Sikkerhed & Revision 2015 (Stream C Revision) Revisionsbekendtgørelsen (udvidelsen af) intern revisions opgaver v./ specialkonsulent Pernille Dalby Nielsen Finanstilsynet
Dagsorden 1. Introduktion 2. Regulering af intern revision før 1. januar 2016 (kort introduktion til intern revision i den finansielle sektor) 3. Kilder til intern revisions opgaver 4. Behov for ændret regulering IMF inspektion hos Finanstilsynet god tilsynspraksis EU s Solvens II regler for forsikringsvirksomheder 5. Intern revision efter 1. januar 2016 6. Fremtidige justeringer af revisionsbekendtgørelsen 2
1. Introduktion Finanstilsynet: Kontoret for finansiel rapportering Regnskab Regnskabsbekendtgørelser Regnskabskontroller Regnskabsreaktioner ved/efter inspektioner Revision Revisionsbekendtgørelsen: supplerende krav til ekstern revisions rapportering via revisionsprotokollen, regulering af intern revision i finansielle virksomheder Spørgsmål/reaktioner vedrørende revisionsprotokollater Revisions-reaktioner efter inspektioner og regnskabskontroller Revisionsudvalg 3
2. Regulering af intern revision før 1. januar 2016 Krav om intern revision (125 ansatte eller kompleks): Ansætte revisionschef (teori og erfaringskrav) Uafhængighedskrav (forbud mod økonomiske interesser fast løn, referer til bestyrelsen) Ressourcer og kompetencer til at løse de opgaver der påtages Hvad skal intern revision lave? 4
2. Regulering af intern revision før 1. januar 2016 Intern revision skal: Kun revidere Afgive årsprotokollat til bestyrelsen Institutspecifikke opgaver: Realkreditinstitutter: Gennemgå lånesager Værdipapirhandlere (fondsmæglere og andre med værdipapirhandlertilladelse): Evaluere om værdipapirhandlersystemer, interne kontrolprocedurer og ordninger er passende og effektive, herunder gennemgå rapporteringen fra compliance- og risikostyringsfunktionerne Deltage i revision af væsentlige og risikofyldte områder i regnskabet, hvis bestyrelsen har valgt revisionschefen skal påtegne årsregnskabet Ansvar og arbejdsopgaver aftales med bestyrelsen i funktionsbeskrivelsen Konklusion: Bestyrelsen kan (næsten!) bestemme hvor meget der skal revideres af intern revision. Men Finanstilsynet reagerer, hvis der er for lidt intern revision. 5
6
4. Behov for ændret regulering (IMF) Internationale Monetære Fond (IMF) inspicerer finanstilsynene i de enkelte lande god tilsynspraksis : Basel Committee on Banking Supervision (Basel) International Association of Insurance Supervisors (IAIS) Core Principles for tilsyn (CP ere) Finanstilsynet fik besøg af IMF i 2014 7
4. Behov for ændret regulering (IMF s rapport) There is a gap in the relevant EO in not directing that internal auditors of banks must review risk management, compliance and control function; from review of audit books and discussions with bankers the assessors saw evidence that some such reviews are done (at least for the largest banks) but it is important that the EO be appropriately updated. Kilde: IMF Country Report No. 14/352 Internal audit functions are not required of all companies and, where mandatory, are not required to be engaged in internal control, if the BoD decides that the function should be involved in the audit of financial statements. Recommendations Clarify in regulations that internal audit functions must carry out a minimum of work auditing the internal controls Kilde: IMF Country Report No. 14/350 8
4. Behov for ændret regulering (IMF BCP) Principper for tilsyn Principle 26 Internal control and audit: The supervisor determines that banks have adequate internal control frameworks to establish and maintain a properly controlled operating environment for the conduct of their business taking into account their risk profile. These include clear arrangements for delegating authority and responsibility; separation of the functions that involve committing the bank, paying away its funds, and accounting for its assets and liabilities; reconciliation of these processes; safeguarding the bank s assets; and appropriate independent internal audit and compliance functions to test adherence to these controls as well as applicable laws and regulations. 9
4. Behov for ændret regulering (IMF BCP) Essential criteria The supervisor determines that banks have an independent, permanent and effective internal audit function charged with: (a) assessing whether existing policies, processes and internal controls (including risk management, compliance and corporate governance processes) are effective, appropriate and remain sufficient for the bank s business; and (b) ensuring that policies and processes are complied with. 10
4. Behov for ændret regulering (IMF BCP) The internal audit function in banks (juni 2012): Supervisory guidance for assessing the effectiveness of the internal audit function in banks Princip 1: An effective internal audit function provides independent assurance to the board og directors and senior management on the quality and effectiveness of a bank s internal control, risk management and governance systems and processes, thereby helping the board and senior management protect their organisation and its reputation. Princip 6 (scope): Every activity (including outsourced activities) and every entity of the bank should fall within the overall scope of the internal audit function. 11
4. Behov for ændret regulering (IMF ICP) Principper for tilsyn 8.6 The supervisor requires the insurer to have an effective internal audit function capable of providing the Board with independent assurance in respect of the insurers governance, including its risk management and internal controls. 12
4. Behov for ændret regulering (IMF ICP) 8.6.2 The internal audit function should provide independent assurance to the Board though general and specific audits, reviews, testing and other technicques in respect of matters such as: the overall means by which the insurer preserves its assets and those of policyholders, and seeks to prevent fraud, misappropriation or misapplication of such assets; the reliability, integrity and completness of accounting, financial reporting and mangement information and IT systems; the design and operational effectiveness of the insurer s individual controls in respect of the above matters, as well as of the totality of such controls (the intern controls system); other matters as requested by the Board, Senior Management or the Supervisor; and other matters which the internal audit function determines should be review to fulfil its mission, in accordance with its charter, terms of reference or other documents setting out its authority and responsibilities. 13
4. Behov for ændret regulering (Solvens II) Solvens II forordning (2015/35): EU forordning for forsikringsvirksomheder Intern auditfunktion fra 1. januar 2016 Artikel 271, stk. 3, litra a-b: taking into account all activities and the complete system of governance (b) take a risk-based approach in deciding its priorities 14
5. Intern revision efter 1. januar 2016 IMF, Basel, IAIS og Solvens II Revisionsbekendtgørelsen? Processer Systemer Forretningsgange Interne kontroller Ledelsesbekendtgørelsen (om ledelse og styring) Er og fungerer betryggende (revisionsbekendtgørelsen) Slutproduktet/konklusionen: 12-konklusion fra intern revision Operationelle risici - Operationel revision Finansiel revision 15
5. Intern revision efter 1. januar 2016 Ekstern revision (revision af finansiel rapportering) Intern revision (revision af processer) 16
5. Intern revision efter 1. januar 2016 2 Operationel revision: En revision af virksomhedens processer og interne kontrolsystem med det formål at teste og rapportere, om de er tilrettelagt og fungerer på betryggende vis 22, stk. 1 Den af intern revision udførte revision skal omfatte virksomhedens administrative og regnskabsmæssige praksis på alle væsentlige og risikofyldte områder i virksomheden, herunder forretningsgange og interne kontrolprocedurer, jf. bilag 4 Bilag 4 afsnit 2.2 Operationel revision: 2 definitionen gentages Omfatter også processer vedr. finansiel rapportering Fokus på kvalitet, pålidelighed, dokumentation og kontroller inkl. risikostyrings- og compliancefunktion Pålidelighed af rapportering Overholdelse af love og regler Sikring af værdier i virksomheden Henviser til bilag 2 pkt. 10-35 ( 12 og ledelsesbekendtgørelsen) 17
5. Intern revision efter 1. januar 2016 28, stk. 4: 12 finder tilsvarende anvendelse på den interne revisions protokollat. 12: konklusion om, hvorvidt virksomhedens administrative og regnskabsmæssige praksis på væsentlige områder, herunder forretningsgange og interne kontrolprocedurer, er tilrettelagt og fungerer på betryggende vis 1) virksomhedens samlede system-, data- og driftssikkerhed er og fungerer betryggende 2) er blevet bekendt med forhold der er i strid med kravene i lovgivningen herunder 71 i lov om finansiel virksomhed og den i medfør heraf udstedte bekendtgørelse om ledelse og styring 18
5. Intern revision efter 1. januar 2016 71: effektive former for virksomhedsstyring, Uddrag af lovbemærkningerne: Effektive former for virksomhedsstyring indebærer en klar organisatorisk struktur med en veldefineret, gennemskuelig og konsekvent ansvarsfordeling og effektive procedurer til at identificere, forvalte, overvåge og rapportere om de risici, virksomheder er eller kan blive udsat for, samt hensigtsmæssige interne kontrolmekanismer, herunder en god administrativ og regnskabsmæssig praksis og fyldestgørende interne kontrolprocedurer. Tidligere 71-vejledninger, som nu er blevet til ledelsesbekendtgørelser 19
5. Intern revision efter 1. januar 2016 Revisionsbekendtgørelsen bilag 2 punkt 10-36 Arbejdshandlinger til ekstern revisions afgivelse af 12-konklusionen (forretningsgange og interne kontrolprocedurer er og fungerer betryggende) kobles sammen med kravene i ledelsesbekendtgørelserne: 1) Udgangspunkt i forretningsmodellen 2) Identificere væsentlige og risikofyldte områder 3) Forretningsmodel, politikker, retningslinjer, forretningsgange og interne kontroller Gennemgås Indre sammenhæng Forsvarlige Efterleves i praksis 4) Væsentlige mangler/svagheder rapporteres til bestyrelsen 20
5. Intern revision efter 1. januar 2016 Kreditinstitutter og fondsmægler Kreditområdet Markedsrisikoområdet Operationelle risici Forsikringsafdækning af risici Likviditetsområdet Øvrige risikoområder Forsikring Forsikringsområdet Investeringsområdet Operationelle risici Beredskabsplaner Investeringsforeninger og forvaltning Operationelle risici Forsikringsmæssig afdækning af risici Interessekonflikter System-, data- og driftssikkerhed 21
6. Fremtidige justeringer af revisionsbekendtgørelsen Undgå detailregulering (ufleksibelt) Plads til fortolkninger (sund fornuft) Plads til forbedringer: den røde tråd kunne være tydeligere ( 2 og 12) Ekstern revision afgiver 12 med udgangspunkt i revision af årsrapporten Intern revision afgiver 12 med udgangspunkt i revision af processer Overvejelser pågår med Finanstilsynets Rådgivende Revisionsudvalg (FSR, IIA): Ekstern revision afgiver 12 med udgangspunkt i revision af årsrapporten (uændret) Intern revision afgiver ny konklusion med fokus på revision af processer (ny) Definitioner i 2 fjernes - handlinger beskrives frem for operationel / finansiel revisionsbegreber Beskrivelsen af intern revisions arbejde i bilag 4 forbedres Ingen realitetsændringer tiltænkt, blot tydeliggørelse og rød tråd sikring! Inspirationskilde: Anbefalinger fra UK Effective Internal Audit in the Financial Services Sector 22
Spørgsmål 23