COSO-temadag. Opdatering af begrebsrammen efter 20 år. Skab værdi med interne kontroller. Skab værdi med interne kontroller

Transkript

1 13. juni 2013 COSO-temadag Opdatering af begrebsrammen efter 20 år Skab værdi med interne kontroller Skab værdi med interne kontroller Revision. Skat. Rådgivning.

2 Holder dine kontroller trit med udviklingen i virksomheden? Nye og ændrede risici Ændrede markedsforhold Nye og ændrede behov for interne kontroller PwC COSO s opdaterede begrebsramme hjælper virksomheder på vej juni 2013 Side 2

3 Program PwC, Mogens Nørgaard Mogensen, adm. direktør Velkomst og introduktion til COSO temadagen PwC, Kristina Wiese Tranberg, director Introduktion til opdatering af COSO-begrebsrammen, herunder hvad er ændret (fokus på rapportering) A.P. Møller Mærsk, Jane Thostrup Jagd, director, control compliance officer, Group Accounting - Risk, Control & CSR CSR-rapportering samt praktiske erfaringer med ikke-finansielle kontroller PwC, Jess Kjær Mogensen, partner Pause Fakta om den opdaterede COSO begrebsramme Energinet.dk, Torben Thyregod, CFO & Thomas Berg Jacobsen, regnskabschef Praktiske erfaringer med implementering af COSO framework et herunder de seneste opdateringer PwC, Kristina Wiese Tranberg, director PwC Hvordan kommer man i gang med implementering af COSO opdateringen? Hvad skal overvejes? - herunder afrunding på temadagen juni 2013 Side 3

4 Introduktion til opdatering af COSO-begrebsrammen PwC juni 2013 Side 4

5 Hvorfor opdaterer COSO begrebsrammen? Intentionen er at hjælpe virksomheder i deres indsats med at: tilpasse sig stigende kompleksitet tilpasse sig hastigheden af ændringer begrænse risici sikre troværdig information Fokus på opdateringen af begrebsrammen er, at den skal: reflektere ændringer være anvendelig på flere forretningsmål øge brugervenligheden være mere fleksibel i anvendeligheden PwC Et sundt internt kontrolmiljø er en væsentlig del af virksomhedens integrerede risikostyring juni 2013 Side 5

6 Essensen af COSO opdateringen Den oprindelige begrebsramme fra 1992: er fortsat fundamentalt sund og bredt accepteret i hele verden gælder for alle typer af virksomheder Det opdaterede Framework fra 2013 forventes at hjælpe virksomheder med at: håndtere interne kontroller ift. de mange ændringer i omgivelserne siden 1992 udvide anvendelsen af interne kontroller præcisere kravene ift., hvad der udgør en effektiv intern kontrol PwC juni 2013 Side 6

7 COSOs begrebramme har mange år på bagen og er anerkendt world wide via lokal lovgivning Norge: Intern kontroll EU: EURO-SOX Danmark: Årl. 107 B & SL 115 Canada: COCO UK: Turnbull Italien: Legislative Decree 262 Japan: J-SOX Tyskland: BilMoG Kina: C-SOX Australien: CLERP 9 PwC juni 2013 Side 7

8 Effektive interne kontroller kræver mere end kun de finansielle kontroller PwC juni 2013 Side 8

9 Opsummering på hvad der er ændret og ikke ændret i begrebsrammen Hvad ændrer sig ikke Hvad ændrer sig 1 Definitionen af intern kontrol 1 Opdateres til at reflektere nuværende forhold i forretningsog driftsmiljøer 2 De 5 intern kontrol komponenter 2 Kodificerer principper som støtter de 5 intern kontrol komponenter 3 De fundamentale kriterier, som bruges til at vurdere effektiviteten af et intern kontrol system 3 Udvider målet for finansiel rapportering til også at inkludere intern rapportering og ekstern ikke-finansiel rapportering 4 Brug af sund fornuft ved evaluering af effektiviteten af et intern kontrol system 4 Øger fokus på operations, compliance og rapporteringsmål PwC juni 2013 Side 9

10 Den opdaterede COSO-begrebsramme er udvidet til at omfatte alle former for rapportering Skabe kongruens og mere ensartethed Eksterne finansielle rapporterings mål Eksterne ikkefinansielle rapporterings mål Al rapportering skal håndteres ensartet Anvende alle 5 intern kontrol komponenter Forbedre beslutningsgrundlaget PwC Anvendes til at opfylde eksterne interessenters og reguleringsmæssige krav Udarbejdet i overensstemmelse med eksterne standarder Kan kræves af myndigheder, iht. kontrakter, aftaler mv. Interne finansielle rapporterings mål Interne ikkefinansielle rapporterings mål Bruges til at styre virksomheden og beslutningstagning Etableret af ledelse og bestyrelse juni 2013 Side 10

11 CSR-rapportering samt praktiske erfaringer med ikke-finansielle kontroller Jane Thostrup Jagd, A.P. Møller Mærsk PwC juni 2013 Side 11

12 Juni 2013 Hvordan højner vi det ikkefinansielle kontrolmiljø og hvorfor?

13 Kan man sikre datakvaliteten af det ikke-finansielle? Brug de finansielle værktøjer Datatyper og krav til dokumentation COSO og EuroSox Krav og værktøjer til lokalt kontrolmiljø Krav til hovedkontoret Hvad skal det gøre godt for? Slide no. 13 Group Accounting Juni 2013

14 Kan man sikre datakvaliteten af det ikkefinansielle? Er det ikke bare noget gætteri og rapportering af tilfældige tilgængelige data men ikke nødvendigvis validerede data? Desværre ofte jo men det behøver ikke at være sådan!!! Det meste ikke-finansielle kan man sagtens skaffe gode stærke beviser for men det kræver gode processer og værktøjer De få ting, man ikke kan sikre stærke beviser for, de kan sandsynliggøres ligesom man også kun kan sandsynliggøre finansielt for hensættelser, eventualforpligtelser, immaterielle anlægsaktiver etc. Så hvis man vil så kan man sikre et ligeså godt kontrolmiljø ikke-finansielt som finansielt Group Accounting Slide no. 14 Juni 2013

15 Fordele ved finansielle værktøjer og logik, når man arbejder med ikke-finansielle data Rapporterings-processen er kendt af Business Units Konsolideringssystemet er som godt som gratis og der er ikke brug for implementeringstid maksimalt lidt oplæring i brug af systemet Bedre samarbejde mellem finansielle og ikke-finansielle medarbejdere In all fairness, ikke-finansielle medarbejdere er ikke særligt vant til at arbejde med koncepter som: bevis, kontroller, monitorering, SOPs etc. Finansielle medarbejdere er ikke så gode til at få fortalt historien bag ved tallene. Genbrug den finansielle værktøjskasse hos APMM betyder det: APMM Sustainability GAAP Upload sheets Explanation sheets Kvalitetssikrings-værktøjer på Business Unit og gruppe niveau EuroSox kontroloversigter som Revisionskomiteen modtager Group Accounting Slide no. 15 March 2013

16 Datatyper og krav til dokumentationen 2 datatyper: Dokumenterbare og sandsynliggjorte data Dokumenterbare data: Krav til dokumentationen: F.eks: CO2e, energi, FTEs kønsopdelt pr. ledelseslag, medarbejderomsætning, arbejdsulykker, exposure hours egne medarbejdere, dødsfald, donationer samt alle governance data ISA 500 Dokumentationen er fra eksterne kilder, kontrolleret effektivt, det er direkte beviser dvs ikke følgeslutninger, de er skriftlige og originale Sandsynliggjorte data: F.eks: Vand, affald, exposure hours kontraktansatte Group Accounting Slide no. 16 Juni 2013 I det omfang ISA 500 doku findes brug den. Data skal altid kunne forsvares, hvorfor antagelserne for de sandsynliggjorte data skal gøres skriftlige, og skal kunne efterprøves af revisor. Ofte er beviserne svagere end ved dokumenterbare data men dog beviser

17 COSO og EuroSox (ÅRL 107b, stk1 no 6) COSO er ofte reference-rammen for kontrolmiljøerne i virksomhederne især efter EuroSox blev indført i 2008 med virkning fra Anvendelsen kan sagtens udvides til også at omfatte den ikke-finansielle rapportering, som COSO's opdatering særligt fremhæver. Group Accounting Slide no. 17 Juni 2013

18 Krav og værktøjer til lokalt kontrolmiljø risikovurdering Group Accounting Slide no. 18 Juni 2013

19 Krav og værktøjer til lokalt kontrolmiljø kontrolmål og kontrolkataloger Baseret på risikovurderingen, specificeres hvike kontrolmål der skal opnås i kontrolmiljøet Det er altså ikke alt, der er lige vigtigt det er nøglekontrollerne, der skal identificeres Kontrolmålene skal gennemgåes og der skal etableres oversigter over de nøglekontroller, der er/vil bliv etableret i såkaldte kontrolkataloger Et kontrolkatalog vil typisk pr. kontrolmål indeholde informationer om kontrolaktivitet(erne), beviset for at kontrollen er udført, typificering af kontrollen (preventive, detective, automatisk, manuel etc), ansvarlige etc og en reference til SOPen, hvor der er flere detaljer Group Accounting Slide no. 19 Juni 2013

20 Krav og værktøjer til lokalt kontrolmiljø - SOPer Standard Operating Procedures (SOPs) skal udarbejdes, således at kontrollerne i kontrolkataloget er specificeret med egentlige instrukser. Man kan godt anvende eksisterende instrukser sålænge de indeholder selve kontrolaktivitetsbeskrivelsen og beviset for at kontrollen er udført med et tilfredsstillende udkomme. Kan også vedhæftes som et appendix Group Accounting Slide no. 20 Juni 2013

21 Krav og værktøjer til lokalt kontrolmiljø monitorering Alle finansielle som ikkefinansielle kontroller skal naturligvis monitoreres, for at sikre de faktisk udføres som ønsket. I kontrolkataloget skal det fremgå, baseret på monitoreringen, hvor moden kontrollen er. No Is the control currently performed as described in the catalogue? Yes Is the control only performed sometimes and not following a regular pattern? No Monitorering kan foregå som self-assessment i questionnaires men i så fald bør de underbygges med stikprøver af bevisernes faktiske tilstedeværelse Yes Is the control automated? Maturity 5 Slide no. 21 Maturity 1 No Maturity 2 No Is the control monitored and measured? Yes Group Accounting Yes Is there a formal SOP for the control? Yes Maturity 0 Juni 2013 Maturity 3 No Maturity 4

22 Krav til hovedkontoret Softwarevalg OBS: Excel er IKKE et konsolideringsværktøj. Det er no-go Hovedkontoret skal på toppen af de lokale kontrolmiljøer foretage santitycheck af data: FTEs (ÅRL 98a) i medarbejderomkostningsnoten kan genbruges. Hvis der er FTEs i en entitet, så bør der også mindst være elektricitet, vand og affald. Husk - ingen virksomheder ansætter folk til at glo ind i en væg. Der kan også være varme af en art men det afhænger af geografien Omkostningsdata til CO2-kilder (diesel, electricity, bunker etc.), bør sammenholdes med forbrugsmængder pr entitet pr. aktivietet Elektricitet og fjernvarme bør indhentes pr. land. Hvis landespecifickationen devierer kraftigt fra hjemlandet for entiteten, så få en forklaring Hvis entiteten ejer/leaser maskiner og/eller transportmidler, så bør der også være CO2-kilde forbrug. Sammenhold de finansielle og ikke-finansielle noter Entiteten/BUen skal forklare sig, hvis rapporteringen devierer ved disse simple logiske tests Sørg for at alle udarbejder dataudviklings-forklaringsark => Gruppen kan meget lettere og mere robust forklare udviklingen i data Group Accounting Slide no. 22 Juni 2013

23 Hvad skal det gøre godt for? Integreret rapportering er på trapperne, hvorfor den ikke-finansielle rapportering skal nå et meget bedre kvalitetsniveau se f.eks. Forslag fra IIRC, som har indgået en Memorandum of Understanding med IASB to develop integrated corporate reporting framework EU, som netop har foreslået en rapportering af information on policies, risks and results relating to environmental, social and employee-related aspects, human rights, anti-corruption and bribery and diversity on boards of directors i alle store virksomheder i EU (minder meget om 99a men kan blive mere vidtgående) CDSB i UK, hvor GHG fra i år skal indarbejdes i alle børsnoterede selskabers regnskaber Forskning viser, at den ikke-finansielle rapportering har en medbetydning for aktiekurserne men hvis investorerne skal kunne bruge de ikke-finansielle data umiddelbart, skal de være af en meget bedre og sammenligenlig kvalitet. Ellers er virksomheden overladt til rating-bureauernes luner... Group Accounting Slide no. 23 Juni 2013

24 Spørgsmål? Tak for opmærksomheden Contact: Modeller og metoder er beskrevet mere uddybende i min lærebog for revisorstuderende: Slide no. 24 Group Accounting Juni 2013

25 Fakta om den opdaterede COSO begrebsramme PwC juni 2013 Side 25

26 Implementering af den opdaterede begrebsramme Nuværende begrebsramme erstattes pr. 15. december 2014 Den oprindelige begrebsramme for Interne Kontroller Begrebsramme for Enterprise Risk Management Den opdaterede begrebsramme for Interne Kontroller (COSO I) (COSO II) (COSO I) enhver virksomhed der anvender COSO i sin eksterne rapportering bør klart oplyse i årsrapporten, om den oprindelige eller 2013-versionen er blevet anvendt PwC juni 2013 Side 26

27 Hvorfor er der ikke flere danske virksomheder (private og offentlige) der anvender COSO - hvad er jeres bud ud fra egne erfaringer? 1. For tung og teoretisk 2. Kender ikke COSO 3. Ved ikke hvordan vi skal komme igang/hvor vi skal starte 4. Kender ikke COSO, men har altid savnet en struktureret tilgang/værktøjskasse 5. Vi gør det allerede 6. Har ikke brug for en begrebsramme vi klarer os fint uden PwC 27% 20% 16% 14% 12% 12% juni 2013 Side 27

28 Fakta om den opdaterede COSO-begrebsramme Kodificering af principper De 5 komponenter udgør platformen for virksomhedens arbejde med interne kontroller Tilsammen skal de minimere risikoen for at Komponenter målene ikke opnås/overholdes Principper De 17 principper præsenterer fundamentale områder i virksomhedens samlede kontrolmiljø Principperne er gældende for alle mål (Operations, Reporting, Compliance) Points of focus 87 points of focus præsenterer initiativer og uddyber hvert princip. Ikke alle behøver eksistere for at princippet kan være gældende PwC Formålet med kodificeringen er at øge brugervenligheden og sikre klarhed i arbejdet med interne kontrol systemer juni 2013 Side 28

29 Fakta om den opdaterede COSO-begrebsramme De 17 principper Control Environment Risk Assessment! Monitoring Activities Demonstrates commitment to integrity and ethical values Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability Specifies relevant objectives Identifies and analyzes risk Assesses fraud risk Identifies and analyzes significant change 10. Selects and develops control activities 11. Selects and develops general controls over technology 12. Deploys through policies and procedures Control Activities Information & Communication ! 13. Uses relevant information 14. Communicates internally 15. Communicates externally 16. Conducts ongoing and/or separate evaluations 17. Evaluates and communicates deficiencies = stort PwC set uændret = præciseret og opdateret! = nyt juni 2013 Side 29

30 Princip 5 Gør alle medarbejdere ansvarlige for deres intern kontrol aktiviteter "Erfaringer fra alt for mange virksomhedslukninger og skandaler peger på manglende ejerskab af de kontroller, der mindsker risikoen for opfyldelsen af organisationens mål. Hjørnestenen af intern kontrol er en fælles vision og engagement til at gøre, hvad der er rigtigt på alle niveauer af organisationen samt med partnere i forsyningskæden David Landsittel, former Chairman of the COSO Board PwC juni 2013 Side 30

31 Princip 5 gør alle medarbejdere ansvarlige for deres intern kontrol aktiviteter Når tone at the top er klar, vil succes eller svagheder i den interne kontrol afhænge af, hvordan kontroller efterleves på dag-til-dag basis Håndhæve ansvarlighed gennem struktur, bemyndigelse og ansvar Etablering af præstation måling, incitamenter og belønning Vurdering af performance måling, incitamenter og belønning i relation til fortsat relevans Overvej overdrevent pres Vurdering af præstation og belønning eller korrektion PwC juni 2013 Side 31

32 Princip 9 - Organisationen identificerer og vurderer ændringer, der kan påvirke intern kontrol systemet Forventer du en større ændring i din virksomhed inden for de følgende områder over de næste 12 måneder? Base: 1,330 global CEO s Source: PwC, 16th Annual Global CEO Survey, January 2013 PwC juni 2013 Side 32

33 Princip 9 - Organisationen identificerer og vurderer ændringer, der kan påvirke intern kontrol systemet Virksomheden skal vurdere ændringer i: Det eksterne miljø Forretningsmodellen Ledelsen og organisationen og om virksomhedens kontroller er tilstrækkelige ift. ændringerne? PwC juni 2013 Side 33

34 Princip 13 - Anvendelse af relevant information - information er byggestenen for, at de interne kontroller kan understøtte organisationens mål Virksomheden skal især fokusere på: Identifikation af informationsbehov Sikrer indsamling af både interne og eksterne datakilder Transformerer relevant data til information Opretholder kvaliteten af informationen Hensyn til cost/benefit PwC juni 2013 Side 34

35 Praktiske erfaringer med implementering af COSO framework, herunder de seneste opdateringer Torben Thyregod & Thomas Berg Jacobsen, Energinet.dk PwC juni 2013 Side 35

36 Praktiske erfaringer med implementering af COSO Temadag den 13. juni 2013 Torben Thyregod og Thomas Berg Jakobsen Dok.nr /13 36

37 Hvem er vi? Torben Thyregod Thomas Berg Jakobsen Divisionsdirektør, CFO Regnskabschef Tlf Tlf Energinet.dk Energinet.dk Tonne Kjærsvej 65 Tonne Kjærsvej Fredericia 7000 Fredericia Dok.nr /13 37

38 Agenda Kort om Energinet.dk og baggrunden for øget fokus på risikostyring Implementering af COSO ERM med fokus på Reporting og Compliance Q&A Dok.nr /13 38

39 Kort om Energinet.dk Dok.nr /13 39

40 Fakta om Energinet.dk Selvstændig, offentlig virksomhed (SOV) under Klima-, Energi- og Bygningsministeriet Egen bestyrelse Etableret på baggrund af Lov om Energinet Danmark af 14. december 2004 Ca. 650 medarbejdere, hovedparten i Erritsø og Ballerup Ejer og driver energiens motorveje Det overordnede el- og naturgasnet Det regionale eltransmissionsnet i Danmark Dok.nr /13 40

41 Fakta om Energinet.dk (fortsat) Årlig omsætning på 9-10 mia. kr. Forbrugerne betaler til Energinet.dk s aktiviteter via tariffer på el- og gasregningen Energinet.dk s økonomi skal hvile i sig selv, må ikke skabe overskud Balancesum på 32 mia. kr. Forventet investeringssum i 2013 ca. 4 mia. kr. Forventet investeringssum frem til 2020 ca. 25 mia. kr Dok.nr /13 41

42 Energinet.dk s vigtigste kerneopgave Ansvarlig for den overordnede forsyningssikkerhed på el- og gasområdet på både kort og lang sigt Dvs. altid strøm i stikkontakterne og gas i hanerne. Vi styrer driften, planlægger og udbygger det danske el- og gassystem Effektiv indpasning af vedvarende energi. Vi sikrer velfungerende markeder for el og gas Konkurrence og gennemsigtige priser Dok.nr /13 42

43 Elsystemet udvikler sig, og Energinet.dk sikrer effektiv indpasning af vedvarede energi 1980 Central produktion Dok.nr / Lokal produktion pct. vind 43

44 Tre uger i november (skala 1:1) Ca. 30 pct. af klassisk elforbrug 2035 Ca. 80 pct. af klassisk elforbrug Dok.nr /13 Ca. 150 pct. af klassisk elforbrug 44

45 Baggrund og mål Dok.nr /13 De politiske ambitioner om omstilling til VE stiller andre krav til Energinet.dk s forretning og håndtering af forsyningssikkerheden Kraftig stigning i investerings- og aktivitetsniveauet Et mere kompliceret risikobillede, som er under løbende forandring Etablere et internt kontrolmiljø som støtter op omkring de forretningsmæssige forandringer og afledte risici Fælles tværgående og anerkendt referenceramme til risikostyring og interne kontroller 45

46 Implementering af COSO Praktiske erfaringer med fokus på Reporting and Compliance Dok.nr /13 46

47 Rejsen med interne kontroller COSO Opbakning fra ledelsen Hvad er det? Hvad er en intern kontrol Powered IC Kulturforandring Dok.nr /13 Nyt system = mere arbejde? 47

48 Hvor var vi, da rejsen begyndte? 2011 Ambitionsniveau Dok.nr /13 48

49 Implementering i 2012 af interne kontroller Begrebsrammen COSO ERM COSO s opdaterede begrebsramme for interne kontroller er en del af COSO ERM. Den indeholder: 17 principper 87 fokusområder Vi udvalgte som opstart 23 fokusområder i Risk Management Dok.nr /13 Regnskab og Rapportering 49

50 Fokusområder Udarbejdelse af intern kontrol politik, roller og ansvar Risikovurderinger Beskrivelse af interne kontroller for nøgleprocesser Aktivt brug af Powered IC Implementering af whistleblower-ordning Ledelsesovervågning Dashboards Dok.nr /13 50

51 Processer, der indeholder økonomiske kontroller Dok.nr /13 51

52 Risikovurdering pr. proces Proces navn: Proces ejer: Subproces ejer: Risikoappetit: Forklaring på risikoappetit: Toleranceniveau og forklaring: Hver risiko får en kontrol i Powered IC Dok.nr /13 52

53 Årshjul for interne kontroller 8. Løbende opfølgning på risici og kontroller: Direktionen orienteres Rapportering til internt Årsrapporten revisionsudvalg 5. Kommunikation: 8 4. Effektivisering af processer og ressourcer Mål fastsættelse: Opdateres årligt Styringsstruktur Løbende 7. Organisatorisk: effektivitet / test: Forretningsintern revision tester 3. Intern kontrol optimering: Styring af risici: Risikoanalyser 2 gange 6 årligt minimum 6. Forankring blandt medarbejdere: Performancemål Aktivitetsplan opdateres Dok.nr /13 53

54 Fokusområder Forankring Energierne Forvaltning IT-kontroller Ledelseskontroller Ikke finansiel rapportering Dok.nr /13 54

55 Hvad opnåede vi, og hvor langt er vi? Forbedret internt kontrolmiljø Risikotilgang til de interne kontroller Kulturændring Fælles tværgående referenceramme med risikostyring Øget effektivitet i rapporteringen Dok.nr /13 Etablering af processer og et årshjul Etablering af en ledelsesovervågning 55

56 Modenhedsniveau 2012 og ambitionsniveau Ambitionen i 2013 er, at alle højrisikoområder løftes til niveau 4 Overvåget Ambitionen i 2013 er, at øvrige områder fastholdes på niveau 3 - Standardiseret Dok.nr /13 56

57 Forankring og involvering Ledelsesmæssigt fokus Direktionsorientering og målfastsættelse Indgår i virksomhedsmål og påvirker performancebedømmelse for alle Udløser personlig performancemåling for udvalgte medarbejdere Involvering af medarbejdere og ledere Afholdelse af workshops Aktiv brug af overvågning Dok.nr /13 57

58 KPI-rapporter til økonomiledelse Dok.nr /13 58

59 Ressourceanvendelse Samlet svarende til 1 økonomimedarbejder (fuld tid) Sparring med Risk Management og intern revision Assistance fra PwC Deltagelse af medarbejdere og ledere på workshops m.v. Implementering af Powered IC (IT og superbrugere) Vigtigt, at arbejdet med interne kontroller og forankringen hele tiden holdes i gang Dok.nr /13 59

60 Hvad kunne vi have gjort anderledes? Ledelseskontroller tidligere i processen Bedre koordinering mellem Risk Management og arbejdet omkring de økonomiske interne kontroller Knap så lang opstart Vi skulle bare have kastet os ud i det! Mange af kontrollerne eksisterede allerede, men blev ikke dokumenteret Dok.nr /13 60

61 Spørgsmål Arkitekt: Hvidt & Mølgaard A/S, Sagsarkitekt Henrik Aabye

62 Hvordan kommer man i gang med implementering af COSO opdateringen? Hvad skal overvejes? Kristina Wiese Tranberg, PwC PwC juni 2013 Side 62

63 Hvordan kommer man i gang med rejsen? Drivers Gennemgang af ændrede COSO-retningslinjer Fremtidig tilstand Hvor er vi nu? ( as-is ) PwC ( to-be ) Begrænsninger Nuværende tilstand Hvor skal vi hen? juni 2013 Side 63

64 Vigtigt at bestyrelse og ledelse sætter ambitionsniveauet Hvad er ledelsens ambition og mål? Hvad er ledelsens risikoappetit? Mange virksomheder vil være best in class hvad betyder dette og i forhold til hvad? Virksomheder kan anvende en modenhedsskala til at sætte ambitionsniveauet PwC juni 2013 Side 64

65 Hvad er et effektivt internt kontrol system og hvad er best practice? Et effektivt system for intern kontrol reducerer risikoen, for at virksomheden ikke opnår sine mål, til et acceptabelt niveau Best in class skal ses ift. de virksomheder eller den branche man sammenligner sig med er at følge alle komponenter og principper i COSO begrebsrammen Det kræver, at: PwC de fem intern kontrol komponenter er tilstede og virker sammen på en integreret måde de underliggende principperne fungerer inden for hver komponent og på tværs af komponenterne juni 2013 Side 65

66 Fokus i opdateringen er især på, hvordan komponenterne arbejder sammen Hvert niveau i COSO begrebsrammen kan svigte PwC juni 2013 Side 66

67 Fokuser på medarbejdere og kommunikation Fokusér på medarbejdere og afdæk risici (princip 4) Tone at the top. Rollen som leder er lige så vigtig som kontrolmiljøet 1.Base: 860 public company directors Source: PwC Insights from the Boardroom 2012 PwC Kommunikation af den rigtige information til de rigtige mennesker (princip 14+15) 2.Base: 1,330 global CEO s Source: PwC16th Annual Global CEO Survey, January 2013 juni 2013 Side 67

68 Fokuser på teknologi Teknologi er drivkraften bag mange virksomheder og kan medføre risici og maskere problemer (princip 11) 1.Base: 860 public company directors Source: PwC Insights from the Boardroom 2012 PwC 2.Base: 1,330 global CEO s Source: PwC16th Annual Global CEO Survey, January 2013 juni 2013 Side 68

69 Hvad skal overvejes ifm. implementering af den opdaterede COSO-begrebsramme? Lær af erfaringerne Har der tidligere været kontrolsvigt? Kunne vi have gjort noget anderledes? Se på kontrollerne med opdaterede øjne I hvor høj grad opfylder vi den oprindelige COSO begrebsramme og de 17 principper i opdateringen? Udpeg en ansvarlig for overgangen til den opdaterede begrebsramme Hvad er bestyrelsens holdning? Hvordan engageres organisationen? PwC juni 2013 Side 69

70 Begrebsrammens praktiske tilgang sikrer, at virksomheden kommer hele vejen rundt Map relevante principper til eksisterende kontroller i hele virksomheden Fastslå, om der er overbevisende dokumentation for at nuværende kontroller: tilstrækkeligt dækker principperne er tilstede, fungerer eller kræver opfølgning skal styrkes, for at vise, at komponenter og principper er tilstede og fungerer Mapningen forventes samtidig at bidrage til at identificere og vurdere skjulte risici i virksomheden PwC juni 2013 Side 70

71 Eliminér de blinde vinkler Kom hele vejen rundt for at sikre afdækning af skjulte risici Risikovurdering skal ses på tværs af virksomheden (princip 7) PwC Fokuser på mål, relaterede risici og kontroller i alle dele af virksomheden Risici kan blive til problemer langt fra, hvor de udspringer Identificer også risici i relation til samarbejdspartnere Se virksomheden som en helhed og undgå dominoeffekt juni 2013 Side 71

72 Hvor mange virksomheder tror I har oplevet større ændringer de seneste to år, som påvirker kontroller? 1. Cirka 23 % 2. Cirka 98 % 3. Cirka 50 % 4. Cirka 67 % 5. Cirka 75 % 6. PwC Cirka 18 % 33% 39% 17% 10% 0% 0% juni 2013 Side 72

73 Etablering af en løbende proces for interne kontroller Hvordan tilpasser vores kontroller sig ændringer? Hvordan holdes hjulene i gang? Hvordan opnår vi mest mulig succes? Base: Over 800 global executive and risk managers Source: PwC, Risk in review Global risk in the transformation age, PwC ved at følge et Årshjul for Interne Kontroller juni 2013 Side 73

74 Spørgsmål? Succes skaber vi sammen Denne publikation er udarbejdet alene som en generel orientering om forhold, som måtte være af interesse, og gør det ikke ud for professionel rådgivning. Du bør ikke disponere på baggrund af de oplysninger, der er indeholdt i denne publikation, uden at indhente specifik professionel rådgivning. Vi afgiver ingen erklæringer eller garantier (udtrykkeligt eller underforstået) hvad angår nøjagtigheden og fuldstændigheden af de oplysninger, der findes i publikationen, og, i det omfang loven tillader, accepterer eller påtager PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, dets aktionærer, medarbejdere og repræsentanter sig ikke nogen forpligtelse, ansvar eller agtpågivenhedspligt for eventuelle konsekvenser, som følger af, at du eller andre handler eller undlader at handle i tillid til de oplysninger, der findes i publikationen, eller for eventuelle beslutninger truffet på baggrund af publikationen. PwC 2013 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. Alle rettigheder forbeholdes. I dette dokument refererer PwC til PricewaterhouseCoopers juni 2013 Side 74 Statsautoriseret Revisionspartnerselskab, som er et medlemsfirma af PricewaterhouseCoopers International Limited, hvor hver enkelt virksomhed er en særskilt juridisk enhed.