utforma kontrollaktiviteter

• 11. Identifiera och utforma generella IT-kontroller

• 12. Sprida genom policys och riktlinjer

Kontrollaktiviteter

• ”Organisationen definierar och utformar IT-generella

kontrollaktiviteter för att stödja måluppfyllelsen”

– Fastställer beroendet mellan systemanvändandet i affärsprocesser och IT-

generella kontroller

– Etablerar relevant struktur för IT-generella kontroller

– Etablerar relevanta kontrollaktiviteter för säkerhet (behörigheter)

– Etablerar relevanta kontrollaktiviteter för inskaffa, utveckla och förvalta

system/applikationer

COSO-principer relaterat till kontroll

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 10. Identifiera och utforma kontrollaktiviteter

• 11. Identifiera och utforma generella IT-kontroller

• 12. Sprida genom policys och riktlinjer

Kontrollaktiviteter

• ”Organisationen sätter ramarna för kontrollaktiviteterna genom

policys som etablerar vad som förväntas, och implementerar

kontroller genom riktlinjer, som omsätter policys i handlingar”

– Kontrollaktiviteter byggs in i processer och det dagliga arbetet genom

upprättade policys och riktlinjer

– Fastställer ansvar och skyldighet

– Kontrollaktiviteter utförs av kompetens personal vid rätt tidpunkt och

leder till att eventuella fel/avvikelser utreds och korrigeras

– Uppdaterar löpande gällande policys, riktlinjer och kontrollaktiviteter

Information och kommunikation

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

COSO-principer relaterat till information

& kommunikation

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 13. Använda relevant information• 14. Strukturer och rutiner för intern kommunikation

• 15. Strukturer och rutiner för extern kommunikation

Information och kommunikation

• ”Organisationen inhämtar eller erhåller, genererar och använder

relevant, kvalitativ information för att stödja funktionaliteten i

den interna kontrollen”

– Identifierar informationskrav

– Fångar interna och externa datakällor

– Processar relevant data till information

– Håller kvalitet genom processen/flödet

COSO-principer relaterat till information

& kommunikation

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 13. Använda relevant information

• 14. Strukturer och rutiner för intern kommunikation

• 15. Strukturer och rutiner för extern kommunikation

Information och kommunikation

• ”Organisationen kommunicerar internt information (inklude-

rande mål och ansvar för intern kontroll) på lämpligt sätt för att

stödja effektiviteten och ändamålsenligheten i internkontroll-

ramverket”

– Kommunicerar information gällande intern kontroll till personal

– Kommunicerar information gällande intern kontroll till styrelse

– Tillhandahåller separata kommunikationskanaler

– Väljer relevanta metoder för kommunikation

COSO-principer relaterat till information

& kommunikation

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 13. Använda relevant information

• 14. Strukturer och rutiner för intern kommunikation

• 15. Strukturer och rutiner för extern kommunikation

Information och kommunikation

• ”Organisationen kommunicerar med externa parter gällande

frågor som påverkar funktionaliteten i den interna styrningen

och kontrollen”

– Kommunikation till och från externa parter

– Kommunikation till styrelsen

– Tillhandahåller separata kommunikationskanaler

– Väljer relevanta metod för kommunikation

Övervakande aktiviteter

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

COSO-principer relaterat till uppföljning

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 16. Genomföra löpande och separata utvärderingar

• 17. Identifiera, utvärdera och kommunicera brister

Övervakande aktiviteter

• ”Organisationen väljer, utformar och utför löpande och/eller

separata utvärderingar för att bedöma om internkontroll-

komponenterna finns och fungerar”

– Beaktar en mix av löpande och separata utvärderingar

– Varierar i omfattning och frekvens

– Löpande utvärderingar integrerar med affärsprocesser

– Separata utvärderingar främjar objektiv i utvärderingarna

COSO-principer relaterat till uppföljning

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

013

• 16. Genomföra löpande och separata utvärderingar

• 17. Identifiera, utvärdera och kommunicera brister

Övervakande aktiviteter

• ”Organisationen utvärderar och kommunicerar brister i den

interna kontrollen i rimlig tid till de parter som är ansvariga för

åtgärdsaktiviteter, inklusive ledning och styrelse”

– Värderar resultat

– Kommunicerar internkontrollbrister

– Rapporterar brister till högsta ledning och styrelse

– Följer upp åtgärdshantering

[email protected]

0730-98 60 58

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2013

www.transcendentgroup.com