Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Ny översättning av COSO

5 535 vues

Publié le

Presentation från GRC 2014 den 15 maj. Kontakta gärna talaren om du har några frågor. Hela schemat för eventet hittar du här: http://www.transcendentgroup.com/sv/har-har-du-hela-schemat-for-grc-2014/

Publié dans : Direction et management
  • Soyez le premier à commenter

Ny översättning av COSO

  1. 1. COSO 2013 Claes Holmberg 15 maj
  2. 2. Hos Transcendent Group möter du erfarna konsulter inom governance, risk and compliance. Våra tjänster skapar trygghet och möjligheter för myndigheter, företag och andra organisationer inom en rad olika branscher. Transcendent Group utsågs både 2012 och 2013 till en av Sveriges bästa arbetsplatser. Om företaget ©TranscendentGroupSverigeAB2013
  3. 3. Intern styrning och kontroll ©TranscendentGroupSverigeAB2013
  4. 4. Varför är intern styrning och kontroll i fokus? • Många organisationer har misslyckats med att skapa en god intern styrning och kontroll – Enron (2001) – Skandia (2003) – Försäkringskassan (2007) – HQ Bank (2010) • Behov av att återställa förtroendet • Regelverk, bl.a. – Sarbanes-Oxley Act (2002) – Svensk kod för bolagsstyrning (2004) – Förordning om intern styrning och kontroll (2008) (FISK) – EIOPA, EBA, ESMA, Finansinspektionen; exempelvis FFFS 2005:1, GL44 (2012), FFFS 2014:1 ©TranscendentGroupSverigeAB2013
  5. 5. Behövs ett ramverk för intern styrning och kontroll? • Internationell utveckling mot gemensamma ramverk • Underlättar bedömning och jämförelser samt sättande av branchstandards och best practice • Ger organisationer något att luta sig mot • Underlättar dialog inom och mellan verksamheter • Underlättar för organisationer att granskas • Underlättar att följa upp och granska – Risk/compliance – Internrevision – Externrevision – Finansinspektionen ©TranscendentGroupSverigeAB2013
  6. 6. Om COSO-ramverket ©TranscendentGroupSverigeAB2013
  7. 7. Vad är COSO-modellen? • En struktur för byggandet av ett ramverk kring intern styrning och kontroll i alla olika typer av organisationer • Modellen bygger på: – En definition – Tre mål – Fem komponenter – 17 principer ©TranscendentGroupSverigeAB2013
  8. 8. Bakgrund ©TranscendentGroupSverigeAB2013 När? Vad? 1985 COSO i USA - The Committee Of the Sponsoring Organizations of the Treadway Commission - grundades 1992 Publicering av det första COSO-ramverket (Internal Control – Integrated Framework)- Begrepp och struktur för att utveckla organisationers interna styrning och kontroll 1996 Publicering av vägledning – Styrning och kontroll av derivat 2004 Publicering av nytt ramverk rörande organisationers företagsövergripande riskhantering – COSO Enterprise Risk Management Framework 2006 Publicering av vägledning - Hur interna styrningen och kontrollen av den finansiella rapporteringen kan utvecklas och fokuseras 2009 Publicering av vägledning - Hur den interna styrningen och kontrollen ska följas upp (Monitoring) 2012 Publicering av ERM-vägledningar; ERM in practices, ERM Cloud computing, Board oversight 2013 Publicering av ett uppdaterat ramverk (Internal Control – Integrated Framework)
  9. 9. COSO 2013 Modellen i illustrativt format ©TranscendentGroupSverigeAB2013 Control Objectives ControlComponents COSO 2013
  10. 10. COSO - Definition och mål • “Internal control is a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance.” • Intern styrning och kontroll är en process, utförd av en organisations styrelse, ledning och annan personal, utformad för att ge en rimlig försäkran om uppnåendet av mål som rör verksamheten, rapporteringen och följsamheten gentemot lagar och regler. ©TranscendentGroupSverigeAB2013
  11. 11. Komponenter och principer ©TranscendentGroupSverigeAB2013 • 1. Integritet och etiska värden • 2. Oberoende och uppföljning • 3. Organisationsstruktur, ansvar och befogenheter • 4. Kompetensförsörjning • 5. Ansvarsskyldighet, påföljder Styr- och kontrollmiljö • 6. Relevanta mål • 7. Identifiera och analysera risk • 8. Medvetenhet kring oegentlighetsrisker • 9. Identifiera och analysera förändringar Riskvärdering • 10. Identifiera och utforma kontrollaktiviteter • 11. Identifiera och utforma generella IT-kontroller • 12. Sprida genom policys och riktlinjer Kontrollaktiviteter • 13. Använda relevant information • 14. Strukturer och rutiner för intern kommunikation • 15. Strukturer och rutiner för extern kommunikation Information och kommunikation • 16. Genomföra löpande och separata utvärderingar • 17. Identifiera, utvärdera och kommunicera brister Övervakande aktiviteter
  12. 12. Intern styrning och kontroll – en process ©TranscendentGroupSverigeAB2013 © COSO
  13. 13. Intern styrning och kontroll – en process ©TranscendentGroupSverigeAB2013 Modell från ESV
  14. 14. Uppdateringar i COSO 2013 • Tillämpar ett tillvägagångssätt baserat på 17 principer • Omfattar nu all typ av rapportering (intern och extern, finansiell och icke-finansiell) • Tydliggör hur verksamhetens mål förhåller sig till intern styrning och kontroll • Reflekterar över den ökade betydelsen av IT och systemstöd • Utvidgar konceptet kring bolagsstyrning • Ökar förväntningar på förebyggande arbete kring oegentligheter ©TranscendentGroupSverigeAB2013
  15. 15. Tillförlitlig rapportering ©TranscendentGroupSverigeAB2013 Extern finansiell rapportering: • Årsredovisning • Delårsrapport • Kurspåverkande information • Myndighetsrapportering Extern icke-finansiell rapportering: • Förvaltningsberättelse • Bolagsstyrningsrapport • Hållbarhetsredovisning Intern finansiell rapportering: • Resultatrapporter per AO • Budget • Kassaflödesanalyser • Covenanter Intern icke-finansiell rapportering: • Styrelserapportering • Kundundersökningar • Medarbetarindex Mål: Tillförlitlig rapportering
  16. 16. Hur etablerat är COSO? ©TranscendentGroupSverigeAB2013 Intern styrning och kontroll – COSO • Intern styrning och kontroll är en process, där ett företags styrelse, ledning och övrig personal samverkar och som med en rimlig grad av säkerhet ska tillse att verksamhetens mål uppnås avseende: • Effektiv och ändamålsenlig verksamhet • Tillförlitlig rapportering • Regelefterlevnad Intern styrning och kontroll – Förordning 2007:603 (FISK) • Med intern styrning och kontroll i staten avses i normalfallet en process styrd av myndighetens ledning som med rimlig säkerhet leder till: • En effektiv verksamhet • Att gällande rätt och de förpliktelser som följer av medlemskap i EU följs • En tillförlitlig redovisning och rättvisande rapportering • God hushållning med statens medel Intern styrning och kontroll – FFFS 2005:1 • Med intern styrning och kontroll menas en process genom vilken företagets styrelse, verkställande direktör, ledning och annan personal skaffar sig rimlig säkerhet för att företagets mål uppnås på följande områden: • En ändamålsenlig och effektiv organisation och förvaltning av verksamheten • En tillförlitlig finansiell rapportering • Efterlevnad av tillämpliga lagar, förordningar och andra regler
  17. 17. Ramverksstruktur för riskhantering och intern styrning och kontroll ©TranscendentGroupSverigeAB2013 UppföljningÅtgärder Riskbedömning (omfattning) KontrollStyrning Lagar och förordningar Policys och riktlinjer Processer Intern kontroll Riskanalys Aktiviteter Självutvärdering/ oberoende testning Statusrapportering Verksamhetens mål/ Riskområden Identifierade brister/inträffade incidenter
  18. 18. Styr- och kontrollmiljön ©TranscendentGroupSverigeAB2013
  19. 19. COSO-principer relaterat till kontrollmiljö ©TranscendentGroupSverigeAB2013 • 1. Integritet och etiska värden • 2. Oberoende och uppföljning • 3. Organisationsstruktur, ansvar och befogenheter • 4. Kompetensförsörjning • 5. Ansvarsskyldighet, påföljder Styr- och kontrollmiljö • ”Organisationen visar engagemang och åtagande för integritet och etiska värden” – ”Tone at the Top” – Etablerar uppförandekod (värdegrund/etisk policy) – Bedömer efterlevnaden – Adresserar avvikelser i god tid
  20. 20. ©TranscendentGroupSverigeAB2013 • 1. Integritet och etiska värden • 2. Oberoende och uppföljning • 3. Organisationsstruktur, ansvar och befogenheter • 4. Kompetensförsörjning • 5. Ansvarsskyldighet, påföljder Styr- och kontrollmiljö • ” Styrelsen är oberoende av ledningen samt utövar tillsyn av utvecklingen och uppföljning av intern styrning och kontroll” – Etablerar styrelsemedlemmars ansvar för tillsyn – Bibehåller och delegerar tillsynsansvar – Agerar oberoende – Utövar tillsyn (komponenterna) COSO-principer relaterat till kontrollmiljö
  21. 21. ©TranscendentGroupSverigeAB2013 • 1. Integritet och etiska värden • 2. Oberoende och uppföljning • 3. Organisationsstruktur, ansvar och befogenheter • 4. Kompetensförsörjning • 5. Ansvarsskyldighet, påföljder Styr- och kontrollmiljö • ”Ledning etablerar, med styrelsens tillsyn, strukturer, rapporteringslinjer, och lämpliga befogenheter och ansvar för att uppnå målen” – Beaktar alla strukturer av enheten – Etablerar rapporteringslinjer – Definierar, tilldelar och begränsar roller och ansvar COSO-principer relaterat till kontrollmiljö
  22. 22. Specifika stödfunktioner Ansvar: Underlätta för verk- samheten i riskarbetet, övervaka och utmana utfallet av verksamhetens arbete samt utvärdera regelefterlevnad Arbetsuppgifter: Sätta standarder och metoder, stödja riskvärderingen samt aggregera och analysera utfall. Rapportering: Verksamhe- tens aggregerade riskexpo- nering till ledning och styrelse. Försvarslinjerna i organisationen ©TranscendentGroupSverigeAB2013 Styrelsen VD 1:a försvarslinjen 2:a försvarslinjen 3:a försvarslinjen Verksamheten Ansvar: Se till att verk- samheten når sina mål inom ramen för given riskaptit. Arbetsuppgifter: Fullt ansvar och ägarskap över risktagandet, intern kontroll och uppföljning. Rapportering: Rapporterar riskläget till riskkommitté och andra försvarslinjen. Internrevision Ansvar: Oberoende utvärdera organisationens interna styrning och kontroll samt öka effektiviteten i bolagets GRC- arbete Arbetsuppgifter: Utvärdera processer och efterlevnaden av regler, ramverk och modeller ur ett internkontroll- perspektiv. Rapportering: Identifierade iakttagelser tillsammans med föreslagna förbättringsom- råden till styrelsen
  23. 23. ©TranscendentGroupSverigeAB2013 • 1. Integritet och etiska värden • 2. Oberoende och uppföljning • 3. Organisationsstruktur, ansvar och befogenheter • 4. Kompetensförsörjning • 5. Ansvarsskyldighet, påföljder Styr- och kontrollmiljö • ”Organisationen visar engagemang och åtagande för att attrahera, utveckla, och bibehålla kompetenta individer i enlighet med satta mål” – Etablerar Policys och riktlinjer – Attrahera, utveckla och bibehålla individer – Utvärderar kompetens och adresserar tillkortakommanden – Planerar och förbereder för succession COSO-principer relaterat till kontrollmiljö
  24. 24. ©TranscendentGroupSverigeAB2013 • 1. Integritet och etiska värden • 2. Oberoende och uppföljning • 3. Organisationsstruktur, ansvar och befogenheter • 4. Kompetensförsörjning • 5. Ansvarsskyldighet, påföljder Styr- och kontrollmiljö • ”Organisationen håller individer ansvariga för deras interna styrning och kontrollansvar för att nå satta mål” – Utövar ansvarskyldighet genom strukturer, ansvar och roller – Etablerar utvärdering av prestation, incitament och belöning – Utvärderar nyckeltal, incitament och belöning löpande (?) – Beaktar ökade påtryckningar • Orealistiska nyckeltal, speciellt kortsiktiga • Målkonflikter mellan olika intressenter • Obalans mellan kortsiktig belöning mot långsiktiga mål – Utvärdering av prestation och belöning eller disciplinära åtgärder COSO-principer relaterat till kontrollmiljö
  25. 25. Riskvärdering ©TranscendentGroupSverigeAB2013
  26. 26. COSO-principer relaterat till risk • ”Organisationer specificerar mål med tillräcklig tydlighet för att möjligöra identifiering och värdering av risker relaterade till målen.” – Verksamhetsmål – Rapporteringsmål – Regelefterlevnadsmål – Mål bör uttryckas som SMART:a  ©TranscendentGroupSverigeAB2013 • 6. Relevanta mål • 7. Identifiera och analysera risk • 8. Medvetenhet kring oegentlighetsrisker • 9. Identifiera och analysera förändringar Riskvärdering Sätts mot bakgrund av risktolerans!
  27. 27. COSO-principer relaterat till risk • ”Hela organisationen identifierar risk relaterat till uppsatta mål och analyserar risk som en förutsättning för att bestämma hur risken ska hanteras” – Riskidentifiering på alla nivåer, beaktat såväl externa som interna faktorer – Analys av hur identifierade risker kan påverka måluppfyllnad – Riskkategorisering efter väsentlighet – Metoder för att styra hur risk ska hanteras ©TranscendentGroupSverigeAB2013 • 6. Relevanta mål • 7. Identifiera och analysera risk • 8. Medvetenhet kring oegentlighetsrisker • 9. Identifiera och analysera förändringar Riskvärdering
  28. 28. COSO-principer relaterat till risk • ”Organisationen beaktar särskilt risker för oegentligheter i sin riskanalys” – Beaktar olika sätt när bedrägeri kan inträffa – Bedömning av incitament och möjliga påtryckningar – Beaktar möjligheter – Analyserar attityder och rationaliseringar ©TranscendentGroupSverigeAB2013 • 6. Relevanta mål • 7. Identifiera och analysera risk • 8. Medvetenhet kring oegentlig- hetsrisker • 9. Identifiera och analysera förändringar Riskvärdering
  29. 29. COSO-principer relaterat till risk • ”Organisationen identifierar och utvärderar förändringar som väsentligen kan påverka den interna styrningen och kontrollen” – Förändringar i den externa miljön – Förändringar i verksamheten/affären – Förändringar i ledarskap ©TranscendentGroupSverigeAB2013 • 6. Relevanta mål • 7. Identifiera och analysera risk • 8. Medvetenhet kring oegentlighetsrisker • 9. Identifiera och analysera förändringar Riskvärdering
  30. 30. Kontrollaktiviteter ©TranscendentGroupSverigeAB2013
  31. 31. COSO-principer relaterat till kontroll ©TranscendentGroupSverigeAB2013 • 10. Identifiera och utforma kontrollaktiviteter • 11. Identifiera och utforma generella IT-kontroller • 12. Sprida genom policys och riktlinjer Kontrollaktiviteter • ”Organisationen definierar och utformar kontrollaktiviteter som bidrar till att hantera risk till en acceptabel nivå” – Integrerat med riskanalysen – Beaktar företagsspecifika faktorer – Fastställer relevanta affärsprocesser – Utvärderar sammansättning av olika typer av kontrolltyper – Beaktar på vilken nivå kontrollaktiviteterna ska ske – Adresserar dualitet (segregation of duties)
  32. 32. COSO-principer relaterat till kontroll ©TranscendentGroupSverigeAB2013 • 10. Identifiera och utforma kontrollaktiviteter • 11. Identifiera och utforma generella IT-kontroller • 12. Sprida genom policys och riktlinjer Kontrollaktiviteter • ”Organisationen definierar och utformar IT-generella kontrollaktiviteter för att stödja måluppfyllelsen” – Fastställer beroendet mellan systemanvändandet i affärsprocesser och IT- generella kontroller – Etablerar relevant struktur för IT-generella kontroller – Etablerar relevanta kontrollaktiviteter för säkerhet (behörigheter) – Etablerar relevanta kontrollaktiviteter för inskaffa, utveckla och förvalta system/applikationer
  33. 33. COSO-principer relaterat till kontroll ©TranscendentGroupSverigeAB2013 • 10. Identifiera och utforma kontrollaktiviteter • 11. Identifiera och utforma generella IT-kontroller • 12. Sprida genom policys och riktlinjer Kontrollaktiviteter • ”Organisationen sätter ramarna för kontrollaktiviteterna genom policys som etablerar vad som förväntas, och implementerar kontroller genom riktlinjer, som omsätter policys i handlingar” – Kontrollaktiviteter byggs in i processer och det dagliga arbetet genom upprättade policys och riktlinjer – Fastställer ansvar och skyldighet – Kontrollaktiviteter utförs av kompetens personal vid rätt tidpunkt och leder till att eventuella fel/avvikelser utreds och korrigeras – Uppdaterar löpande gällande policys, riktlinjer och kontrollaktiviteter
  34. 34. Information och kommunikation ©TranscendentGroupSverigeAB2013
  35. 35. COSO-principer relaterat till information & kommunikation ©TranscendentGroupSverigeAB2013 • 13. Använda relevant information • 14. Strukturer och rutiner för intern kommunikation • 15. Strukturer och rutiner för extern kommunikation Information och kommunikation • ”Organisationen inhämtar eller erhåller, genererar och använder relevant, kvalitativ information för att stödja funktionaliteten i den interna kontrollen” – Identifierar informationskrav – Fångar interna och externa datakällor – Processar relevant data till information – Håller kvalitet genom processen/flödet
  36. 36. COSO-principer relaterat till information & kommunikation ©TranscendentGroupSverigeAB2013 • 13. Använda relevant information • 14. Strukturer och rutiner för intern kommunikation • 15. Strukturer och rutiner för extern kommunikation Information och kommunikation • ”Organisationen kommunicerar internt information (inklude- rande mål och ansvar för intern kontroll) på lämpligt sätt för att stödja effektiviteten och ändamålsenligheten i internkontroll- ramverket” – Kommunicerar information gällande intern kontroll till personal – Kommunicerar information gällande intern kontroll till styrelse – Tillhandahåller separata kommunikationskanaler – Väljer relevanta metoder för kommunikation
  37. 37. COSO-principer relaterat till information & kommunikation ©TranscendentGroupSverigeAB2013 • 13. Använda relevant information • 14. Strukturer och rutiner för intern kommunikation • 15. Strukturer och rutiner för extern kommunikation Information och kommunikation • ”Organisationen kommunicerar med externa parter gällande frågor som påverkar funktionaliteten i den interna styrningen och kontrollen” – Kommunikation till och från externa parter – Kommunikation till styrelsen – Tillhandahåller separata kommunikationskanaler – Väljer relevanta metod för kommunikation
  38. 38. Övervakande aktiviteter ©TranscendentGroupSverigeAB2013
  39. 39. COSO-principer relaterat till uppföljning ©TranscendentGroupSverigeAB2013 • 16. Genomföra löpande och separata utvärderingar • 17. Identifiera, utvärdera och kommunicera brister Övervakande aktiviteter • ”Organisationen väljer, utformar och utför löpande och/eller separata utvärderingar för att bedöma om internkontroll- komponenterna finns och fungerar” – Beaktar en mix av löpande och separata utvärderingar – Varierar i omfattning och frekvens – Löpande utvärderingar integrerar med affärsprocesser – Separata utvärderingar främjar objektiv i utvärderingarna
  40. 40. COSO-principer relaterat till uppföljning ©TranscendentGroupSverigeAB2013 • 16. Genomföra löpande och separata utvärderingar • 17. Identifiera, utvärdera och kommunicera brister Övervakande aktiviteter • ”Organisationen utvärderar och kommunicerar brister i den interna kontrollen i rimlig tid till de parter som är ansvariga för åtgärdsaktiviteter, inklusive ledning och styrelse” – Värderar resultat – Kommunicerar internkontrollbrister – Rapporterar brister till högsta ledning och styrelse – Följer upp åtgärdshantering
  41. 41. claes.holmberg@transcendentgroup.com 0730-98 60 58 ©TranscendentGroupSverigeAB2013
  42. 42. www.transcendentgroup.com

×