Operationel og finansiel revision i den finansielle sektor Sikkerhed og Revision, Kim Stormly Hansen
Agenda Baggrund Definitioner Konklusion Væsentlighed og omfang System-, data- og driftssikkerhed 3rd line ctr. 2nd line Arbejde i det rådgivende revisionsudvalg (2016) 2
Baggrund I høringsbrev til den nye revisionsbekendtgørelse skriver Tilsynet: Baggrunden for forslaget er, at Den Internationale Monetære Fond (IMF) ved sin undersøgelse af Finanstilsynet i 2014 konstaterede, at revisionsbekendtgørelsen ikke indeholder et eksplicit krav om, at intern revision skal udføre operationel revision af alle risikofyldte og væsentlige områder under tilsyn Ordlyden af IMF s observation og anbefaling er: (Observation) There is a gap in the relevant executive order (EO) in not directing that internal auditors of banks must review risk management, compliance and control functions. From their review of audit books and discussions with bankers, the assessors saw evidence, that some such reviews are done (at least for larger banks), but it is important that the EO be appropriately updated. (Anbefaling) Modify regulations to direct internal auditors to review risk management, compliance and control functions. 3
Definitioner - revisionsbekendtgørelsen Ny 2 definition af operationel og finansiel revision: ( 2, nr. 2): Operationel revision: En vurdering af virksomhedens processer og interne kontrolsystemer med det formål at teste og rapportere, om de er tilrettelagt og fungerer på betryggende vis Tilføjelse til 22, om den interne revisions arbejde: ( 22, stk. 1): Den af intern revision udførte revision skal omfatte virksomhedens administrative og regnskabsmæssige praksis på alle væsentlige og risikofyldte områder i virksomheden, herunder forretningsgange og interne kontrolprocedurer, jf. bilag 4 4
Definitioner - IIA The Institute of Internal Auditor (IIA) defines Operational Audit as a systematic process of evaluating an organization's effectiveness, efficiency and economy of operations under management's control and reporting to appropriate persons the results of the evaluation along with recommendations for improvement. Objectives - To appraise the effectiveness and efficiency of a division, activity, or operation of the entity in meeting organizational goals. - To understand the responsibilities and risks faced by an organization. - To identify, with management participation, opportunities for improving control. - To provide senior management of the organization with a detailed understanding of the Operations.
Operationel Finansiel 6
Finansiel Operationel 7
Vugge Grav Revisionsopgaven 71-bekg. Operationel revision Finansiel revision Bogføring Bistå bestyrelsen 8
Konklusion Som en konsekvens af 22 skal intern revision afgive en konklusion i protokollatet vedrørende årsregnskabet. Konklusionen skal være enslydende med ekstern revisions konklusion, jf. 12: ( 12): Den eksterne revision skal i protokollatet vedrørende årsregnskabet afgive konklusion om, hvorvidt virksomhedens administrative og regnskabsmæssige praksis på væsentlige områder, herunder forretningsgange og interne kontrolprocedurer, er tilrettelagt og fungerer på betryggende vis. I denne forbindelse skal den eksterne revisor endvidere konkludere, hvorvidt 1) Virksomhedens samlede system-, data- og driftssikkerhed er og fungerer betryggende, og 2) Den eksterne revision er blevet bekendt med forhold, der er i strid med kravene i lovgivningen vedrørende finansielle virksomheder, investeringsforeninger, SIKAV er og værdipapirfonde, herunder 71 i lov om finansiel virksomhed og den i medfør heraf udstedte bekendtgørelse om ledelse og styring af instituttet og 51-53 i lov om investeringsforeninger mv. og den i medfør heraf udstedte bekendtgørelse om ledelse og styring. 9
Væsentligheds-/Kritikalitetskriterier Påtegning / Ikke påtegning System-, data- og driftssikkerhed Outsourcing Finansiel revision / Operationel revision ISA 3402 Intern revisions væsentligste opgave? IIA CIIA (UK Code) BIS / BASEL 3rd line irt. 2nd line 10
Væsentlighed og omfang Bilag 2 - Beskrivelse af revisors arbejdshandlinger Som hovedregel er alle konklusioner positivt formuleret, hvilket indebærer krav om høj grad af sikkerhed. Der skal anvendes ISA begrebsramme for erklæringsopgaver med sikkerhed. Hvad der konkret skal udføres afgøres under hensyntagen til god revisorskik og dermed bl.a. væsentlighed og risiko på det pågældende område. Hvor der er krav om intern revision, vil nedenstående handlinger naturligt kunne udføres af intern revision og forventeligt vil omfanget af handlingerne være relativt omfattende.
Væsentlighed og omfang Jf. bekg. om ledelse og styring ( 71-bekendtgørelsen) anses følgende områder for væsentlige: Kreditområdet Markedsrisikoområdet Operationelle risici Forsikringsmæssig afdækning Likviditetsområdet (Forsikringsrisici) Investeringsområdet IT-området Regnskabsprocessen ( 15) 12
Påvirkning af intern revision 2 Lille revisionsafdeling 3 Påtegning Ej påtegning 1 Stor revisionsafdeling 4 13
Væsentligheds-/Kritikalitetskriterier Påtegning / Ikke påtegning System-, data- og driftssikkerhed Outsourcing Finansiel revision / Operationel revision ISA 3402 Intern revisions væsentligste opgave? IIA CIIA (UK Code) BIS / BASEL 3rd line irt. 2nd line 14
Outsourcing Bilag 4 Intern revision må gerne benytte eksperter eller outsource den operationelle revision under iagttagelse af god revisorskik, jf. ISA 620 og ISA 220. Det skal bemærkes, at intern revision bl.a. skal være i stand til at vurdere ekspertens kompetencer og objektivitet, at intern revision skal opnå en tilstrækkelig forståelse af ekspertens ekspertiseområde og at intern revisions ansvar for den samlede konklusion ikke kan mindskes ved brug af eksperter eller outsourcing. Det er fortsat intern revision, der skal afgive konklusionen efter 12, og kunne stå inde for ansvaret for konklusionen og derfor skal have tilstrækkelige ressourcer og kompetencer til at vurdere ekspertens revision, jf. 24, stk. 2.
Hvad er hhv. finansiel og operationel revision irt. itanvendelsen? Generelle it-kontroller Applikationskontroller Generelle it-kontroller Vejl. 14 (System-, data- og driftsikkerhed) ISAE 3402 SOC2 Security Availability Confidentiality Privacy Processing Integrity 16
Væsentligheds-/Kritikalitetskriterier Påtegning / Ikke påtegning System-, data- og driftssikkerhed Outsourcing Finansiel revision / Operationel revision ISA 3402 Intern revisions væsentligste opgave? IIA BIS / BASEL CIIA (UK Code) 3rd line irt. 2nd line 17
Intern revision opgaver Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. (IIA) 18
Intern revision opgaver An effective internal audit function provides independent assurance to the board of directors and senior management on the quality and effectiveness of a bank s internal control, risk management and governance systems and processes, thereby helping the board and senior management protect their organisation and its reputation. (BASEL) The primary role of Internal Audit should be to help the Board and Executive Management to protect the assets, reputation and sustainability of the organization. It does this by assessing whether all significant risks are identified and appropriately reported by management and the Risk function to the Board and Executive Management; assessing whether they are adequately controlled; and by challenging Executive Management to improve the effectiveness of governance, risk management and internal controls (UK Code) 19
20
21
Væsentligheds-/Kritikalitetskriterier Påtegning / Ikke påtegning System-, data- og driftssikkerhed Outsourcing Finansiel revision / Operationel revision ISA 3402 Intern revisions væsentligste opgave? IIA BIS / BASEL CIIA (UK Code) 3rd line irt. 2nd line 22
3rd line ctr. 2nd line 23
Ledelse ERM - Company Wide Framework CRO 1.st 2.nd 3.rd Risiko -> Risiko -> Risiko -> Forretningsenhed Forretningsenhed Itsikkerhed Risiko -> Risiko -> Forretningsenhed Controller Intern revision Risiko -> Compliance Risiko -> Risiko -> Risiko 24
Assume a leadership role in coordinating the second and third lines of defense: The IIA strongly advocates educating stakeholders on the three lines of defense model management controls, risk management, and internal auditing for dealing with risk. The IIA s study found confusion specifically over just where those lines are drawn, which could create an opportunity for expectation gaps to grow. In the IIA s Pulse survey, 64 percent of respondents said those lines are not clearly, somewhat, or moderately defined. The CAE should assume a leadership role in getting everyone back in their lanes, ensuring that there is no duplication or gaps in coverage, Chambers said. 25
Virkefelt - Compliance.. risikoen for virksomhedens manglende overholdelse af den for virksomheden gældende lovgivning, markedsstandarder eller interne regelsæt The Compliance Function is concerned with regulatory risk only, and the scope therefore of operations is more restricted than that of the Internal Audit Function, who are concerned with all risks to the organisation. And of course Compliance must be audited to make sure that we are doing what we have said we will do. So do try not to annoy them! 26
27
28
I revisionsbekendtgørelsens 45 stk. 2 står: Den interne revision skal som en del af udførelsen af de i stk. 1 nævnte arbejdshandlinger gennemgå rapporteringen til bestyrelsen fra compliancefunktionen.. Den interne revision skal som minimum i revisionsprotokollatet vedrørende årsrapporten rapportere om de bemærkninger om revisionsforhold, som gennemgangen giver anledning til, med angivelse af, om der er truffet passende foranstaltninger i tilfælde af eventuelle mangler.. Vær opmærksom på, at denne paragraf specifikt går på værdipapirhandlere. Betyder det, at det så kun er de aktiviteter, som vedrører dette område, der er omfattet? 29
I revisionsbekendtgørelsen bilag 2 pkt. 14: Revisor skal vurdere, om risikostyringsfunktionen og compliancefunktionen har de nødvendige ressourcer til at udføre opgaverne forsvarligt. Revisor skal endvidere vurdere, om rapporteringen fra disse to funktioner er tilfredsstillende, herunder om de to funktioner er adskilt fra hinanden og fra de øvrige funktioner i virksomheden (hvis dette kræves i lovgivningen for den pågældende virksomhed). Såfremt revisor bliver bekendt med svagheder i organisationen eller driften af risikostyrings- eller compliancefunktionen, skal dette omtales i revisionsprotokollen, idet en svaghed på dette område kan have omfattende konsekvenser for virksomheden på længere sigt. Denne henviser til revisionsbekendtgørelsens 12, som omhandler den administrative og regnskabsmæssig praksis. Betyder det, at vi skal se på alt det arbejde, som compliance beskæftiger sig med? 30
I revisionsbekendtgørelsens bilag 4, pkt. 2.2.2: Intern revision skal, ud fra væsentlighed og risiko, gennemgå og vurdere, om de i virksomheden etablerede processer til håndtering af compliancefunktionens aktiviteter er betryggende. Denne henviser til Intern revisions opgaver og ansvar. Her tales om virksomhedens praksis på alle væsentlige og risikofyldte områder i virksomheden, herunder forretningsgange og interne kontrolprocedurer. Er det det samme som administrative og regnskabsmæssige procedurer? 31
2.2.2 Revision af compliancefunktionen Compliancefunktionen er ansvarlig for, at assistere ledelsen i effektivt at håndtere virksomhedens compliance risici. Hvis en selvstændig compliancefunktion ikke er etableret, er den daglige ledelse ansvarlig for at håndtere eventuelle compliance risici og udpege en anden enhed, der er ansvarlig for at udføre den fornødne kontrol. Intern revision skal, ud fra væsentlighed og risiko, gennemgå og vurdere, om de i virksomheden etablerede processer til håndtering af compliancefunktionens aktiviteter er betryggende. Intern revision kan ikke varetage compliancefunktionen eller dele heraf, da dette er uforeneligt med revisionsopgaven (selvrevision). 32
The role of internal auditing in ERM Internal auditing is an independent, objective assurance and consulting activity. Its core role with regard to ERM is to provide objective assurance to the board on the effectiveness of risk management. (IIA) 33
2.2.1 Revision af risikostyring Finansielle virksomheder er eksponeret overfor forskellige risikotyper. De vigtigste risikotyper er kreditrisiko, markedsrisiko, likviditetsrisiko, operationel risiko og forretningsrisiko. Revisionen omfatter den etablerede risikostyring indenfor de enkelte risikotyper, herunder de fastsatte limits og den etablerede rapporteringsstruktur. Intern revision skal vurdere om de etablerede politikker ligger inde for rammerne af lov om finansiel virksomhed med tilhørende bekendtgørelser og vejledninger og om de fastsatte grænser ikke er urimelige efter virksomhedens forhold. Intern revision kan ikke påtage sig overvågningsopgaver, således at intern revision bliver en del af det interne kontrolapparat. 34
Eksempelvis er udviklingen af risikostyringsstrategier til bestyrelsens godkendelse samt fastsættelse af risikoniveauet typiske ledelsesopgaver, som derfor ikke kan udføres af den interne revision. Intern revision kan ikke påtage sig udviklings- og kontrolopgaver i relation til de enkelte risikotyper, idet den interne revision vil kunne komme i en situation, hvor den skal erklære sig om opgaver, som den selv har medvirket ved udarbejdelsen af. Der er som udgangspunkt ikke noget til hinder for, at intern revision optræder som den uafhængige enhed i relation til opgaven omtalt i punkt 22 i bilag 1 til bekendtgørelse om opgørelse af risikoeksponeringer, kapitalgrundlag og solvensbehov, hvis den interne revision er uafhængig, og det ikke er i konflikt med øvrige love og regler. 35
Arbejde i Finanstilsynets rådgivende revisionsudvalg 2 Definitioner 12 ( 11) Konklusion på administrativ og regnskabsmæssig praksis 27 Revision af alle væsentlige og risikofyldte områder Risikostyring og interne kontrolsystem Regnskabsprocessen Anvendelse af 2nd lines arbejde Procesgennemgang med fokus på kvalitet 36