Cand.merc.aud, Kandidatafhandling Erhvervsøkonomisk Institut

Cand.merc.aud, Kandidatafhandling Erhvervsøkonomisk Institut Forfatter Vejleder Karsten Dahl Henrik Lønne REVISION AF PENGEINSTITUTTER, PRÆ OG POST BEKENDTGØRELSE OM KAPITALDÆKNING - med fokus på intern revisions rolle Handelshøjskolen, Aarhus Universitet 2007

Executive Summary The Capital Requirements Directive - the revolution of the banking industry was implemented into Danish law by means of the executive order on capital adequacy No. 10113 of 22 December 2006 (CRD) and came into force on 1 January 2007. The CRD introduces new methods for calculating and specifying the adequate capital and solvency requirements of a banking institution. The CRD includes several options, but basically the requirements have become more specific for the individual banking institution, and the banking institution must in future calculate credit risks, market risks and operational risks specifically in accordance with the banking institution s assets, obligations and operations. The CRD is aimed at motivating banking institutions to focus on risk management as a process, since the opportunity of applying own internal risk management models for calculating the individual solvency requirement depends to some extent on internal procedures for risk measurement and risk management. The CRD will enhance transparency and comparability in the financial sector nationally and internationally. What is and what will be the role of internal audit in relation to the CRD, and will the CRD give rise to further professionalisation of internal audit, and will the CRD change the tasks of internal audit? The aim of this study is to discuss the above matters. Furthermore, the aim is to assess whether the CRD will give rise to a re-assessment of the role of internal audit in the banking sector and in The Danish Model. It is concluded that several management decisions may and will significantly influence the role of internal audit in relation to the CRD. By applying agency theory to the subject, it is concluded that internal audit may have a very central role in connection with neutralisation/minimisation of asymmetrical information, and that internal audit may become decisive for the optimisation of internal governance. It is concluded that the CRD, including ICAAP (Internal Capital Adequacy Assessment Process), the duty to supply information and internal governance, offers the op-

portunities of further professionalisation of internal audit, and further professionalisation may be required to some extent to face future challenges. It is also concluded that it will be necessary to create a common framework, e.g. through an IIA framework and some guidelines for auditing the CRD, if internal audit is to fulfil the potential of a professionalisation in relation to the CRD. It is argued that the current principle of providing both an internal and external auditor s report to certify the financial statement does not add informational value to the user of the financial statement, and it is therefore concluded that The Danish Model should be reassessed in that respect. It is concluded that external auditors have, and still should have, the ultimate responsibility for auditing the financial statement, but it is also concluded that internal audit should have the ultimate responsibility for auditing the CRD, and that it would be appropriate that internal audit continues to audit the financial statements in relation to highly banking specific areas. It is concluded that the process will be fostered with respect to further professionalisation of internal audit, and the quality of internal audit s work in relation to the CRD will be improved, if internal audit s auditor s report will be to certify CRD information, and not as it is for the time being to certify the financial statement. The conclusion of the study indicates that the CRD should give rise to a re-assessment of the role of internal audit in the Danish banking sector. But how, when and who will initiate this process? In my opinion, there is an inherent risk that internal auditors at the banking institutions will regard the CRD as: another set of rules in a series of many a set of rules that are difficult to comprehend uncertain in relation to the expected role of internal auditors. The above may result in same procedure as last year, and this may delay the process of further professionalisation of internal audit in the banking sector. It is recommended that IIA starts the debate and perhaps appoints a committee to analyse the role of internal audit in relation to the CRD. In addition, it is recommended that the

Danish Financial Supervisory Authority (DFSA) is involved in the debate so that the DFSA and the IIA coordinate their expectations of the role of internal audit in relation to the CRD. It is assessed that there is a basis and a need - for creating a framework and guidelines for the role of internal audit in the CRD, to create a common stand in relation to the role of internal audit in the CRD. Guidelines for the work of internal audit in relation to pillars I, II and III, ICAAP, the duty to supply information and internal governance may be very valuable and an important element in creating a common stand and bringing internal audit one step further with respect to the CRD. On 26 November 2007, several banking institutions announced that the DFSA had approved their use of IRB-A. Hence, 2008 will be the first year after the revolution of the banking sector, and it will be interesting to follow the development of the role of internal audit in relation to the CRD. It will also be interesting to follow the DFSA s regulations and supervision of the area, and to follow which changes, if any, will be made to the Executive Order on Auditing and the DFSA s view of internal audit.

Indholdsfortegnelse 1 INDLEDNING... 1 1.1 Motivation... 1 1.2 Problemstilling... 2 1.3 Afgrænsning... 2 1.4 Metodevalg og afhandlingens struktur... 3 2 PRÆ CRD... 5 2.1 Pengeinstitutsektoren anno 2007... 5 2.1.1 Pengeinstitutters unikke rolle... 5 2.1.2 Finansiel stabilitet... 6 2.2 Intern revision i pengeinstitutsektoren anno 2007... 8 2.2.1 Etablering af en intern revision... 8 2.2.2 Definition og regulering af intern revision... 9 2.2.3 Intern revisions interessenter... 9 2.2.4 Intern revisions kommunikation... 12 2.3 Sammenfatning... 18 3 INTERN REVISIONS ROLLE I CRD... 20 3.1 CRD på et overordnet niveau... 20 3.1.1 Introduktion til CRD... 20 3.1.2 Risikostyring i forhold til CRD... 24 3.1.3 Ledelsesmæssige valg præger CRD og intern revisions rolle... 26 3.2 Intern revisions rolle i ICAAP... 27 3.2.1 Afhængighed af ledelsesmæssige valg... 27 3.2.2 Intern revisions specifikke rolle i ICAAP... 28 3.2.3 En agentteoretisk behandling af ICAAP... 30 3.2.4 Erklæringsform... 35 3.3 Intern revisions rolle i oplysningsforpligtelserne... 36

3.3.1 Afhængighed af ledelsesmæssige valg... 36 3.3.2 Intern revisions specifikke rolle i oplysningsforpligtelserne... 36 3.3.3 Erklæringsform... 39 3.4 Sammenfatning... 40 4 POST CRD... 42 4.1 Professionalisering af intern revision... 42 4.1.1 Intern revisions roller i en yderligere professionalisering... 44 4.1.2 Interessenternes roller i en yderligere professionalisering af intern revision... 46 4.1.3 IIAs rolle i en yderligere professionalisering af intern revision... 49 4.1.4 Nye muligheder for professionaliseringen via CRD?... 50 4.1.5 Kan intern revision indfri potentialet i en evt. professionalisering?... 50 4.2 Intern revisions fremtidige rolle... 52 4.2.1 Den danske model - er det tid til en revurdering?... 52 4.2.2 Skal fokus i intern revisions arbejdsopgaver ændres?... 53 4.2.3 Skal intern revision have ansvaret for revisionen af CRD?... 54 4.2.4 Skal intern revisions kommunikation ændres?... 56 4.2.5 Skal arbejdsdeling mellem intern revision og ekstern revision ændres?... 57 4.3 Sammenfatning... 58 5 AFSLUTNING... 60 5.1 Konklusion... 60 5.2 Perspektivering... 63 6 LITTERATUR... 65 FIGUROVERSIGT APPENDIKS BILAG

Forkortelsesliste BIS Bank for international settlements CEBS Committee of European Banking Supervisors COSO Committee of Sponsoring Organizations of the Treadway Commission CRD Bekendtgørelse om kapitaldækning, nr. 10113 af 22. december 2006 samt bilag 1-24 Erkl.bek. Erklæringsbekendtgørelsen Erkl.vejl. Erklæringsvejledningen ERM Enterprise-wide Risk Management FiL Bekendtgørelse af lov om finansiel virksomhed, nr. 1045 af 22. august 2007 FSA Financial Services Authority (svarende til Finanstilsynet i UK) FSR Foreningen af statsautoriserede revisorer ICAAP The internal capital adequacy assessment process IIA The Institute of Internal Auditors (Danmark) IIA.Int. The Institute of Internal Auditors (International) IIA-S International Standards for the Professional Practice of Internal Auditing (IIA standarder) IRB-A Interne Ratingbaseret metode Advanced IRB-F Interne Ratingbaseret metode Foundation IPPF International Professional Practices Framework (IIA) Rev.bek. Bekendtgørelse om revisionens gennemførelse i finansielle virksomheder m.v. samt finansielle koncerner, nr. 1224 af 22. oktober 2007 RL Lov om Statsautoriserede og Registrerede Revisorer RS Revisionsstandarder SREP The supervisory review and evaluation process

1 Indledning 1.1 Motivation EU's kapitalkravsdirektiv Capital Requirements Directive (som er baseret på Basel II 1 ) regulerer pengeinstitutternes kapital- og solvensbehov, og er implementeret i dansk lov ved bekendtgørelse om kapitaldækning nr. 10113 af 22. december 2006 samt bilag 1-24 (herefter CRD ). Den 1. januar 2007 trådte CRD i kraft. CRD betegnes som en revolution i pengeinstitutsektoren, og CRD introducerer nye metoder til opgørelsen og fastsættelsen af instituttets tilstrækkelige kapital- og solvensbehov. CRD indeholder en række valgmuligheder 2, idet instituttet fremadrettet kan måle kreditrisici, markedsrisici og operationelle risici specifikt i henhold til instituttets aktiver, forpligtelser og drift. CRD skal motivere institutterne til at have fokus på risikostyring som en proces, idet muligheden for at anvende egne interne risikostyringsmodeller til opgørelse af det individuelle solvensbehov i et vist omfang afhænger af de interne procedurer til risikomåling og risikostyringen i det enkelte institut. CRD medfører således nye spilleregler, hvor ledelsens valgmuligheder i forhold til opgørelse og afdækning af generelle og institutspecifikke risici, vil få væsentlig indflydelse på opgørelsen af det individuelle solvensbehov. Valgmulighederne samt ønsket om gennemsigtighed og sammenlignelighed i sektoren på national og internationalt plan 3 medfører endvidere, at ledelsens ansvar er blevet præciseret, og at instituttet pålægges at offentliggøre et omfattende sæt af oplysninger i relation til risikomåling og risikostyring. Men hvilke rolle har eller får intern revision i CRD? Denne afhandling vil tage dette overordnede spørgsmål op til debat. 1 - The Basel II Framework describes a more comprehensive measure and minimum standard for capital adequacy that national supervisory authorities are now working to implement through domestic rulemaking and adoption procedures. http://www.bis.org 2 - CRD bilag 1 pkt. 20. 3 - Danmarks Nationalbank Kvartalsoversigt 1. kvartal 2005 side 118. For at sikre et velfungerende indre marked med ensartede konkurrencevilkår for kreditinstitutter på tværs af grænser er det vigtigt, at direktivet implementeres ensartet. - 1 -

Den første revisionsbekendtgørelse for banker og sparekasser, hvori intern revision er nævnt, er fra 1974 4. I 1989 kom en omfattende opdatering af revisionsbekendtgørelsen, som følge af brancheglidning 5 og bankkrisen, herunder Kronebank-sagen, 6. Juli Banken mfl. Siden 1989 er revisionsbekendtgørelse til stadighed blevet mere detaljeret, og denne udvikling afspejler tilsynsmyndighedens regulering af de finansielle virksomheder. Seneste bekendtgørelse om revisionens gennemførelse i finansielle virksomheder m.v. samt finansielle koncerner er af 22. oktober 2007 (herefter Rev.bek. ). Rev.bek. definerer, hvornår der skal være en intern revision, og Rev.bek. pålægger intern revision en række oplysnings- og erklæringskrav. 1.2 Problemstilling Historisk set har intern revision i den finansielle sektor i Danmark primært udført dels finansiel og dels operationel revision. Intern revision har traditionelt påtegnet årsrapporten, hvorfor finansiel revision har været den primære revisionsopgave i de fleste interne revisioner i den finansielle sektor i Danmark 6. Men vil CRD give anledning til at ændre de arbejdsopgaver, som intern revision varetager, og er tiden inde til en yderligere professionalisering af intern revision? Det er min holdning, at Finanstilsynet, The Institute of Internal Auditors, Denmark (herefter IIA), ledelsen i pengeinstitutterne og den interne revision bl.a. bør stille sig dette spørgsmål. 1.3 Afgrænsning Det forudsættes at en række finansielle begreber 7 og intern revision som begreb er velkendt, og afhandlingen indeholder ikke en beskrivelse af intern revision i detaljer. For 4 - Bekendtgørelse nr. 585 af 29. november 1974. 5 - I juni 1987 afgav et udvalg under Industriministeriet betænkning nr. 1108 Brancheglidning i den finansielle sektor og heraf fremgår Samfundsinteresser vil antagelig fortsat kræve, at den enkelte finansielle institution følges på nært hold, men det er værd at overveje, om det er muligt at overlade dette i højere grad til ekstern og intern revision, godkendte aktuarer og andre kontrolinstanser tæt på virksomheden og Udvalget finder, at det i forbindelse hermed er nødvendigt at overveje at udbygge reglerne om (de statsautoriserede) revisorer, om intern revision og kontrol og om revisionens gennemførelse. 6 - Finanstilsynet (2006). Den interne revision i den finansielle sektor afs. 4.1.1. 7 - Appendiks 2 indeholder en række finansielle begreber og en uddybning heraf. - 2 -

yderligere information om intern revision i pengeinstitutter henvises der til BIS 8, Den interne revision i den finansielle sektor 9 samt Bredo & Møller 10. Afhandlingen tager udgangspunkt i den danske model, hvor intern revision til stadighed ses at påtegne årsrapporten på lige fod med ekstern revision, og hvor intern revision agerer som underleverandør til ekstern revision 11. Afhandlingen vil have fokus på intern revisions rolle i relation til CRD i pengeinstitutter. CRD indeholder en række valgmuligheder i forbindelse med opgørelsen af kapitalog solvensbehovet, men afhandlingen vil primært have fokus på intern revisions rolle i procedurerne til opgørelsen af det tilstrækkelige kapital- og solvensbehovet samt oplysningsforpligtelserne. Afhandlingen tager udgangspunkt i danske regler og forhold. Udvalgte steder vil der blive foretaget perspektivering til praksis på internationalt niveau samt til internationale regler og vejledninger. 1.4 Metodevalg og afhandlingens struktur De nye revisionsstandarder og risikostyring i pengeinstitutter beskrives ofte som en proces, hvorfor afhandlingen er opbygget ud fra en procestankegang. Processen har intern revision som gennemgående karakter og kan illustreres som vist i figur 1. Figur 1: Afhandlingens opbygning. Præ CRD Intern revisions rolle i CRD Post CRD Kilde: Egen fremstilling. Kapitlet Præ CRD indeholder en kortfattet introduktion til pengeinstitutsektoren og intern revision anno 2007. Præ CRD vil have fokus på intern revisions interessenter og intern revisions kommunikation med de primære interessenter via intern revisions pro- 8 - BIS (2003). Internal Audit Charter. og BIS (2001). Internal audit in banks and the supervisor s relationship with auditors. 9 - Rapport af Finanstilsynet juni 2006. 10 - Bredo, J. & Møller, C. (1995). Intern revision. FSRs forlag. 11 - Finanstilsynet (2006). Den interne revision i den finansielle sektor afsnit 4.2.2. - 3 -

tokollat og påtegning på årsrapporten. Afslutningsvist vil dette kapitel indeholde en analyse af udvalgte revisionspåtegninger afgivet af intern revision i danske pengeinstitutter på årsrapporten 2006, og det vil blive debatteret, om intern revisions påtegning på årsrapporten øger informationsværdien for regnskabsbruger. I kapitlet Intern revisions rolle i CRD bliver CRD og risikostyring introduceret på et meget overordnet niveau. Ledelsens valg er af væsentlig betydning for intern revisions rolle i CRD, hvilket ligeledes beskrives i dette kapitel. Kapitlet vil have fokus på intern revisions rolle i forbindelse med procedurerne til opgørelsen af det tilstrækkelige kapital- og solvensbehovet, herunder risikomåling og risikostyring (herefter ICAAP 12 ) og oplysningsforpligtelserne. Intern revisions rolle i ICAAP vil indeholde en teoretisk behandling af emnet ud fra en agentteoretisk tankegang. Kapitlet Post CRD vil fokusere på, om en yderligere professionalisering af intern revision i pengeinstitutsektoren er påkrævet og mulig, ligesom det vil blive debatteret, hvem der kan forventes at drive en sådan proces. Det vil desuden blive debatteret, om CRD vil give anledning til at ændre den danske model og de arbejdsopgaver, som intern revision varetager. 12 - The internal capital adequacy assessment process. Der henvises til appendiks 1. - 4 -

2 Præ CRD Dette kapitel vil introducere pengeinstitutsektoren anno 2007 og beskrive intern revision i pengeinstitutsektoren anno 2007. Kapitlet vil indeholde en analyse af intern revisions interessenter og have fokus på intern revisions kommunikation til de primære interessenter via intern revisions protokollat og påtegning på årsrapporten. Kapitlet vil afslutningsvist indeholde en analyse af udvalgte revisionspåtegninger afgivet af intern revision i danske pengeinstitutter på årsrapporten 2006. Det vil slutteligt blive vurderet, om intern revisions påtegning på årsrapporten øger informationsværdien for regnskabsbruger. 2.1 Pengeinstitutsektoren anno 2007 Det samfundsmæssige og politiske ønske eller krav om finansiel stabilitet er helt central i forhold til den detailregulering og det tilsyn, som sektoren er underlagt, og dermed central for at forstå, hvorfor intern revision spiller en væsentlig rolle i den finansielle sektor. 2.1.1 Pengeinstitutters unikke rolle I det seneste kvarte århundrede er der sket en rivende udvikling på de finansielle markeder både herhjemme og i udlandet Kilde: Bjerre-Nielsen, Henrik. Finans/Invest 8/05 side 20. Denne udvikling ses at fortsætte i årene, der kommer. Pengeinstitutterne har historisk haft, og vil forsat have, en unik rolle i relation til kapitalformidlingen og bliver betragtet som en kritisk komponent i samfundsøkonomien, idet: Pengeinstitutterne indtager en central position i relation til at opretholde finansiel stabilitet. Pengeinstitutterne evner at formidle økonomiske ressourcer i samfundet. Pengeinstitutterne evner at håndtere asymmetrisk information herunder adverse selektion og moral hazard 13. 13 - Mishkin, F. S. (1992). The economics of money, banking and financial markets side 163. - 5 -

Den væsentlige samfundsmæssige rolle har medført, at pengeinstitutter er underlagt detaljeret regulering og tilsyn. I Danmark varetages tilsynet af finansielle virksomheder af Finanstilsynet, og Finanstilsynets opgave 14 er: at påse, at den finansielle lovgivning overholdes, herunder at forebygge eventuelle lovovertrædelser på særlige områder, bl.a. solvens- og likviditetsområderne at deltage i udformningen af den finansielle lovgivning at indsamle og formidle information om den finansielle sektor. Finansiel regulering og tilsyn er i princippet et offentligtretligt forhold mellem myndighed (stat og lovgivning) og det enkelte institut. Men formålet med regulering og tilsyn er desuden at tilføre værdi (uden direkte indgriben) til det privatretlige forhold mellem kunden/investor og det enkelte institut. Regulering og tilsyn, som behandles i denne afhandling, omfatter alene det offentligtretlige forhold. 2.1.2 Finansiel stabilitet Gennem en længere årrække har samfundsøkonomien været i konstant opdrift, bl.a. som en følge af lav arbejdsløshed, og der har hermed været en stabil underliggende økonomi. Privatøkonomien har desuden været præget af stigende formuer, som følge af stigende boligpriser, hvilket har medført høj aktivitet i erhvervslivet. Denne samfundsøkonomisk positive spiral og stabilitet har medført, at pengeinstitutsektoren igennem en længere årrække har oplevet en meget positiv finansiel udvikling. Risiciene har været minimale, tabene har været små og indtjeningen høj, som følge af indtægter fra forretninger med boligkonverteringer, samt handel med aktier, obligationer, strukturerede produkter mv. Grundlæggende er der en meget høj grad af stabilitet i og tillid til pengeinstitutsektoren. Men er tiderne ved at vende, og går sektoren mod nye tider? Noget kunne tyde på det. I de første 3. kvartaler af 2007 har samfundsøkonomien haft en negativ undertone, og på europæisk plan er der set flere eksempler på, at pengeinstitutter har søgt finansiel opbakning på forskellig vis. Seneste eksempel er i UK, hvor Northern Rock har haft behov for massiv finansiel opbakning fra Bank of England. Denne finansielle opbakning var nødvendig og påkrævet i bestræbelserne på at mini- 14 - www.ftnet.dk/sw1266.asp. - 6 -

mere, og delvist undgå, et run på instituttet. Men det er umiddelbart ikke de direkte kredittab på kundeengagementerne, der truer institutterne i første omgang. Vækst i udlån medfører et behov for yderligere funding. Det er umiddelbart problemer i relation til funding og opfyldelse af likviditetskravet, der truer stabiliteten i og tilliden til den finansielle sektor. Det er med andre ord risikostyringen i bred forstand, eller mangel på samme, der potentielt kan skabe mistillid til den finansielle stabilitet. Den 20. september 2007 offentliggjorde Finanstilsynet en undersøgelse af udlånsvækst, likviditet og markedsrisiko (renterisiko). Som følge af undersøgelsen blev 15 : 5 institutter bedt om en redegørelse i relation til likviditetskravet. 14 institutter bedt om en redegørelse i relation til indlånsunderskud. 3 institutter bedt om en redegørelse i relation til renterisiko. Med udmeldingen den 20. september 2007 har Finanstilsynet reageret hurtigt og forhåbentligt i rette tid og gør dermed sit til at opretholde den finansielle stabilitet. Men hvorfor har offentlighedens tillidsrepræsentant (red. revisorerne) eller institutternes interne revision ikke udtalt sig om dette, og hvem har egentlig ansvaret for, at en række institutter er kommet i ovenstående situation? For så vidt angår ansvaret er svaret meget klart. Det er ledelsen i de enkelte institutter, der har ansvaret, hvilket klart fremgår af hhv. bekendtgørelse af lov om finansiel virksomhed, nr. 1045 af 22. august 2007 (herefter FiL) 70, 71 stk. 1 nr. 5 og 124 samt CRD 5 stk. 1. Med hensyn til offentlighedens tillidsrepræsentant og intern revision er svaret i det store hele lige så klart. Hverken ekstern revision eller intern revision er pålagt at erklære sig om den løbende risikostyring i institutterne, hverken i CRD, FiL eller Rev.bek. I pengeinstitutsektoren er det helt centralt at påtage sig og at afdække risici, og dette er et væsentlig element i opretholdelsen af den finansielle stabilitet. Specielt i de institutter, som allerede har ansøgt, eller gør sig tanker om at ansøge Finanstilsynet om at overgå til IRB-F eller IRB-A 16 i CRD, forventes risikostyring at komme endnu mere i fokus. 15 - www.ftnet.dk/.../pressemeddelelser/2007/udlaansvaekst_07.pdf. 16 - Interne Ratingbaserede metoder - Foundation (IRB-F) eller - Advanced (IRB-A). - 7 -

2.2 Intern revision i pengeinstitutsektoren anno 2007 Siden 1974 har intern revision været et lovmæssigt krav i en lang række institutter, og intern revision må betragtes som et led i reguleringen og tilsynet i sektoren, og som en komponent, der skal være med til at sikre den finansielle stabilitet. Dette afsnit har til formål at beskrive intern revision i pengeinstitutsektoren anno 2007 på et overordnet niveau, og at beskrive nogle centrale begreber i forhold til intern revision, dens interessenter og kommunikationen med disse. 2.2.1 Etablering af en intern revision Kravene om etablering af intern revision i pengeinstitutsektoren udspringer fra Rev.bek. 9 stk. 1 og stk. 3. Dette krav giver intern revision i pengeinstitutsektoren en unik rolle, idet det er et ufravigeligt krav, at der skal være en intern revision, når Rev.bek. 9 stk. 3. gøres gældende. Kravet er historisk baseret og kan føres helt tilbage til 1920 erne, hvor store tab i sektoren førte til en ny lovgivning med yderligere fokus på kontrol, herunder intern revision. Gennem årerne blev reguleringen tilpasset, og først i 1974 kom den første Rev.bek., som gav intern revision mulighed for at udføre revisionsarbejdet. Rev.bek. er i de seneste år blevet opdateret årligt, men substansen af ændringerne har været begrænset i de senere år. Det kan dog konstateres, at hyppigheden af ændringer samt omfanget og detaljeringsgraden af reguleringen er stigende, hvilket stiller en række krav til intern revision. Endelig ses udviklingen at gå imod, at en række særlovgivninger bl.a. CRD og MiFID 17, pålægger intern revision en række opgaver, hvilket skærper kravene til intern revisions tilpasningsevnen, kompetenceudviklingen og ressourcerne til intern revision. Udviklingen medfører desuden, at intern revision ikke alene skal iagttage Rev.bek., men også særlovgivningen. Centrale begreber som intern revisions adfærd, uafhængighed og ressourcer vil ikke blive behandlet i dette afsnit, idet dette anses for værende kendt stof jf. afsnit 1.3 18. 17 - Folketinget vedtog den 1. februar 2007 loven om gennemførelse af den europæiske reform af værdipapirområdet. Loven er i det væsentligste en loyal gennemførelse af EU-direktivet MiFID (Markets in Financial Instruments Directive). Se yderligere på http://www.finansraadet.dk/danish/menu/ publikationer/kapital+nyt/kapital+nyt+nr.+1+2007/lov+om+mifid+vedtaget/. 18 - Ud over henvisningerne i afgrænsningerne kan der henvises til Rev.bek. bilag 3 pkt. intern revisions opgaver og adfærd. - 8 -

2.2.2 Definition og regulering af intern revision I dansk lovgivning findes ikke en entydig definition af intern revision. Kapitel 3 i Rev.bek. omhandler den interne revision, men definerer ikke intern revision yderligere. Dog indeholder Rev.bek. 14 et krav om en funktionsbeskrivelse for den interne revision og nogle minimumskrav til indholdet af funktionsbeskrivelsen. IIA.Int. definerer intern revision på følgende måde: Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organisation s operations. It helps an organisation accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. Kilde: www.theiia.org. I figur 2 vises en oversigt over de væsentligste love, hvori intern revision indgår, eller love som i væsentlig grad påvirker intern revision og dens virke. Figur 2: Oversigt over lovgrundlag. Primær lovgivning EU-direktiv 8. direktiv om lovpligtig revision - artikel 41 Aktieselskabsloven - 56 stk. 7 nr. 10 Lov om finansiel virksomhed - kapitel 13 Bekendtgørelse om revisionens gennemførelse i finansielle virksomheder m.v. samt finansielle koncerner Sekundær lovgivning og standarder Lov om statsautoriserede og registrerede revisorer Bekendtgørelse om statsautoriserede og registrerede revisorers erklæringer mv. Revisionsstandarder, -vejledninger og -udtalelser IIA standarder Kilde: Egen fremstilling. 2.2.3 Intern revisions interessenter I lov om statsautoriserede og registrerede revisorer (herefter RL) 2 fremgår det, at Revisor er offentlighedens tillidsrepræsentant og det er almen kendt, at revisors lovpligtige påtegning af årsrapporten er en blåstempling af informationerne i års- - 9 -

rapporten. Påtegningen på årsrapporten skal give regnskabsbruger en høj grad af sikkerhed for, at årsrapporten giver et retvisende billede og er uden væsentlig fejl. Offentlighedens tillidsrepræsentant skal tilgodese en meget bred kreds af interessenters interesser 19, herunder Finanstilsynets interesser. Som konstateret i 2.2.2. er intern revision ikke i samme grad tydeligt defineret i lovgivningen. Det er min holdning, at intern revision ikke på samme måde kan defineres som offentlighedens tillidsrepræsentant, og det kan diskuteres, om offentligheden er interessent til intern revision. Det er min holdning, at offentlighedens interesser afdækkes af ekstern revision og Finanstilsynet, hvorfor offentligheden ikke betragtes som interessent til intern revision. Direktionen og organisationen i det enkelte institut selvsagt intern revisions interessenter, men dette vurderes alene at være i arbejdsmæssig henseende og ikke reguleringsmæssigt, hvorfor dette ikke behandles yderligere. Det fremgår af FiL og Rev.bek., at bestyrelsen har mulighed for at stille krav til intern revision. Bestyrelsen kan hermed defineres som en af intern revisions interessenter. At bestyrelsen skal ses som en primær og væsentlig interessent fremgår dels af aktieselskabsloven 56 stk. 7 nr. 10, og dels af Rev.bek. 9 stk. 1. Heraf fremgår det, at det er bestyrelsen, der træffer beslutning om, hvorvidt der skal oprettes en intern revision. Dette forhold underbygges af Basel Komiteen 20, som pålægger bestyrelsen ansvaret for at sikre, at der er etableret et passende og effektivt internt kontrolmiljø 21, herunder om der skal etableres en intern revision 22. Endelig fremgår det talrige steder i FiL, og 19 - Füchsel, K. mfl. (2005). Revisor regulering og rapportering. Aktionærer, kreditorer, offentlige myndigheder, aktuelle og potentielle investorer, mv. jf. kapital 1 afsnit 3. 20 - The Basel Committee on Banking Supervision provides a forum for regular cooperation on banking supervisory matters. Its objective is to enhance understanding of key supervisory issues and improve the quality of banking supervision worldwide. Jf. http://www.bis.org/bcbs/index.htm. 21 - BIS (2001). Internal audit in banks and the supervisor s relationship with auditors. Principle 1 og FiL 71 stk. 1. 22 - Strong internal control, including an internal audit function and an independent external audit, are part of sound corporate governance. In banks, these are also important for the safety and soundness of operations and can contribute to an efficient and constructive working relationship between bank management and banking supervisors. Appropriate communication between banking supervisors and banks' internal and external auditors will improve the effectiveness of audits and supervision.. Jf. http://www.bis.org/publ/bcbs92.htm. - 10 -

Rev.bek., at det er bestyrelsen, der er ansvarlig for en lang række væsentlige forhold i relation til den interne revision og dens virke. 23 Finanstilsynet ses at være en væsentlig, og måske den væsentligste, interessent til intern revision. Dette begrundes bl.a. med at: Finanstilsynet har direkte adgang til at regulere revisionens gennemførelse via Rev.bek., herunder erklæringsforhold og bestyrelsens rolle ifht. intern revision. 24 Finanstilsynet kan pålægge intern revision at afgive oplysninger om forhold i instituttet 25, og intern revision har meddelelsespligt til Finanstilsynet. 26 Finanstilsynet skal modtage en kopi af intern revisions protokollatet vedr. årsrapporten. 27 Finanstilsynet udsteder den regnskabsmæssige begrebsramme 28 og anden lovgivning vedrørende pengeinstitutsektoren. Endelig bør ekstern revision betragtes som interessent til intern revision, idet Rev.bek. 15 har følgende ordlyd: revisionsarbejdet udføres i overensstemmelse med god revisionsskik og i henhold til en revisionsaftale mellem den eksterne revision og revisionschefen. Revisionsaftalens betydning forstærkes i den danske model, hvor intern revision leverer en stor del af det finansielle revisionsbevis, der ligger til grund for ekstern revisions påtegning på årsrapporten. Denne arbejdsdeling fordrer en tæt dialog og et tæt samarbejde mellem ekstern revision og intern revision. Ovenstående forbindelser mellem intern revision og interessenterne kan skitseres i en interessemodel, som vist i figur 3. De skitserede forbindelser fremgår ikke eksplicit af lovgivningen, men følger implicit af lovgivningen og af praksis. 23 - Ansættelse og afskedigelse af revisionschef/vicerevisionschef, godkendelse af funktionsbeskrivelsen, herunder (beføjelser, ansvar, arbejdsopgaver, budget mv.). 24 - FiL 199 stk. 11. 25 - FiL 199 stk. 6. 26 - FiL 200. 27 - Rev.bek. 5 stk. 4 og 17 stk. 7. 28 - Bekendtgørelse om finansielle rapporter for kreditinstitutter og fondsmæglerselskaber m.fl., nr. 1265 af 26. oktober 2007. - 11 -

Figur 3: Interessemodellen for intern revision. Offentligheden Finanstilsyn Ekstern revision Generalforsamlingen Bestyrelse Intern revision Direktion Kilde: Egen fremstilling på baggrund af fortolkning af lovgivning og praksis. Som beskrevet, er der forhold, der indikerer, at Finanstilsynet har en meget central position i interessemodellen. Denne påstand kan endvidere underbygges af, at en række af de erklæringer, som revisionen er pålagt at fremføre i protokollatet vedrørende årsrapporten, ses at tjene Finanstilsynets interesser mere end bestyrelsen interesser 29, hvilket behandles yderligere i afsnit 2.2.4.1. 2.2.4 Intern revisions kommunikation Som udgangspunkt er der få krav til intern revisions kommunikation med og til deres interessenter. De væsentligste krav findes i Rev.bek. 17, som omhandler den interne revisions protokol, og Rev.bek. 19, som omhandler revisionschefens påtegning på årsrapporten. Det skal bemærkes, at intern revision som udgangspunkt ikke er omfattet af Erkl.bek., omvendt ses der ikke at være forhold, der forhindrer intern revision i at anvende Erkl.bek. Det skal endvidere anføres, at Rev.bek. 15 stk. 1 kan være medvirkende til, at intern revisions bør, og efter min mening skal, iagttage Erkl.bek i forbindelse med udstedelse af erklæringer. 29 - Der henvises i særlig grad til Rev.bek. kapitel 6. - 12 -

Af Rev.bek. 15 stk. 1 fremgår at: I virksomheder henholdsvis koncerner, der har en intern revision, skal revisionsarbejdet udføres i overensstemmelse med god revisionsskik Finanstilsynet gør hermed god revisionsskik 30 til den praksis, som skal følges af intern revision. God revisionsskik medfører at intern revisor skal overholde ekstern revisions lovgivning, standarder, etiske retningslinier, vejledninger mv. Det er min holdning, at god revisionsskik defineres af ekstern revision, og at intern revision har meget begrænset, hvis nogen, mulighed for at påvirke god revisionsskik. Det kan debatteres, om god revisionsskik for intern revision omfatter IPPF 31, herunder IIA- S 32, IIA The Code of Ethics Principles og IIA Rules of Conduct 33. Det er min holdning, at det for så vidt burde være sådan, men reelt er praksis, at god revisionsskik ikke omfatter IPPF mv. Min holdning begrundes med, at IPPF ikke er offentlig kendt og accepteret i Danmark, og min holdning understøtte af Arena & Jeppesen (2007, s. 366) hvoraf det fremgår, at IIA-S generelt ikke anvendes aktivt i Danmark. At Finanstilsynet pålægger intern revision at følge god revisionsskik, har på mange måder stor betydning for intern revisions virke, intern revisions påtegning på årsrapporten og intern revisions protokollat, hvilket vil blive uddybet i de efterfølgende afsnit. Intern revisions rapportering kan skitseres således: Figur 4: Intern revisions rapportering. Intern rapportering Intern revisions revisionsrapport på opgaveniveau / management letters Intern revisions protokollat til bestyrelsen Ekstern rapportering Intern revisions protokollat (indsendes til Finanstilsynet jf. FiL 194 stk. 2 og Rev.bek. 17 stk. 7) Intern revisions påtegning på årsrapporten jf. Rev.bek. 19 Kilde: Egen fremstilling ud fra lovgivningen. 30 - Uddybes yderligere i appendiks 3. 31 - IPPF, International Professional Practices Framework (IIA). 32 - International Standards for the Professional Practice of Internal Auditing. 33 - Eilifsen, A. mfl. (2006). Auditing & Assurance Services side 655-657. Der henvises til table 20-6, 20-7 og 20-8. - 13 -

Efterfølgende vil der blive fokuseret på de generelle krav til intern revisions protokollat, samt intern revisions mulighed for at påtegne årsrapporten på lige fod med ekstern revision. Intern revisions revisionsrapporter / management letters vil ikke blive behandlet yderligere. 2.2.4.1 Intern revisions protokollat Jf. Rev.bek. 17 stk. 1 skal intern revision, til brug for bestyrelsen, føre en revisionsprotokol 34. De generelle krav i Rev.bek. 17 suppleres af Rev.bek. bilag 1 og bilag 2, som indeholder: Dels en oversigt over de oplysninger og erklæringer, og deres præcise ordlyd, som skal fremgå af revisionsprotokollatet vedrørende årsrapporten. Dels en opsummering af bemærkninger, som skal fremgå af revisionsprotokollatet vedrørende årsrapporten. Disse bilag forekommer meget detaljerede, og det kan undre, at Finanstilsynet finder det nødvendigt at regulere så detaljeret på erklæringsområdet i forhold til Erkl.bek. For intern revision kan Rev.bek. bilag 1 og 2 betragtes som et tillæg til Erkl.bek., og Rev.bek. bilag 1 og 2 bliver endnu et sæt at regler, som skal efterleves og afpasses til Erkl.bek. og gældende revisionsstandarder, herunder RS 265. Det kan endvidere undre, at Finanstilsynet blandt andet finder det nødvendigt at kræve følgende erklæringer protokolleret 35 : Vi (red. ekstern revision) er enige i indholdet af alle den interne revisions protokoltilførsler vedrørende regnskabsåret. At pengeinstituttets måling af udlån og garantier er foretaget i overensstemmelse med reglerne herfor. Endelig kan det undre, at Finanstilsynet kræver, at Samtlige - alle uden undtagelse - de i revisionsprotokollen fremførte bemærkninger skal opsummeres i det særskilte 34 - Det kan være dels et protokollat i årets løb og dels et protokollat til årsrapporten. 35 - Rev.bek. bilag 1. - 14 -

afsnit i protokollatet vedrørende årsrapporten. 36, og at der ikke kan anlægges en væsentlighedsvurdering i denne opsummering. Som nævnt i 2.2.1 ses en række af kravene til protokollatet at tjene Finanstilsynets interesser mere end bestyrelsens interesser. Ovenstående indikerer ligeledes dette, og tilmed, at intern revision bemærkninger skal godkendes/blåstemples af ekstern revision, hvilket på sin vis skaber en vis form for mistillid til intern revisions udtalelser. At Finanstilsynet finder det nødvendigt, at der skal en selvstændig erklæring til i relation til målingen af udlån og garantier, og at væsentlighedsvurderingen sættes ud af kraft, ses generelt at stride mod god revisionsskik. Med hensyn til måling af udlån og garantier bør påtegningen på årsrapporten være tilstrækkelig til at opfylde dette krav. Sidst men ikke mindst kan det generelt problematiseres, at Finanstilsynet stiller disse oplysnings- og erklæringskrav til protokollatet. Jf. Erkl.bek. 22 stk. 1 fremgår: Er det ikke foreskrevet, til hvis brug protokollen skal føres, skal den udarbejdes til hvervgivers brug. Som nævnt fremgår det også af Rev.bek. 17, at revisionsprotokollen føres til bestyrelsens brug. Udgangspunktet er herefter, at protokollatet er et topartsforhold mellem hvervgiver (bestyrelsen) og intern revision, hvilket er i overensstemmelse med RS 265, RS 260 mfl. Finanstilsynets krav om særlige oplysninger og erklæringer i protokollatet, og det at Finanstilsynet anvender protokollatet som et væsentligt led i tilsynsarbejdet, kan skabe tvivl om, hvorvidt der er tale om erklæringer til bestyrelsen, det vil sige i et topartsforhold, eller om oplysningerne og erklæringerne også er til Finanstilsynets brug, altså et trepartsforhold. For intern revision bør det være væsentlig at fastslå, at protokollatet skal betragtes som et topartsforhold mellem bestyrelsen og intern revision. Den nuværende konstruktion medfører efter min mening risiko for, at protokollatet bringes ud af 36 - Rev.bek., bilag 2 pkt. 1.4. - 15 -

topartsforholdet, hvilket kan føre til begrebsforvirring hos såvel intern revision som hos modtagerne af erklæringerne (bestyrelsen). Det er min holdning, at Finanstilsynets indgriben i protokollatets indhold og ordlyd er problematisk og uheldig, og at det øger risikoen for, at protokollatet mere bliver et spørgsmål om at opfylde formalia og krav, end at protokollatet indeholder intern revisions relevante og væsentlige revisionsmæssige bemærkninger til bestyrelsen. En sådan situationen er ikke optimal eller ønskelig for hverken bestyrelsen eller intern revision. 2.2.4.2 Intern revisions påtegning Jf. Rev.bek. 19 stk. 1 skal revisionschefens afgive en påtegning på årsrapporten, såfremt bestyrelsen har vedtaget dette. Af Rev.bek. 19 stk. 3: Påtegningen skal indeholde en kort beskrivelse af den udførte revision, herunder at den interne revision har deltaget i revisionen af de væsentlige og risikofyldte områder, samt konklusion herpå. Det skal særskilt oplyses, hvis revisionen omfatter andet end årsrapporten. Eventuelle forbehold eller supplerende oplysninger skal tydeligt fremgå af påtegningen. Igen kan det undre, at Finanstilsynet ikke finder Erkl.bek., nærmere bestemt Erkl.bek. 5, som indeholder mindstekravene til revisionspåtegningen på reviderede regnskaber, RS 700 og eventuelt erklæringsvejledningen, dækkende, når intern revision skal udføre arbejdet i overensstemmelse med god revisionsskik. Af mindre kritikpunkter kan nævnes, at forholdet som nævnes i Rev.bek. 19 stk. 3 vedrørende deltagelse i revisionen af de væsentlige og risikofyldte områder kan vurderes som overflødig. Intern revisions deltagelse i væsentlige og risikofyldte områder ses implicit at være afdækket af kravet om efterlevelse af god revisionsskik. Det er min holdning, at den påkrævede udtalelse har begrænset, om overhovedet nogen, informationsværdi for regnskabsbrugerne. Men tilfører intern revisions påtegning på årsrapporten merværdi, og hvilke argumenter er der for, at ekstern revisions påtegning ikke står alene? Det er min påstand, at svaret på ovenstående primært skal findes i historien og i praksis, og i mindre grad i teorien. - 16 -

For så vidt angår teorien, så er det et faktum, at betydningen af ekstern revisions påtegning er klart defineret i Erkl.bek. og RS 700. Intern revisions påtegning er ikke defineret lige så klart jf. Rev.bek. 19 stk. 3, og det er forståeligt, hvis regnskabsbruger ikke tillægger intern revisions påtegning væsentlig værdi. For så vidt angår historien og praksis, så har der over en lang årrække udviklet sig en praksis for, at intern revision i pengeinstitutsektoren påtegner årsrapporten. Denne praksis er senest dokumenteres i en undersøgelse foretaget i 2005 som påviste, at 50 ud af 55 adspurgte revisionschefer påtegnede årsrapporten. 37 Det er min vurdering, at intern revisions ret til at påtegne årsrapporten udspringer fra, at Finanstilsynet har taget politiske hensyn til intern revision, og at intern revision har krævet ret til at kommunikere resultatet af revisionen til offentligheden, idet hovedparten af det finansielle revisionsarbejde i praksis ofte udføres af intern revision. Der har ligeledes udviklet sig en praksis for, at den interne revisions påtegning i meget høj grad afspejler ekstern revisions påtegning. I den forbindelse har jeg vurderet IIAs standardpåtegning 38 samt interne revisions påtegning på 10 institutters årsrapporter for 2006 39. Det er min vurdering, at udformningen og ordlyden af intern revisions påtegning på mange områder ligger tæt op af ekstern revisions påtegning i selv samme institutter. Af stikprøven ses det, at en stor andel af de udvalgte påtegningers ordlyd ligger meget tæt op af IIAs standardpåtegning, hvorfor der efterfølgende alene bliver kommenteret på denne. Generelt indeholder IIA standarden ikke adressat og et afsnit vedrørende ledelsens ansvar. Der ses at være en mere udførlig beskrivelse af udført revision vedrørende de etablerede forretningsgange og interne kontroller, herunder den af ledelsen tilrettelagte risikostyring, der er rettet mod koncernens og moderselskabets rapporteringsprocesser og væsentlige forretningsmæssige risici. 37 - Finanstilsynet (2006). Den interne revision i den finansielle sektor afsnit 4.2.2. 38 - Der henvises til bilag 1. 39 - IIA standardpåtegning og de udvalgte revisionspåtegninger fremgår af bilag 1-11. - 17 -

Det kan undre at IIAs standardpåtegning: Ikke indeholder en passus om, at intern revision arbejder i overensstemmelse med IIA s etiske retningslinier. I forbindelse med et medlemskab i IIA fremsættes det som et formelt krav, at medlemmerne skal efterleve IIAs etiske retningslinier 40. Generelt mangler en beskrivelse af ledelsens ansvar for årsrapporten. Men jeg finder det er mere kritisk, at IIAs standardpåtegnings konklusion indeholder følgende ordlyd: Det er vores opfattelse, at de etablerede forretningsgange og interne kontroller, herunder den af ledelsen tilrettelagte risikostyring, der er rettet mod koncernens og moderselskabets rapporteringsprocesser og væsentlige forretningsmæssige risici, fungerer tilfredsstillende. Kilde: IIA standardpåtegning, fremgår af bilag 1. Denne konklusion er meget omfattende, idet den ikke eksplicit retter sig mod de kontroller, som retter sig mod regnskabsaflæggelsen 41, men rapporteringsprocesser og væsentlige forretningsmæssige risici generelt. Det kritiske er, at IIAs standardpåtegning mangler en beskrivelse af egnede kriterier 42 i forhold til denne konklusion. I forhold til at erklære sig om design, implementering og effektivitet af forretningsgange og interne kontroller kunne kriterierne være en offentligt anerkendt referenceramme for interne kontroller, f.eks. COSO. Denne kritiske mangel ses desuden at medføre, at intern revision ikke eksplicit konkluderer direkte på kriterierne, men alene konkluderer, at de etablerede forretningsgange og interne kontroller fungerer tilfredsstillende. Denne formulering er præget af stor grad af subjektivitet og indeholder meget begrænset informationsværdi for regnskabsbruger. 2.3 Sammenfatning Dette kapitel har belyst den finansielle stabilitet anno 2007 og belyst, at det nuværende likviditetsunderskud i sektoren kan føre til mindre tillid til sektoren generelt. Det er blevet diskuteret, hvem der er intern revisions primære interessenter, og det er blevet 40 - Der henvises til bilag 14. 41 - Som det ses i ebh bank a/s årsrapport. Der henvises til bilag 9. 42 - Füchsel, K. mfl. (2005). Revisor regulering & rapportering. Kapitel 2 afsnit 2.8: Egnede kriterier er de benchmarks, som revisor anvender til at vurdere eller måle erklæringsemnet. - 18 -

konkluderet, at Finanstilsynet kan betragtes som den væsentligste interessent, idet Finanstilsynet regulerer intern revisions virke samt i væsentligt omfang påvirker intern revision kommunikation for så vidt angår intern revisions protokollat og påtegningen. Det kan konkluderes, at intern revisions kommunikation primært er rettet mod bestyrelsen, og at der alene indirekte kommunikeres med Finanstilsynet, hvilket skaber en utidig indblanding i intern revisions protokollat og ordlyden heraf. Det konkluderes at denne utidige indblanding medfører en risiko for, at protokollatet bringes ud af topartsforholdet mellem bestyrelsen og intern revision, og at den nuværende indsendelsespligt jf. FiL 194 stk. 2 bør revurderes. Det konkluderes, at Finanstilsynet bør have en selvstændig rapportering, som således bringes i et klart topartsforhold mellem Finanstilsynet og intern revision, hvorefter intern revisions protokollat til bestyrelsen på samme vis bringes i et klar topartsforhold mellem bestyrelsen og intern revision. Endelig kan det konkluderes, at det er svært at finde argumenter for, at den nuværende ordlyd af intern revisions påtegning på årsrapporten tilfører yderligere informationsværdi til regnskabsbruger. På området forretningsgange og interne kontroller, hvor intern revision adskiller sig fra ekstern revisions påtegning, og hvor intern revision har sin styrke, kan det kritiseres, at intern revisions påtegning mangler et egnet kriterium på området. Det har ikke været muligt at finde argumenter for, at den danske pengeinstitutsektor er unik i forhold til den europæiske sektor, og at der er et reelt behov for den nuværende dobbeltpåtegning 43. 43 - Finanstilsynet (2006). Den interne revision i den finansielle sektor afsnit 5.1 konkluderes det at, Hvad angår intern revisions arbejdsopgaver viser undersøgelsen, at den danske model adskiller sig ved, at den interne revision kan påtegne årsrapporten, men derudover er den danske model ikke unik.. Værdien af denne unikke situation debatteres ikke yderligere, hvilket kan undre en smule. - 19 -

3 Intern revisions rolle i CRD Hvilken rolle har eller får intern revision i CRD og medfører CRD, at intern revisions nuværende rolle i pengeinstitutsektoren ændres? Dette vurderes at være et meget åbent og yderst relevant spørgsmål. Dette kapitel vil introducere CRD og risikostyring på et overordnet niveau og komme med nogle bud på, hvilke væsentlige ledelsesmæssige valg, der kan og vil få væsentlig indflydelse på intern revisions rolle i CRD. Kapitlet vil have fokus på intern revisions rolle i forbindelse med procedurerne til opgørelsen af det tilstrækkelige kapital- og solvensbehov, herunder risikomåling og risikostyring (ICAAP) samt oplysningsforpligtelserne. 3.1 CRD på et overordnet niveau I Danmark trådte CRD i kraft 1. januar 2007. Arbejdet med The New Capital Accord, som er forløberen til CRD, startede i 1998 i BIS 44 regi. I 2001 kom første consultation paper, og først i 2004 blev reglerne vedtaget på europæisk plan. Dette afsnit har til formål at beskrive CRD på et overordnet niveau og at beskrive nogle centrale begreber i forhold til CRD. 3.1.1 Introduktion til CRD Formålet med CRD er at fremme og sikre den finansielle stabilitet i den internationale finansielle sektor. Det er desuden formålet at: sætte fokus på risikostyring samt at skabe tydelig sammenhæng mellem risikostyring og kapital- og solvensbehov skabe større overensstemmelse mellem instituttets kapital- og solvensbehov og de risici instituttet påtager sig skabe level playing field på internationalt plan i den finansielle sektor. CRD sætter fokus på risikostyring som en proces og ikke en begivenhed, og CRD skal medføre en høj grad af risikofølsomhed i relation til opgørelse af henholdsvis kredit-, markeds- og operationel risiko. CRD giver det enkelte institut flere metodemæssige valgmuligheder i relation til opgørelsen af risici og opfyldelse af kapitaldækningskra- 44 - Bank for international settlements. - 20 -

vene. De metodemæssige valgmuligheder gør, at det enkelte institut kan implementere CRD enten via standardiserede metoder, eller via individuelle metoder med forskellige grader af egen-udviklede modeller på de enkelte risikoområder. De egen-udviklede modeller bliver ekspert modeller og formålet er, at der skabes direkte sammenhæng mellem de faktiske institutspecifikke risici og det lovgivningsmæssige kapital- og solvensbehov. Et væsentligt krav i CRD er desuden, at instituttet skal have effektive procedurer, der sikrer, at instituttet kan identificere, forvalte, overvåge og rapportere de risici, som instituttet er eksponeret for. Dette omfatter desuden, at instituttet skal have en god administrativ praksis og gode interne kontroller for den samlede kapitalvurdering 45. CRD medfører en række nye krav i relation til markedsdisciplin og oplysningsforpligtelser 46. Intentionen hermed er at øge graden af offentligt kendskab til instituttets strategier, politikker og styring af kredit-, markeds- og operationelrisiko 47, og hermed øge gennemsigtigheden (transparens) i sektoren. I forbindelse med opgørelsen af specielt kreditrisici medfører CRD omfattende ændringer i forhold til tidligere regler på området. IRB-A medfører en mere nuanceret, individuel og sofistikeret opgørelse af kreditrisici, samt en lang række minimumskrav 48. Med IRB-A bliver en kreditværdig kunde billigere rent kapitalomkostningsmæssigt end en kunde med en lavere kreditværdighed. IRB-A skal skabe en tæt forbindelse mellem den faktiske risiko i kreditporteføljen og kapitalomkostningen, og den grundlæggende tanke er, at kapitalkravet eksplicit skal afspejle de risici og dermed de forpligtigelser, som det enkelte institut påtager sig. Med CRD bliver risikostyringen et konkurrenceparameter i den finansielle sektor, og CRD bør ses som meget mere end en metode til opgørelse af kapital- og solvensbehov. CRD kan bl.a. forventes at få indflydelse på de ledelsesmæssige friheder, mulighederne i forbindelse med strategisk risikostyring og instituttets rating, herunder prisen på likviditet og muligheder for forretningsmæssig vækst (vækst i udlån). 45 - CRD bilag 1 pkt. 12. 46 - CRD bilag 20. 47 - PwC (2004). Deep Impact, Basel in the European Union. Institutions especially the advanced banks, are also anticipating much higher communication costs as they deliver more detailed information on risk to the market. 48 - CRD bilag 8 punkt 113-242. - 21 -

Med implementering af CRD bliver det væsentligt, at de institutter, der opnår godkendelse til at anvende interne metoder til fastsættelsen af solvensbehovet, har en effektiv risikostyring 49. CRD er opbygget via tre søjler. Grafisk kan dette fremstilles således: Figur 5: CRD overblik. CRD Søjle I Opgørelse af minimum kapital- og solvensbehov Kreditrisiko Basis, IRB(F), IRB(A) Markedsrisiko Operationel risiko Søjle II ICAAP SREP Søjle III Markedsdisciplin og gennemsigtighed En løbende og fremadrettet vurdering af det samlede kapital- og solvensbehov samt tilsynsprocessen Oplysningsforpligtelser vedr. bl.a.: Valg af metode Kapitalstruktur Risikostyring og risikoeksponering Kilde: BIS (2004). International Convergence of Capital Measurement and Capital Standards - A Revised Framework. De efterfølgende afsnit vil meget kort beskrive indholdet af søjle I, II og III. 3.1.1.1 Søjle I - Opgørelse af minimum kapital- og solvensbehov Søjle I indeholder opgørelsen af kreditrisiko, markedsrisiko og operationel risiko. Jf. afsnit 3.1.1 er valgfrihed i opgørelsesmetoden på de tre områder, og det enkelte institut kan vælge mellem en standardmetode eller interne metoder. De interne metoder kan være enten grundlæggende eller avancerede metoder. Det bemærkes, at Finanstilsynet skal give tilladelse til at anvende interne metoder til opgørelsen af: Kreditrisiko (IRB metoden) jf. CRD 19 stk. 1. Markedsrisiko (VaR metoden) jf. CRD 40 stk. 1. Operationel risiko (AMA metoden) jf. CRD 57 stk. 1. 49 - Den 26. november 2007 meddelte Danske Bank A/S, Jyske Bank A/S, Nykredit A/S, Realkredit Danmark A/S og Sydbank A/S via fondsbørsmeddelelser, at de har opnået Finanstilsynets godkendelse til IRB-A. - 22 -

I søjle I beregnes det direkte kapital- og solvensbehov på de 3 områder. 3.1.1.2 Søjle II Løbende og fremadrettet vurdering samt tilsyn CRD pålægger ledelsen af det enkelte institut at fastsætte det tilstrækkelige kapital- og solvensbehov i forhold til de opgjorte risici i søjle I. Søjle II indeholder desuden de risici, som ikke er afdækket, eller som ikke er fuldt ud afdækket, af søjle I. Søjle II kan omfatte koncentrationsrisici, koncernrisici, strategiske risici, eksterne risici, indtjening, vækst mv. I Søjle II skal der tages højde for fremtidige risici, kapitalstrukturen og muligheden for at fremskaffe kapital. Søjle II skal sikre sammenhæng mellem det enkelte instituts risikoprofil, risikostyringen, det individuelle solvensbehov og det generelle lovkrav. Ledelsen skal løbende overvåge risiciene og foretage en vurdering af det individuelle solvensbehov. Det er forsat et krav, at basiskapitalen skal opfylde FiL 124. Jf. FiL 124, stk. 5, og 125, stk. 8, kan Finanstilsynet fastsætte et højere individuelt solvensbehov end det, der fremgår af 124, stk. 2, nr. 1. Finanstilsynet kan i søjle II pålægge det enkelte institut et tillæg til det individuelle solvensbehov. Finanstilsynet har således en markant rolle i søjle II. CEBS 50 beskriver tilsynets rolle således: Supervisors will explore through the dialogue with institutions, how institutions set their risk strategy, how they identify, measure, aggregate and monitor the risks they take, and how they set their overall riskbearing capacity. The dialogue should be structured to cover elements such as internal governance (including risk controls, compliance, and internal audit), the organisation of the institution s business, and how the institution allocates capital against risk. Kilde: CEBS (2006). Guidelines on the Application of the Supervisory Review Process under Pillar 2 (CP03 revised). Søjle II behandler ovenstående via komponenterne ICAAP og SREP 51. Sammenhængen mellem ICAAP, SERP og CEBSs guidelines til hhv. ICAAP og SERP fremgår af appendiks 1. 50 - Committee of European Banking Supervisors. 51 - The supervisory review and evaluation process. - 23 -

3.1.1.3 Søjle III Markedsdisciplin og gennemsigtighed Søjle III indeholder oplysningsforpligtelserne i relation til det enkeltes instituts risikostyring og risikoeksponering. Søjle III skal medføre øget markedsdisciplin, en høj grad af gennemsigtighed og level-playing-field på internatonalt plan. Kapitel 8 i CRD 60 til 66 samt CRD bilag 20 omhandler disse oplysningsforpligtelser. Der er valgfrihed med hensyn til oplysningsform, detaljeringsniveau, medie mv. Det er dog et grundlæggende krav, at oplysningerne skal offentliggøres mindst en gang om året, og at oplysningerne skal være underlagt tilstrækkelig kontrol 52. Det skal bemærkes, at oplysningsforpligtelserne er gældende for alle institutter, og at oplysningerne i henhold til CRD 60 skal offentliggøres første gang samtidig med offentliggørelsen af årsrapporten for 2007 53. Det antages, at der gælder et proportionalprincip, som medfører, at de mest komplekse institutter skal oplyse relativt mere i forhold til mindre komplekse institutter. Endelig skal det nævnes, at også i forhold til oplysningsforpligtelserne har Finanstilsynet en væsentlig rolle. Finanstilsynet kan bl.a. kræve en række oplysninger offentliggjort og fastsætte offentliggørelses frister og intervaller 54. 3.1.2 Risikostyring i forhold til CRD Historisk har risikostyring ikke været hot, men Risk Management og ERM 55 har i de seneste år ændret denne holdning. Alle pengeinstitutter af en vis størrelse og med respekt for sig selv, arbejder målrettet med Risk Management og RAROC principper 56. I Finansiel risikostyring i en global økonomi beskriver Plesner finansiel risikostyring i pengeinstitutter, og Plesner fremkommer med en relativt simpel figur for risikostyringsprocessen. Figur 6: Plesners risikostyringsprocessen. Identifikation Måling Kontrol Kilde: Plesner, S. (2001). Finansiel risikostyring i en global økonomi. 52 - CRD 66. 53 - CRD 70 stk. 17. 54 - CRD 61 stk. 3 og 64 stk. 3. 55 - Enterprise-wide Risk Management. Se yderligere i appendiks 4. 56 - Risk Adjusted Return On Capital. Se yderligere i appendiks 2. - 24 -

God styring af risici er et vigtigt element i at: drive instituttet forsvarligt sikre et stabilt højt afkast til aktionærerne opretholde den finansielle stabilitet i instituttet og i sektoren generelt. Risikostyring bliver med CRD nu også en altafgørende metode til at reducere omkostninger 57 (primært kapitalomkostninger). Risikostyring gør instituttet i stand til at skabe større værdi ved, at instituttet proaktivt påtager sig eller afdækker de rigtige risici på den mest optimale måde 58. Men risikostyring og CRD er ikke uden omkostninger for institutterne. PwC publicerede i 2004 en undersøgelse af Basel II s påvirkning af den finansielle sektor i EU 59. Undersøgelsen viser, at bankerne har brugt og bruger mange millioner på udviklingen og implementeringen af avancerede modeller og risikostyringsprocessen. Det fremgår ligeledes, at der fremadrettet skal bruges mange millioner på driften af de avancerede modeller og risikostyringsprocessen, samt at omkostningerne til kommunikation til markedet 60 forventes at stige markant som følge af oplysningsforpligtelserne. Det store spørgsmål er, om fordelene (kapitallempelse, minimering af tab etc.) ved implementeringen af avancerede modeller og fokus på risikostyringen overstiger omkostningerne i det enkelte institut? Det er der naturligvis regnet meget på, og det generelle billede er, at de institutter, der arbejder målrettet med og anvender avancerede modeller til opgørelse af risici, forventes at opnå en kapitallempelse, som klart overstiger omkostningerne. De avancerede banker får, alt andet lige, markante fordele ved CRD 61. Plesners risikostyringsproces kan kritiseres for at være for simpel i forhold til Risk Management anno 2007. I figur 7 præsenteres et bud på, hvordan Plesners figur kan bringes up-to-date. 57 - Den direkte omkostningsbesparelse ses i kapitalomkostningerne, mens de indirekte besparelser skal aflæses i form af færre tab på kreditrisiko, markedsrisiko og operationel risiko qua bedre intern styring. 58 - Risici kan afdækkes via interne kontroller eller via kapital. 59 - PricewaterhouseCoopers (2004). Deep Impact, Basel in the European Union 60 - Hermed forståes offentligheden, herunder børsmarkedet, analytikere, ratingbureauer, tilsynsmyndigheder mv. 61 - PwC undersøgelse underbygges desuden af FSA (2006). Strengthning Capital Standards 2 (CP 06/3), Annex 2, Cost-benefit analysis This annex contains the FSA s cost-benefit analysis (CBA) for implementing the Capital Requirements Directive (CRD) in the UK. - 25 -

Figur 7: Risk Management anno 2007. Beregning af kapitalbehov Definition og identifikation af risici Rapportering af risici Risk Management Vurdering af risici Overvågning af risici Afdækning af risici Fastsættelse af risikoappetit Kilde: Egen fremstilling. I sammenhæng med CRD skal risikomåling, risikostyring og rapporteringen herpå ses som en løbende proces, hvor ledelsen skal sikre, at instituttet har tilstrækkelig kapital til at afdække instituttets nuværende og fremtidige risici. Det er væsentligt, at ledelsens forholder sig til alle risici, herunder instituttets individuelle risikoprofil og de samfundsmæssige forhold, som kan påvirke instituttet. 62 3.1.3 Ledelsesmæssige valg præger CRD og intern revisions rolle Som tidligere skrevet indeholder CRD en lang række valgmuligheder i relation til, hvilke metoder instituttet ønsker at anvende, instituttets overordnede risikoprofil, afdækning af generelle og specifikke risici, organisation mv. Langt hovedparten af valgmulighederne må beskrives som ledelsesmæssige valg, som skal tages af bestyrelsen, eller af bestyrelsen og direktion i forening. I CRD får ledelsen en markant og synlig rolle, og ledelsen pålægges en lang række opgaver 63. Mange af disse ledelsesmæssige valg kan potentielt, og vil givetvis, få stor indflydelse på intern revisions rolle i CRD. Intern revision ses at have, eller at få, en rolle i hhv. søjle I, II og III. For så vidt angår intern revisions rolle i søjle I, så er intern revision gentagne gange pålagt opgaver i CRD samt i bilagene til CRD. I appendiks 5 findes en komplet oversigt over, hvilke opgaver intern revision er pålagt i relation til CRD. Appendiks 6, 62 - CRD, Bilag 1 pkt. 5-18. 63 - En simpel søgning i CRD inkl. bilag viser, at bestyrelse/bestyrelsen er nævnt 48 gange, direktion 58 gange. - 26 -

7 og 8 indeholder yderligere inspiration til, hvilken rolle intern revision er tiltænkt i CRD (og Basel II) som helhed. Som omfanget af appendiks 5 8 antyder, er der en lang række af opgaver, som adresseres direkte mod intern revision. Det skal naturligvis bemærkes, at ikke alle opgaver er relevante for alle institutter. Intern revisions opgaver i søjle I er i høj grad afhængig af de ledelsesmæssige valg, der foretages i forhold til metodevalg, organisation, forretningsområder mv., eller med andre ord instituttets kompleksitet. Prioritering og omfanget af afhandlingen tillader ikke, at intern revisions rolle i søjle I behandles yderligere 64. Søjle I er fravalgt til fordel for intern revisions rolle i forbindelse med ICAAP (søjle II), og intern revisions rolle i forbindelse med oplysningsforpligtelserne (søjle III). Baggrunden for prioriteringen er, at alle institutter skal have en ICAAP, og at alle institutter skal efterleve oplysningsforpligtelserne, hvorfor det er vurderet, at disse områder har en bred interessegruppe. De følgende to afsnit vil derfor behandle intern revisions rolle dels i forhold til ICAAP (søjle II), og dels i forhold til oplysningsforpligtelserne (søjle III). 3.2 Intern revisions rolle i ICAAP Dette afsnit vil indeholde en beskrivelse af intern revisions rolle i ICAAP. I afsnittet vil der blive anvendt en agentteoretisk tankegang til at beskrive og optimere intern revisions rolle i ICAAP, og det vil blive vurderet, hvilken kommunikation intern revision skal gøre brug af i forhold til ICAAP. 3.2.1 Afhængighed af ledelsesmæssige valg For så vidt angår intern revisions rolle i ICAAP kan der henføres til CRD bilag 1 pkt. 88, hvoraf det fremgår, at: Opgørelsen af den tilstrækkelige basiskapital skal gøres til genstand for en uafhængig vurdering. Den enhed, der foretager vurderingen, må ikke deltage i den løbende forretningsmæssige drift af virksomheden. Resultatet af vurderingen skal rapporteres til bestyrelsen. I virksomheder, der ikke har tilladelse til at anvende den interne ratingbaserede 64 - Det skal nævns, at CRD bilag 8 pkt. 124 er meget central for intern revision i IRB-A institutterne, og at dette punkt må forventes at få væsentlig indflydelse på intern revisions rolle i søjle I. Appendiks 10 indeholder derfor en kort beskrivelse af dette punkt. Bilag 8 pkt. 124 behandles alene overordnet i appendiks 10, hvorfor det ikke inddrages yderligere i dette afsnit. - 27 -

metode for kreditrisiko eller interne modeller for markedsrisiko, kan den kontrol, som bestyrelsen foretager anses for at opfylde kravet til uafhængig vurdering. Intern revision er ikke eksplicit nævnt, men der ses ikke at være noget til hinder for, og det kan virke naturligt, at intern revision foretager en uafhængig vurdering. Det må bero på et ledelsesmæssigt valg, hvorvidt den uafhængige vurdering, helt eller delvist, skal foretages af intern revision eller en anden uafhængig enhed. FSA 65 har tilkendegivet en noget mere vidtgående holdning til, hvor langt de ledelsesmæssige valg rækker i forhold til intern revisions virke i forhold til ICAAP. requires that the operational risk management processes and measurement system must be subject to regular reviews performed by internal and/or external auditors. We consider that it is the firm s responsibility to determine the frequency, nature and extent of its reviews and whether reviews should be carried out by internal auditors, external auditors, or both. A firm should be able to assure us about the breadth and depth of the review work it has undertaken. Kilde: FSA (2006). Strengthning Capital Standards 2 CP 06/3 pkt. 13.11. FSA tilkendegiver hermed, at FSA ser det som en ledelsesmæssige opgave at fastsætte frekvens, form og omfang af undersøgelsen samt at beslutte, om det er hhv. ekstern revision eller intern revision, der skal varetage opgaven. 3.2.2 Intern revisions specifikke rolle i ICAAP Internationale publikationer indikerer, at intern revision bør have en specifik rolle i forhold til ICAAP, hvilket bl.a. fremgår af nedenstående. The scope of internal audit work includes the review of risk management procedures, internal control systems, information systems and governance processes. Kilde: BIS (2001). Internal Audit Charter ver. 1., 2003. Dette statement forstærkes yderligere af nedenstående, og det må være fair at konkludere, at intern revision bør have en specifik rolle i relation til ICAAP. 65 - Financial Services Authority (UK) svarende til Finanstilsynet i DK. - 28 -

An independent review of the risk measurement system should be carried out regularly in the bank s own internal auditing process. A review of the overall risk management process should take place at regular intervals (ideally not less than once a year) and should specifically address, at a minimum: the integration of risk measures into daily risk management, the validation of any significant change in the risk measurement process, the accuracy and completeness of position data, the verification of the consistency, timeliness and reliability of data sources used to run internal models, including the independence of such data sources, and the accuracy and appropriateness of volatility assumptions. Kilde: BIS (2001). International Convergence of Capital Measurement and Capital Standards - A Revised Framework, June 2004, pkt. 165. Intern revision skal naturligvis være opmærksom på problematikken vedr. uafhængighed i forhold til at indtage en central rolle i ICAAP. Helt grundlæggende skal intern revision være opmærksom på, at dens rolle ikke må medføre tvivl om intern revisions uafhængighed og objektivitet. Det fremgår således af Rev.bek. 12 stk. 3 at: Intern revision må ikke påtage sig opgaver, når der foreligger omstændigheder, der er egnet til at vække tvivl hos en velinformeret tredjemand om den interne revisions uafhængighed. Intern revision kan og skal ikke påtage sig opgaver, som strider mod 12 stk. 3 66. Men dels ses intern revision at være pålagt nogle opgaver i ICAAP, og dels besidder intern revision, qua intern revisions generelle gode kendskab til instituttets interne kontrolmiljø 67, en væsentlig viden om instituttets risici, hvorfor det giver god mening, at intern revision påtager sig en række opgaver i relation til ICAAP. Men hvordan fastsætter intern revision sin specifikke rolle i ICAAP, eller jf. FSAs udmelding, hvordan fastsætter ledelsen intern revisions rolle i ICAAP? Dette er et meget åbent spørgsmål, som det er svært at give et entydigt og generelt svar på. ICAAP er et begreb, og valgmuligheder i forhold til metodevalg, organisation mv. gør, at alle institutters ICAAP bliver unik. Som det fremgår af figur 7 er risk ma- 66 - Finanstilsynet (2006). Den interne revision i den finansielle sektor, afsnit 4.2.4. 67 - Forretningsgange, manuelle og programmerede kontroller, it-systemer mv. - 29 -

nagement i pengeinstitutter anno 2007 en kompleks proces, der indeholder mange elementer, processer og interessenter. Antallet af interessenter forstærkes desuden af kravet om funktionsadskillelse jf. FiL 71 stk. 1 nr. 7. De mange risici, elementer, interessenter, kravet om funktionsadskillelse mv. gør, at ICAAP kan blive en meget kompleks størrelse, hvori en lang række af organisatoriske enheder deltager, og som de påvirkes af. I et forsøg på at skabe en ramme, hvori intern revisions specifikke rolle i ICAAP kan fastsættes, vil jeg hente inspiration fra corporate governance debatten samt revisionslitteraturen og besvare ovenstående spørgsmål ud fra en agentteoretisk synsvinkel. 3.2.3 En agentteoretisk behandling af ICAAP I litteraturen findes mange eksempler på, at agentteorien anvendes til at belyse ekstern revisions samfundsmæssige rolle, og agentteorien ses ofte anvendt i corporate governance debatten. I agentteorien bliver der fokuseret på samspillet mellem ejerne og ledelsen. Debatten om separation af ejerskab, eller hvordan ejerne ved at udøve kontrol sikres, at ledelsen bedst muligt varetager ejernes interesser 68. Tidligere undersøgelser har vist at: Agency theory can help explain the existence of internal audit, the nature of internal audits function and the particular approach adopted by internal auditors to their work Kilde: Adams, M. (1994). Agency Theory and the Internal Audit. Ovenstående er begrundelse for, at agentteorien anvendes til at fastsætte intern revisions rolle i ICAAP. Udgangspunktet for at anvende agentteorien i sammenhæng med ICAAP er, at ICAAP skal ses som et sæt af kontrakter mellem ICAAP og de enkelte elementer. I figur 8 præsenteres et sådan sæt af kontrakter. 68 - Blev introduceret allerede i 1932 af Berle og Means The Modern Corporation and Private Property. - 30 -

Figur 8: ICAAP et sæt af kontrakter. Intern governance Kontrolmiljø Element 1 ICAAP Element 4 Element 2 Element 3 De grå elementer i figur 8 fremgår af appendiks 1. Hvert element kan behandles ud fra DuPont s Internal Audit Product Wheel jf. fig. 20-5 i Auditing & Assurance Service. Det er min holdning, at de mest relevante sevices i denne forbindelse er: Proces Audits Spec. Investigation System Implem. Internal Cont. Assess. Kilde: Egen fremstilling med inspiration fra Staalkjær, B. (2005). Revisionskomitéers rolle i et Corporate Governance perspektiv. Kompleksiteten af ICAAP gør, at der opstår en opsplitning mellem ejerskab og ledelse, eller et principal/agent forhold. Jensen & Meckling beskriver denne sammenhæng således. A Contract under which one or more persons (the principals) engage another person (the agent) to perform some service on their behalf which involves delegating some decision-making authority to the agent Kilde: Staalkjær, B. (2005). Revisionskomitéers rolle i et Corporate Governance perspektiv. I sammenhæng med ICAAP ses en kontrakt at involvere principalens uddelegering af ansvar/beføjelser til agenten, hvorefter agenten træffer beslutninger på principalens vegne. Hermed opstår der risiko for asymmetrisk information og divergerende interesse mellem principalen og agenten. Agenten bliver ansvarlig for forvaltningen af instituttets interesser på det specifikke element 69, og agentens ekspertviden samt indsigt i instituttets og de markedsmæssige forhold, vil alt andet lige overstige principalens viden og indsigt. Der kan hermed opstå risiko for, at agenten ikke altid varetager principalens interesser, hvilket bl.a. kan føre til at: Agenten udnytter sine beføjelser til egne fordele (f.eks. påtager sig en risikoeksponering ud over egne beføjelser, for at opnå et bedre RAROC-afkast), og hermed ikke i principalens interesse (f.eks. ikke i overensstemmelse med den overordnede risikostrategi). 69 - Der henvises til elementerne i appendiks 1. - 31 -

Agenten og principalen ikke har det samme syn på risiko, hvilket kan medføre, at agenten ikke tager de risici, som principalen forventer, eller at agenten vælger at afdække risici med kontroller frem for kapital. Agenten afgiver mangelfuld eller fejlbehæftet rapportering, hvilket stiller principalen i en dårligere position til at fastsætte den overordnede risikostrategi, og til at fastsætte den tilstrækkelige kapital, herunder størrelsen, type og fordeling i forhold til instituttets risici. Omvendt kan principalens interesse i at minimere kapital- og solvensbehovet føre til at: Principalen tilskynder agenten til begrænset, forsinket eller direkte fejlagtig rapportering. Principalen selekterer i agentens rapportering, således rapporteringen passer bedst mulig i principalens ønske om vækst mv. I figur 9 præsenteres en model, hvor ICAAP illustreres ud fra principal/agent synsvinklen. For overblikkets skyld er organisationen fremstillet relativt simpel, men alle elementer i ICAAP indgår i figuren. De sorte linier repræsenterer principalens afgivelse af ansvar/beføjelse, og de røde stiplede linier repræsenterer agentens rapportering på efterlevelsen af beføjelse, overholdelsen af lovgivning, opgørelsen af risici etc. De grå enheder illustrerer de primært ansvarlige for risk management funktionen, mens de grønne enheder illustrerer risikoelementerne 70. De enkelte enheders rolle hhv. principal eller agent er beskrevet i parentes (P/A). Endelig er det illustreret, at kontrolmiljøet er helt grundlæggende for alle funktioner, og at kontrolmiljøet er en delmængde af intern governance. 70 - Element 1 er delt ud på kredit-, markeds- og operationel risiko. - 32 -

Figur 9: ICAAP ud fra principal-agent synsvinkel. SREP (P) ICAAP (A) Bestyrelse (P) Intern Revision Direktion (P/A) Risikostyring (P/A) Intern Governance Finans (P/A) Kreditrisiko (A) Markedsrisiko (A) Operationel risiko (A) Kontrolmiljø Element 2 (A) Element 3 (A) Element 4 (A) Kilde: Egen fremstilling. Modellen illustrerer, at ICAAP indeholder en lang række forhold, hvor der potentielt kan opstå asymmetrisk information og divergerende interesse. Asymmetrisk information og divergerende interesse skaber et behov for en uafhængig part, og det er her, at intern revision kan, og efter min mening bør, indtage en central rolle i ICAAP. Men intern revision ses ikke kun at få en væsentlig rolle i principal/agent forholdet internt i instituttet. Ses problemet mht. asymmetrisk information og divergerende interesse i et større perspektiv, er det min opfattelse, at intern revision også kan indtage en helt central rolle i principal/agent forholdet mellem SREP (Finanstilsynet) og ICAAP. Dette er illustreret i figur 9 med de røde pile mellem SREP og ICAAP. Det er min vurdering, at neutralisering/minimering af asymmetrisk information bør være intern revisions primære rolle i ICAAP, og således et vigtig element i optimeringen af intern governance. Det er her, at intern revisions uafhængige vurdering vil skabe størst værdi for instituttet, ICAAP processen, og givet vis også for Finanstilsynet (SREP). - 33 -

Det er herefter min vurdering, at intern revisions specifikke rolle i ICAAP er fastsat på et overordnet niveau. Herefter kan det naturligvis debatteres, dels hvilket forhold intern revision skal fokusere på, og dels hvilken metodik intern revision kan anvende til at udfylde rollen. Disse områder bliver alene behandlet ganske kort nedenfor, idet det er min vurdering, at litteraturen vedr. intern revisions rolle i ERM i stor grad afdækker disse områder. Der foretages derfor alene kort opremsning af de forhold, som intern revision kan fokusere på. Intern revision kan bl.a. fokusere på at opnå en grad af sikkerhed for: At ICAAP fungerer betryggende. At vurderingen af de enkelte elementer giver et retvisende billede af risiciene. At agenten overholder sine beføjelser og efterlever lovgivningen. At rapporteringen giver et retvisende billede. Der henvises desuden til litteraturen 71, som indeholder yderligere informationer om ovenstående områder. Med hensyn til, hvilken metodik intern revision kan anvende til at udfylde rollen, ses dette også at være beskrevet i litteraturen. Selim & McNamee (1999) præsenterer en model i Risk Management and Internal Auditing: What are the Essential Building Blocks for a Successful Paradigm Change?. Deres model bærer præg af, at kommunikation, feedback og gensidige afhængigheder (link) er nogle helt centrale begreber. Det er min vurdering, at The descriptive model of intergrated risk management and internal auditing beskriver intern revisions rolle meget godt, og at modellen kan anvendes til af fastslå, hvilken metodik og proces intern revision kan anvende i forhold til ICAAP. Modellen er vist i appendiks 9. Endelig skal det nævnes, at intern revision bør overveje, hvilket kriterie der anvendes til at måle ICAAP. Det kan vise sig, at der ligger en ikke uvæsentlig opgave i at implementere et Risk-map system, evt. COSO, som sætter intern revision i stand til at rapportere ud fra et anerkendt og fastlagt kriteriesæt. 71 - IIA (2004). The Role of Internal Auditing in Enterprise-wide Risk Management, Finanstilsynet (2006). Den interne revision i den finansielle sektor, BIS (2001). Internal Audit Charter samt BIS (2001). Internal audit in banks and the supervisor's relationship with auditors. - 34 -

3.2.4 Erklæringsform Indledningsvist skal det bemærkes, at der ikke ses at være et eksplicit krav om, at intern revision skal erklære sig om instituttets ICAAP i CRD. Der vil efterfølgende blive fokuseret på de formelle krav til rapporteringen. Dette vil alene omfatte intern revisions protokollat og påtegning. 3.2.4.1 Intern revisions protokollat Jeg er af den opfattelse, at intern revisions erklæring i forhold til Rev.bek. 6, nr. 1, jf. Rev.bek. 8, fremadrettet vil omfatte ICAAP. Af Rev.bek. 6, nr. 1 fremgår: Hvorvidt virksomhedens administrative og regnskabsmæssige praksis på væsentlige områder, herunder forretningsgange og interne kontrolprocedurer, er tilrettelagt og fungerer på betryggende vis. Det er min vurdering, at ICAAP nødvendigvis må betragtes som en del af administrativ praksis, samt at der ikke kan være tvivl om, at ICAAP er et væsentligt område, og at ICAAP derfor afdækkes i erklæringsmæssig henseende via erklæringen i intern revisions protokollat jf. Rev.bek. 6, nr. 1. Som det fremgår af afsnit 2.2.4.1 stiller Finanstilsynet en lang række eksplicitte erklærings- og oplysningskrav til intern revisions protokollat. Det kan derfor undre, at der i forbindelse med den seneste opdatering af Rev.bek. ikke er indført et eksplicit erklærings- eller oplysningskrav i forhold til ICAAP. 3.2.4.2 Intern revisions påtegning Som beskrevet i afsnit 2.2.4.2 indeholder IIAs standardpåtegning en meget bred formulering rettet mod de etablerede forretningsgange og interne kontroller, og intern revision ses at konkludere på dette, uagtet, at påtegningen ikke beskriver det anvendte kriteriesæt. Det er umiddelbart min vurdering, at den nuværende ordlyd af intern revisions påtegning nødvendigvis må omfatte ICAAP. Men det er langt fra givet, at regnskabsbrugeren ser denne sammenhæng, og som tidligere problematiseret, er informationsværdien af intern revisions erklæring i denne henseende meget begrænset. - 35 -

3.3 Intern revisions rolle i oplysningsforpligtelserne CRD vil give anledning til en række spørgsmål i relation til oplysningsforpligtelserne, som ledelsen skal tage stilling til bl.a.: Hvilken grad af åbenhed og efterlevelse af oplysningsforpligtelserne, herunder detaljeringsgrad i oplysningerne, ønsker ledelsen? Hvilken grad af sikkerhed og hvilket kontrolniveau ønsker ledelsen at have i forbindelse med efterlevelse af oplysningsforpligtelserne? Hvilken erklæring ønsker ledelsen i forhold til de offentliggjorte oplysninger? Disse forhold er bestemt væsentlige i forhold til intern revisions rolle, men spørgsmålene vil ikke blive behandlet yderligere i nærværende afsnit. Dette afsnit vil indeholde en beskrivelse af intern revision rolle i CRD i forhold til oplysningsforpligtelserne. 3.3.1 Afhængighed af ledelsesmæssige valg For så vidt angår intern revisions rolle i relation til oplysningsforpligtelserne kan der henvises til CRD 66, hvoraf det fremgår at: Virksomheden skal sikre, at der sker tilstrækkelig kontrol af de oplysninger, der ikke er omfattet af revisionen af årsrapporten. Det absolut væsentligste forhold for intern revision må derfor være, om oplysningerne præsenteres i årsrapporten eller ej. Vælger ledelsen, at oplysningerne skal offentliggøres i årsrapporten 72, vil det, alt andet lige, medføre at oplysningerne er omfattet af revisionspligten på årsrapporten, formentlig via RS 585 vedr. revision af ledelsesberetningen. Såfremt oplysningerne ikke fremgår af årsrapporten er der ikke revisionspligt, men det enkelte institut skal sikre, at der sker tilstrækkelig kontrol af de oplysninger, der ikke er omfattet af revisionen af årsrapporten. 3.3.2 Intern revisions specifikke rolle i oplysningsforpligtelserne Ovenstående kan føre til yderligere to spørgsmål: Kan oplysningerne i CRD 60 66 gøres til genstand for revision, og med hvilken grad af sikkerhed kan intern revision udtale sig? 72 - Hvilket institutterne muligvis vil vælge som en følge af jf. CRD 70 stk. 17. - 36 -

Kan intern revision foretage kontrollen omtalt i CRD 66? Prioriteringen i, og omfanget af, afhandlingen tillader ikke, at der fremstilles en fuldstændig teoretisk gennemgang af, hvorvidt oplysningerne kan gøres til genstand for revision, og af hvilken rapportering/erklæringsform, der er relevant og teoretisk korrekt i relation til at afgive en erklæring om oplysningerne. Prioriteringen og fravalget er fortaget ud fra, at: Det ikke har været muligt, at finde allerede offentliggjorte oplysninger 73. Der ikke på nuværende tidspunkt findes en best practice for efterlevelsen af oplysningsforpligtelserne. Begrebs- og referencerammen er meget bred og endnu under udvikling / implementering. Prioriteringen afholder mig dog ikke fra, at komme med nogle betragtninger om ovenstående to spørgsmål. Med hensyn til, om oplysningerne i CRD 60 66 kan gøres til genstand for revision, og med hensyn til hvilken grad af sikkerhed revisor kan og skal udtale sig, er det er min vurdering, at oplysningerne kan gøres til genstand for en revision jf. RS 585 74. Det er dog min holdning, at intern revision skal være påpasselig med at udtale sig med en høj grad af sikkerhed. Dette begrundes med, at oplysningsforpligtelserne endnu ikke er offentlig kendte og at best practice ikke er udviklet. Endelig må det forventes, at det bliver svært at indsamle tilstrækkelige og egnede revisionsbevis, idet oplysningernes karakterer er forskellige 75. Intern revision skal være opmærksom på, at såfremt revisionen ikke opnår tilstrækkelig og egnet revisionsbevis om væsentlige oplysninger, skal påtegningen modificeres jf. RS 585 pkt. 18. Jeg finder det relevant at perspektivere til, hvilken metodik udenlandske institutter og revisorer benytter i relation til ledelsesberetningen. I UK, som er langt fremme med 73 - Danske Bank A/S har en lang række af oplysningerne på deres hjemmeside, men de fremgår endnu ikke af årsrapporten. Ref. http://www.danskebank.com/da-dk/ir/crd/pages/crd.aspx 74 - Igen forudsat, at oplysningerne fremgår af ledelsesberetningen. 75 - Finansielle, ikke finansielle, historisk og fremadrettet. - 37 -

implementeringen af CRD, ses revisionspåtegningen 76 at være meget beskrivende og meget præcis mht. arbejdets omfang og konklusionen herpå. We also report to you whether in our opinion the information given in the Directors' report is consistent with the financial statements. We read other information contained in the Annual Report and consider whether it is consistent with the audited financial statements. The other information comprises only Risk management, Directors' report In our opinion the information given in the Directors report is consistent with the financial statements. Kilde: Barclays PLC Annual Report 2006. Der henvises til bilag 12. Af ovenstående ses, at revisor alene udtaler sig om, hvorvidt informationerne i ledelsesberetningen ses at være i overensstemmelse med de øvrige finansielle oplysninger. Man udtaler sig i bløde vendinger og ikke med en høj grad af sikkerhed, eller et retvisende billede. Med hensyn til, om intern revision kan foretage kontrollen omtalt i CRD 66, kan det bemærkes, at det fremgår af Rev.bek. 12, stk. 2, at intern revision ikke må deltage i andet arbejde end revision. Dette uddybes i Rev.bek. bilag 3 afsnit 2.1, hvoraf det fremgår at: Den interne revision må ikke som led i revisionen påtage sig opgaver, når der foreligger omstændigheder, der er egnet til at vække tvivl hos en velinformeret tredjemand om den interne revisions uafhængighed. Ved udførelsen af den finansielle revision må den interne revision eksempelvis ikke udføre kontrolopgaver være en del af den interne kontrol De nævnte opgaver er ikke revision, jf. revisionsbekendtgørelsens 12, stk. 2, ligesom intern revision vil komme i konflikt med forbudet mod selvrevision ved at udføre de nævnte opgaver, jf. revisionsbekendtgørelsens 14, stk. 3. 76 - Ekstern revisions påtegning, intern revision påtegner ikke årsrapporten UK. - 38 -

Hvis man foretager en stram fortolkning af Rev.bek. 12, stk. 2., kan man komme frem til, at intern revision ikke må foretage kontrollen. Det er dog min holdning, at en sådan fortolkning vil være uhensigtsmæssigt, og at praksis bør blive, at intern revision naturligvis kan og bør udføre CRD 66 kontrollen. Denne holdning kan understøttes af ordlyden af Rev.bek. bilag 3 afsnit 2.1, hvoraf det fremgår, at: Den interne revision må ikke som led i revisionen påtage sig opgaver, når der foreligger omstændigheder, der er egnet til at vække tvivl hos en velinformeret tredjemand om den interne revisions uafhængighed. Ved udførelsen af den finansielle revision må den interne revision eksempelvis ikke udføre kontrolopgaver CRD 66 kontrollen er netop en konsekvens af, at oplysningerne ikke er en del af årsrapporten, og dermed er kontrollen ikke et led i revisionen og ikke et element i den finansielle revision. Det skal understreges, at dette er en personlig fortolkning, som ikke ses at være debatteret i litteraturen. 3.3.3 Erklæringsform Indledningsvis skal det bemærkes, at der ikke ses at være et eksplicit krav om, at intern revision skal erklære sig om instituttets opfyldelse af oplysningsforpligtelserne i CRD. Jf. afsnit 3.3.1 modificeres dette, såfremt oplysningerne fremgår af årsrapporten, idet intern revisions påtegning således omfatter oplysningsforpligtelserne. 3.3.3.1 Intern revisions protokollat Det kan debatteres hvorvidt intern revisions erklæring i forhold til Rev.bek. 6, nr. 1, jf. Rev.bek. 8, omfatter oplysningsforpligtelserne. Det er min vurdering, at oplysningsforpligtelserne er en del af den administrative praksis, og at oplysningsforpligtelserne afdækkes erklæringsmæssigt via erklæringen i intern revisions protokollat jf. Rev.bek. 6, nr. 1. Bemærkningen som fremgår af afsnit 3.2.4.1 vedr. Finanstilsynets eksplicitte erklærings- og oplysningskrav kan ligeledes gøres gældende i forhold til instituttets opfyldelse af oplysningsforpligtelserne. 3.3.3.2 Intern revisions påtegning Såfremt oplysningerne fremgår af årsrapporten, vil de være omfattet af intern revisions påtegning på denne. Som skrevet, så er det min vurdering, at det kan blive svært - 39 -

at opnå tilstrækkeligt revisionsbevis i relation til oplysningerne, og det bliver derfor spændende at se, hvilken påtegning intern revision, såvel som ekstern revision, vælger i relation til oplysningsforpligtelserne, såfremt oplysningerne kommer til at fremgå af årsrapporten. Det er min vurdering, at intern revision og evt. IIA kan og bør præcisere deres påtegning i relation til oplysningsforpligtelserne (ledelsesberetningen). Intern revision og IIA kan hente en del inspiration i de formuleringer, som fremgår af revisionspåtegningerne i udenlandske bankregnskaber, som efter min vurdering er mere passende og nuancerede i forhold til formålet, ledelsens ansvar, arbejdets omfang og konklusionen herpå. 3.4 Sammenfatning Dette kapitel har beskrevet CRD og risikostyring på et overordnet niveau, samt belyst hvilken rolle intern revision ses at få i CRD. Det er ligeledes blevet beskrevet, at intern revision er pålagt en lang række af opgaver i søjle I, og at intern revision ses at få en væsentlige rolle i hhv. søjle I, II og III. Det kan konkluderes, at en række ledelsesmæssige valg kan og vil få væsentlig indflydelse på intern revisions rolle i CRD. I kapitlet er der blevet fokuset på intern revisions rolle ifm. ICAAP og oplysningsforpligtelserne. Ved at anvende en agentteoretisk behandling af emnet kan det konkluderes, at intern revision kan få en meget central rolle i forbindelse med neutralisering/ minimering, af asymmetrisk information, samt at interne revision kan blive et vigtigt element i optimeringen af intern governance. Såfremt dette bliver intern revisions fremtidige virke, kan intern revision blive en værdiskabende enhed, idet en god ICAAP alt andet lige vil medføre et lavere tillæg til kapital- og solvensbehovet i søjle II. Det er endnu ikke muligt at måle denne besparelse, idet: CRD først slå fuldt ud igennem i perioden 2008-2010. Omkostningerne til intern revision er ikke offentligt tilgængelige. Finanstilsynet endnu ikke har taget stilling til forholdet mellem SREP og ICAAP samt intern revisions værdi i dette forhold. - 40 -

Endelig kan det konkluderes, at de nuværende erklæringer i intern revisions protokollat omfatter ICAAP såvel som oplysningsforpligtelserne. For så vidt angår intern revisions påtegning på årsrapporten kan det konkluderes, at såfremt årsrapporten indeholder en beskrivelse af CRD, herunder ICAAP, talmæssige oplysninger i relation til opgørelsen af kapital- og solvensbehovet mv. vil dette være omfattet af intern revisions påtegning på årsrapporten. Det konkluderes, at intern revision bør være opmærksom på dette forhold, og det anbefales, at ordlyden af intern revisions påtegningen revurderes. - 41 -

4 Post CRD Dette kapitel opstiller en række spørgsmål til intern revisions fremtidige rolle. Spørgsmålene bliver debatteret og forsøgt besvaret ud fra kapitel 2 og 3. Der vil i kapitlet blive fokuseret på, om en professionalisering af intern revision i pengeinstitutsektoren er påkrævet og mulig, ligesom det vil blive debatteret hvem der kan forventes at drive en sådan proces? Det vil desuden blive debatteret, om CRD vil give anledning til at ændre den danske model og intern revisions arbejdsopgaver. 4.1 Professionalisering af intern revision Processen med professionaliseringen af intern revision ses at gå tilbage til slutningen af 1940érne, og etableringen af The Institute of Internal Auditors i 1941 kan statueres som år ét i professionaliseringen af intern revision. Dette afsnit vil debattere, om en yderligere professionalisering af intern revision i pengeinstitutsektoren er mulig og påkrævet, og der bliver foretaget en vurdering af, om intern revision i sin nuværende form og under den nuværende lovgivning kan indfri potentialet i en eventuel professionalisering. I 1965 skrev Campfield, W. 77, at en profession er neither made made by law nor just born. Campfield, W. konkluderede desuden at:... although internal auditors are not fully qualified as professionals they should be able to achieve such stature in the near future if they take certain adequately conceived and timely action. They need to 1. Establish a uniform educational process 2. Formulate and publish a code of professional standards 3. Develop a system of examination and accreditation of practitioners Kilde: Campfield, W. (1965). Professional Status for Internal Auditors. De tre behov, som Campfield påpegede, har IIA Int. afdækket ved at udvikle IIA-S, kodeks, CIA uddannelsen/cia-titlen 78. IIA Int. har således haft en vigtig rolle i pro- 77 - Campfield, W. (1965). Professional Status for Internal Auditors. 78 - Certified Internal Auditor. - 42 -

fessionaliseringen af intern revision. I de senere år har undersøgelser 79 dog konkluderet at: Variationen af intern revisions rolle er markant, og at organisationens syn på intern revision ses at bestemme intern revisions rolle. Intern revision mangler symbolisme, en anerkendt titel og eksklusivitet, samt at intern revision lider under etiske kompromis og korte ansættelsesforhold. Manglende jurisdiktion 80 er den væsentligste hindring for yderligere professionalisering af intern revision. Det er således påvist, at professionaliseringen af intern revision endnu ikke er lykkes fuldt ud, og at der er en række hindringer for, at det på sigt skal lykkes. Seneste forskning på området ses at komplementerer ovenstående. Arena & Jeppesen præsenterede i oktober 2007 81 deres undersøgelse vedrørende Internal auditings jurisdiction and the quest for professionalization: The Danish case. Af deres forskning fremgår det, at: It appears clear that the IIA Standards does not play a normative role here The degree of professionalization of Danish internal auditing is equally questionable, in particular because the claim to act in the public interest has only been partly recognized by the state competition with external auditing is so evident External auditing has had the full jurisdiction of financial auditing in Denmark Kilde: Arena, M. & Jeppesen, K. (2007). Internal auditings jurisdiction and the quest for professionalization: The Danish case. Arena & Jeppesen konkluderer at, medmindre intern revision, underforstået IIA, opbygger en velfungerende uddannelsesmiljø på universitetsniveau, så bliver en yderligere professionalisering ikke mulig. Det konkluderes endvidere, at såfremt intern revision opnår succes med at bryde ekstern revisions dominerende jurisdiktion, vil det skabe problemer i relation til forsat at adoptere ekstern revisions professionelle sta- 79 - An assessment of the newly defined internal audit function og Genesis of a profession: towards professional status for internal auditing. 80 - Jurisdiktion er magt til at udøve myndighed, for eksempel en domstols magt til at dømme eller en regerings myndighed til at regere og lovgive. 81 - Arena, M. & Jeppesen, K. (2007). Internal auditings jurisdiction and the quest for professionalization: The Danish case. Præsenteret på Fourth European Auditing Research Network Symposium, Århus. - 43 -

tus, samt at anvende ekstern revisions uddannelsesmiljø og standarder. Det vil ultimativt føre til, at intern revisions niche i forhold til f.eks. risk management bliver meget begrænset, og at risk management området ikke er tilstrækkelig til at skabe en profession. Det er min vurdering, at Arena & Jeppesens undersøgelser viser en reelt billede af situationen anno 2007 også isoleret set i forhold til intern revision i pengeinstitutsektoren. I kapitel 2 blev det problematiseret, at loven ikke definerer intern revision i pengeinstitutsektoren, samt at intern revision i pengeinstitutter i væsentlige grad er underlagt: Finanstilsynets anvisninger. Ekstern revisions god revisionsskik mv. 82 Bestyrelsen, som har ansvaret for intern revisions etablering. Disse forhold vurderes tilsammen at være en stor del af den manglende professionalisering af intern revision i pengeinstitutsektoren. Men er en yderligere professionalisering af intern revision i pengeinstitutsektoren påkrævet og mulig, og hvem kan forventes at drive en sådan proces? I de efterfølgende afsnit debatteres rollerne i en yderligere professionalisering af intern revision med udgangspunkt i intern revision og dens interessenter, som blev beskrevet i kapitel 2, og IIA. 4.1.1 Intern revisions roller i en yderligere professionalisering Kan intern revision i pengeinstitutsektoren forventes at tage en aktiv rolle i en yderligere professionalisering? Det kan være svært at finde argumenter for, at intern revision skulle ønske at ændre deres nuværende position. Den nuværende lovgivning skaber et behov for og et krav om interne revision, og intern revision har gennem en lang årrække bevist, at de både kan og vil udføre den finansielle revision, og fungere som underleverandører til eks- 82 - Revisionsstandarder, Blåstempling af intern revisions bemærkninger i protokollatet, godkendelse af arbejdsdeling mv. - 44 -

tern revision. Intern revision har adgang til at påtegne årsrapporten og på denne måde synliggøre sin eksistens for offentligheden. En yderligere professionalisering vil sandsynligvis medføre, at intern revision tvinges til at iagttage og efterleve IPPF og IIA-S, og det kan ikke udelukkes, at en yderligere professionalisering vil medføre et krav om, at revisionschefen og evt. medarbejderne i intern revision skal have en titel som CIA og evt. CFSA 83. Et yderligere professionalisering vil alt andet lige medføre nogle nye krav, som intern revision på nuværende tidspunkt kan få svært ved at indfri. Med hensyn til anvendelsen af IPPF og IIA-S vil dette være et naturligt krav i forbindelse med en yderligere professionalisering. Men som beskrevet i kapitel 2, så ses ingen af de udvalgte revisionspåtegninger at indeholde en udtalelse om, at intern revision arbejder iht. dette framework og disse standarder. Intern revision arbejder ud fra gældende danske revisionsstandarder, vejledninger mv., hvor der findes et let tilgængeligt marked for fortolkningsbidrag, uddannelse/kurser og konsulentydelser. Det er min vurdering, at der ikke er mange indikationer på, at intern revision og revisionscheferne i institutterne vil stille krav om yderligere professionalisering, medmindre de tvinges til det på grund af truslerne mod intern revision. De direkte trusler for intern revision ses ikke at komme fra intern revisions interessenter, herunder bestyrelsen, ekstern revision eller finanstilsynet. Truslerne ses at komme fra organisationen og lovgrundlaget, herunder Basel II, CRD, MiFID, revisionsstandarder mv. CRD og MiFID indeholder en række krav til intern revision, men også krav om visse organisatoriske enheder, hvis funktion kommer meget tæt på intern revisions virke. Organisatoriske enheder som CRCU 84, operationel risiko og compliance ses at indeholde arbejdsmæssige opgaver, som i stor udstrækning komplementerer intern revisions arbejdsopgaver. Disse enheder kan på sigt blive en trussel mod intern revision. Denne trussel vurderes at være meget reel for de interne revisionsafdelinger, som primært udfører operationel revision, og mindre reel for de interne revisionsafdelinger, som primært udfører finansiel revision. 83 - Certified Financial Services Auditor. 84 - Credit Risk Control Unit. - 45 -

En anden trussel for intern revision er lovgrundlaget, ændringerne i lovgrundlaget og omfanget heraf. CRD, MiFID, IAS/IFRS, regnskabsbekendtgørelsen, revisionsstandarder mv. bliver mere og mere specifikke, og kompleksiteten stiger. Lovgrundlaget skaber en væsentlig udfordring for intern revision. Denne udfordring medfører dels et ressourcemæssigt spørgsmål, og dels et spørgsmål til intern revisions evnen til at absorbere reglerne. Intern revision udsættes for et relativt stort pres fra omfanget af, og ændringerne, i lovgrundlaget. Det er min vurdering, at intern revision i pengeinstitutsektoren vil mærke et stigende behov for ressourcer. Det er svært at se, at intern revision kan absorbere lovgrundlaget, samtidig med, at intern revision opretholde en høj kvalitet i det udførte arbejde, uden en tilførsel af flere ressourcer. Samlet set er det min vurdering, at intern revision ikke bliver drivkraften i en yderligere professionalisering. Intern revision forventes at bruge ressourcerne på at modstå det organisatoriske pres, og presset fra lovgrundlaget, underforstået omfanget heraf samt kompleksiteten og ændringerne heri. 4.1.2 Interessenternes roller i en yderligere professionalisering af intern revision I dette afsnit vil de enkelte interessenters indflydelse på og interesse i en yderligere professionalisering af intern revision vil blive debatteret. 4.1.2.1 Bestyrelsen Som beskrevet i kapitel 2 og 3 har og får bestyrelsen en helt central rolle i relation til intern revision. Bestyrelsens interesse for intern revision er blevet, eller bør blive, forstærket yderligere af EU 8. direktiv og corporate governance kravene. Etableringen af revisionskomiteer er et varmt emne, og litteraturen herom er øget gennem de seneste år. I relation til revisionskomiteen ses intern revision også at få en central rolle, hvilket bliver beskrevet yderligere i afsnit 4.2.3. Jeg er af den opfattelse, at bestyrelsens påvirkning af intern revision kan få stor indflydelse på professionaliseringen af intern revision 85. Som beskrevet i kapitel 2, så kan bestyrelsen beslutte, at revisionschefen skal påtegne årsrapporten, og dette har historisk medført, at intern revision udføre en stor del af den finansielle revision. Men kan bestyrelsen og intern revision 85 - Sarens, G. & De Beelde, I. (2006). The Relationship between Internal Audit and Senior Mnagement: A Qualitative Analysis of Expectations and Perceptions. - 46 -

beslutte, at påtegningen i fremtiden i langt højere grad skal rettes mod forretningsgangene, interne kontroller og CRD? Umiddelbart kan svaret ikke læses eksplicit af Rev.bek. 19 stk. 2 og 3. Omvendt ses der ikke at være et forbud mod, at intern revisions påtegning i højere grad fokusere på andet end finansielle oplysninger. Eventuelle ændringer til intern revisions nuværende påtegning på årsrapporten behandles yderligere i afsnit 4.2.4, men det er min vurdering, at bestyrelsen, via ændret krav til intern revisions påtegning, og hermed intern revisions virke, kan være med til at understøtte en yderligere professionalisering af intern revision. 4.1.2.2 Ekstern revision Ekstern revision kan ikke forventes at blive drivkraften i en yderligere professionalisering af intern revision. Som Arena & Jeppesen skriver 86, så har ekstern revision fuld kontrol over dels intern revision, og dels uddannelsesmiljøet på universiteterne, de faglige standarder mv. De har tilmed eneret på at fremtræde som offentlighedens tillidsrepræsentant, hvorfor der skal meget til at true deres position. Omvendt mener jeg ikke, at ekstern revision nødvendigvis bør være interesseret i en svækkelse af intern revision, idet dette alt andet lige vil medføre, at ekstern revision skal udføre mere arbejde for at indsamle tilstrækkelig og egnet revisionsbevis til at understøtte påtegningen på årsrapporten. Ekstern revision skal desuden opbygge et tættere kendskab til kontrolmiljøet, og bruge en del ressourcer på at vedligeholde dette kendskab, hvilket kan være en omkostningstung proces, som ikke nødvendigvis fuldt ud kan faktureres til instituttet. 87 Der bør dog ikke være tvivl om, at ekstern revision meget gerne vil sælge en lang række konsulentydelser i forbindelse med CRD, ICAAP, oplysningsforpligtelser mv., og at der i den forbindelse kan og vil opstå konkurrence mellem intern revision og ekstern revision. Umiddelbart vurderet er det et attraktivt marked for ekstern revision, og det er min forventning, at ekstern revision vil sætte mange ressourcer ind på at 86 - Arena, M. & Jeppesen, K. (2007). Internal auditings jurisdiction and the quest for professionalization: The Danish case. 87 - Konkurrencen mellem revisionsselskaberne ifm. licitationsrunder på den finansielle revision kan medføre, at ekstern revision stiller en pris, som ikke nødvendigvis rummer plads til det omfattende arbejde mht. at opnår et tilstrækkeligt kendskab til kontrolmiljøet. - 47 -

opnå en del af markedet. Det er dog min vurdering, at intern revision bør have en gunstig position i denne konkurrence, idet intern revision allerede besidder stor vide om kontrolmiljøet samt institutspecifikke forretninger og risici, hvilket gør, at de som udgangspunkt har en god mulighed for at leverer varen af en høj kvalitet til en pris, som ekstern revision får svært ved at matche. 4.1.2.3 Finanstilsynet I kapitel 2 konkluderes det, at Finanstilsynet er den væsentligste interessant til intern revision. Det er således også evident, at Finanstilsynet har en absolut nøgleposition i forhold til en yderligere professionalisering af intern revision. Finanstilsynets rolle som udsteder af Rev.bek., tilsynsførende enhed overfor instituttet (SERP) og Finanstilsynets generelle magt i pengeinstitutsektoren gør, at Finanstilsynet kan blive en væsentlig faktor i forbindelse med en yderligere professionalisering af intern revision. Det er min vurdering, at der er en række forhold, hvor Finanstilsynet kan medvirke til en yderligere professionalisering af intern revision. Nedenstående punkter bør ikke betragtes som en udtømmende liste. Det er nogle punkter, som jeg finder centrale i forhold til at belyse Finanstilsynets rolle i en yderligere professionalisering af intern revision. Det kunne føre til en yderligere professionalisering af intern revision, hvis: Finanstilsynet stiller krav om, at intern revision skal udføre arbejdet iht. IPPF og IIA-S. Finanstilsynet stiller krav om, at revisionschefen og dennes stedfortræder skal have en titel som CIA/CFSA. Finanstilsynet fremmer interessen for eller stiller krav om, at intern revisions påtegning på årsrapporten i højere grad skal fokusere på CRD, herunder ICAAP og oplysningsforpligtelser, frem for finansielle oplysninger. Men som Campfield, W. sagde: a profession is neither made by law nor just born. Finanstilsynet kan med ovenstående ændringer ikke sikre en yderligere professionalisering af intern revision, men jeg er dog af den overbevisning, at ovenstående vil bidrage positivt processen. - 48 -

4.1.3 IIAs rolle i en yderligere professionalisering af intern revision IIA.Int. har været den altoverskyggende faktor i forhold til professionaliseringen af intern revision. IIA.Int. ses at fortsætter dette arbejde og har bl.a. udarbejdet en strategiplan for perioden 2008-2013. Strategiplanen indeholder fem målsætninger i forhold til IIA.Int. s position anno 2013. Det er fem ambitiøse og relevante målsætninger, der skal bringen professionalisering af intern revision op på et nyt niveau. Hvis strategien lykkes, er der ingen tvivl om, at intern revision står stærkere end i dag, men om IIA.Int. opnår fuld jurisdiktion 88 er meget svært at vurdere. De fem målsætninger IIA.Int. arbejder med, er: Internal auditing will be universally recognized as a profession. The IIA will have defined the principles of the profession and ensure that the principles are available seamlessly worldwide. The Institute will have ensured adherence to professional requirements. The IIA will have become the preferred provider in the research, development, and dissemination of knowledge to advance the profession. The IIA will be seen by its members, and will operate, as one global organization. Kilde: Internal Auditor (2007). Going up. August 2007 side 77. Ud over ovenstående fem målsætninger, er det min vurdering, at CBOK 89, IPPF og IIA-S er helt centrale elementer i professionaliseringsprocessen. Men et er, hvad IIA.Int. foretager på international plan, noget andet er, hvad der sker i Danmark. IIA og intern revision er p.t. ikke særlig udbredt eller offentlig anerkendt i Danmark, end ikke i den finansielle sektor, hvor intern revision har eksisteret en længere årrække. Det er min vurdering, at der i Danmark er meget lang vej endnu, og at der skal et mere international (europæisk) perspektiv til, hvis missionen skal lykkes. Det er min vurdering, at IIA er for lille, og har for lidt styrke, til at kunne opnå yderligere professionalisering. Dette dels i forhold til offentligheden, Finanstilsynet, lovgivningen og uddannelsesinstitutionerne, og dels i forhold til ekstern revision. Ekstern revision (FSR) har en styrke og en position, som IIA ikke kan konkurrere med. 88 - Arena, M. & Jeppesen, K. (2007). Internal auditings jurisdiction and the quest for professionalization: The Danish case. Der henvises til tabel 2. 89 - Se yderligere appendiks 11. - 49 -

4.1.4 Nye muligheder for professionaliseringen via CRD? Som beskrevet ovenfor, så ønsker IIA.Int. at sikre yderligere professionalisering af intern revision via fem strategiske målsætninger. I en tid med globalisering og internationalisering kan det ikke udelukkes, at det kan lykkes. Isoleret set for intern revision i pengeinstitutsektoren giver Basel II og CRD en unik mulighed for, at IIA.Int. s mission lykkes. Det er min vurdering, at CRD, ICAAP og oplysningsforpligtelserne, herunder intern governance, matcher interne revision og dens virke rigtig godt. Det er derfor min holdning, at professionaliseringen af intern revision i pengeinstitutsektoren i de kommende år vil og bør blive forstærket grundet CRD. Men det er helt centralt, at intern revision udnytter mulighederne og ikke forfalder til at gøre som vi altid har gjort. Intern revision er gode til at bistå ekstern revision i den finansielle revision, og det er formentlig heller ikke hensigtsmæssigt, at intern revision slet ikke skal beskæftige sig med finansiel revision, men det er min vurdering, at bestyrelsen bør præsenteres for et oplæg til en revurderet arbejdsdeling mellem intern revision og ekstern revision. Det er ligeledes min vurdering, at hvis intern revision tager initiativ til en drøftelse med bestyrelsen om risiciene og mulighederne i CRD, bør det give anledning til, at bestyrelsen overvejer, hvilke risici de accepterer, og hvilke risici de ønsker afdækket af intern revision. Som beskrevet i kapitel 3 mener jeg, at agentteorien kan anvendes som udgangspunkt for denne drøftelse, og at denne teori give et godt og overskueligt billede af nogle af de centrale problemstillinger i CRD. Jeg er således ikke i tvivl om, at CRD rummer muligheder for en yderligere professionalisering af intern revision, og at intern revision kan skabe mere værdi for det enkelte institut ved at ændre fokus mod CRD, og i mindre grad have fokus på finansiel revision. 4.1.5 Kan intern revision indfri potentialet i en evt. professionalisering? Mulighederne i CRD skaber naturligvis også udfordringer. Som beskrevet i kapitel 3 kan det forventes, at instituttets ICAAP og oplysningsforpligtelser bliver unikke. Men - 50 -

betyder det, at intern revision i pengeinstitutsektoren ikke kan skabe en fælles begrebsramme for revisionen af CRD? 90 Det er min holdning, at dette ikke er tilfældet, og det er tilmed min holdning, at det er en nødvendighed, at der skabes en fælles begrebsramme for revisionens gennemførelse, såfremt intern revision skal indfri potentialet i en professionalisering i forhold til CRD. IIA 91 bør tage teten på dette område og nedsætte et udvalg, som kan udarbejde en fælles begrebsramme for revisionens gennemførelse ifm. CRD. Min holdning til, at en fælles begrebsramme er nødvendig og vil fremme professionaliseringen af intern revision begrundes med, at 92 : CRD er kompleks og omfattende, og at en række interne revisionsafdelinger ikke nødvendigvis har ressourcerne og/eller kompetencerne til at udarbejde en tilfredsstillende metodik på området. Individuelle løsninger kan potentielt skabe usikkerhed om intern revision rolle i CRD. En fælles begrebsramme vil fremme forståelse for intern revisions virke i relation til CRD. En fælles begrebsramme vil fremme dialogen med Finanstilsynet. Begrebsramme bør indeholde en beskrivelse af: Ledelsens ansvar og valg i forhold til CRD. Intern revisions rolle og ansvar forhold til ICAAP, oplysningsforpligtelserne og intern governance. Formålet med og omfanget af intern revisions undersøgelser. Kriteriesætte som anvendes i intern revisions undersøgelser. En ensartet og konsistent konklusionsform på undersøgelserne. Hvem rapporteringen skal stiles til og hvilken grad af sikkerhed den bør indeholde. 90 - Udvalget kan nedsættes iht. IIAs vedtægter afsnit 7. Fremgår af bilag 13. med Finanstilsynet 91 Specifikt den finansielle afdeling af IIA Danmark. 92 - Internal Auditor (2007). Entity-level controls. Oktober 2007 side 50-54. Der kan foretages perspektivering til erfaringer fra Holland, hvor IIA nedsatte en task force til at udarbejde et framework, som skulle sikre, at intern revisions arbejdet er compliant med SOX. - 51 -

Hvem en eventuel offentlig erklæring skal adresseres til, og hvilken grad af sikkerhed den bør indeholde. Endelig skal det nævnes, at det for mig at se kan fremme professionaliseringsprocessen, at en fælles begrebsramme debatteres og udvikles i samarbejde med samt accepteres af Finanstilsynet. Fokusering på CRD vil alt andet lige medføre, at intern revisions fremtidig rolle i et vist omfang ændres. I næste afsnit vil intern revisions fremtidige rolle blive belyst på udvalgte områder. 4.2 Intern revisions fremtidige rolle Som beskrevet i kapitel 2 ses intern revisions nuværende rolle at være fokuseret på finansiel revision. Som det fremgår af kapitel 3 indeholder CRD en lang række krav og muligheder for intern revision, og som nævnt i afsnit 4.1 skaber CRD en mulighed for, og måske et krav om, en yderligere professionalisering af intern revision. Men spørgsmålet er om intern revisions virke fremadrettet skal være uændret, eller om fremtiden byder på nye udfordringer for intern revision? I de efterfølgende afsnit vil det blive debatteret, om CRD vil give anledning til at ændre de arbejdsopgaver, som intern revision varetager, og om CRD giver anledning til at revurdere den danske model. 4.2.1 Den danske model - er det tid til en revurdering? I 2005 blev det undersøgt, om den danske model for intern revision i pengeinstitutsektoren var/er konform med europæiske forhold, herunder Basel Komiteens tanker om intern revisions virke. Finanstilsynet og det nedsatte udvalg fremkom med 6 ændringsforslag 93 til Rev.bek. samt et forslag om et nyt bilag til Rev.bek. Ændringsforslagene og bilaget ses at være medtaget i seneste opdatering af Rev.bek. oktober 2007, men de reelle ændringer er begrænsede, og der er ikke tale om en revolution af intern revisions virke. I rapporten konkluderes det at: 93 - Der henvises til rapportens afsnit 5.2. - 52 -

Organiseringen af intern revision i Danmark i høj grad efterlever Basel Komiteens anbefalinger. Den danske model adskiller sig ved, at den interne revision kan påtegne årsrapporten. Den danske model ikke klar adskiller sig fra en europæisk model Den danske model ikke er en outliner. Kilde: Finanstilsynet (2006). Den interne revision i den finansielle sektor. Men er det ensbetydende med, at der ikke er et behov for nytænkning og en revurdering af intern revisions virke? Som indledningsvist nævnt, så beskrives CRD som en revolution i den finansielle sektor, og det er min opfattelse, at CRD giver anledning til at foretage en revurdering af intern revisions virke. Hvorvidt der bliver tale om en revolution af intern revision skal jeg ikke tage stilling til, men jeg er dog af den holdning, at intern revisions virke bør revurderes. Spørgsmålet er ganske enkelt hvor har intern revision størst værdi? Et centralt punkt for en revurdering af den danske model er, om intern revision forsat skal have mulighed for at påtegne årsrapporten på lige fod med ekstern revision. Der er tidligere blevet argumenteret for, at dette ikke bør være tilfældet. Det er således min holdning, at den danske model bør revurderes på dette område. Såfremt intern revisions mulighed for at påtegne årsrapporten bliver rettet mod interne kontroller, forretningsgange og CRD, vil man, for mig at se, fremme processen og kvaliteten i intern revisions arbejdet på området. 4.2.2 Skal fokus i intern revisions arbejdsopgaver ændres? Som det fremgår af kapitel 3, så kan fremtiden være fyldt med mange nye udfordringer for intern revision. CRD, herunder søjle I, ICAAP, oplysningsforpligtelserne, intern governance samt forholdet mellem ICAAP og SERP giver intern revision i pengeinstitutsektoren en unik mulighed, men også en lang række udfordringer. Tillæg herefter selskabsretslige regler, som EU 8 selskabsdirektiv, corporate governance mv., og intern revision anno 2007 står i en endnu mere unik position. Denne udvikling bør give anledning til, at intern revisions virke tages op til overvejelse. Men hvorfor skal der ændres på en arbejdsdeling mellem intern revision og ekstern revision, som - 53 -

har fungeret rigtig godt i mange år, og som er godt indarbejdet i det enkelte institut og i reguleringen? Det er for mig at se meget ligetil at svare på dette, idet det er min holdning, at intern revision kan skabe størst værdi for instituttet, ved at flytte fokus mod CRD. Det er min holdning, at intern revision fremadrettet kan få betydelig større værdi for instituttet ved at fokusere på neutralisering/minimering af asymmetrisk information og optimering af intern governance. I henhold til afsnit 3.2.3 kan intern revisions fremtidige arbejdsopgaver omfatte 94 : Test af effektiviteten, relevansen og pålideligheden af ICAAP processen. Validering af det opgjorte solvensbehov i relation til de enkelte elementer, og evt. i relation til specifikke risici. Skabe sikkerhed for at rapporteringen giver et retvisende billede af de underliggende risici. Ovenstående arbejdsopgaver vil alt andet lige medføre en række ændringer i forhold til intern revision nuværende virke både arbejdsmæssigt og rapporteringsmæssigt. 4.2.3 Skal intern revision have ansvaret for revisionen af CRD? I afsnit 4.1.2.1 blev det omtalt, at intern revision kan forventes at have, eller at få, en central rolle i relation til revisionskomiteen. Men kan en revurderet arbejdsdeling mellem ekstern revision og intern revision tilføre revisionskomiteen yderligere indsigt i revisionsmæssige forhold, dels i relation til finansielle forhold og dels i relation til operationelle forhold? Den nuværende arbejdsdeling, hvor intern revision og ekstern revision begge har ansvaret for, og stor interesse i, de finansielle revisionsopgaver, kan medføre, at fokus ikke i tilstrækkelig grad rettes mod operationelle forhold, herunder ICAAP, oplysningsforpligtelser, intern governance mv. Undersøgelser har vist 95, at rapportering af forhold omkring interne kontroller og governance minimeres, såfremt der er overvægt 94 - Der henvises desuden til appendiks 6, pkt. 165. 95 - Krishnan, C. V. & Visvanathan G. (2007). Reporting Internal Control Deficiencies in the Post- Sarbanes-Oxley Era: The Role of Auditors and Corporate Governance. - 54 -

af finansielle eksperter i revisionskomiteen. De finansielle eksperter har tendens til at rette fokus mod deres interesseområde, finansiel revision, og sætte interne kontroller og governance i anden række. Med baggrund i denne viden kan det debatteres, om det ville være relevant at ændre arbejdsdelingen mellem intern og ekstern revision, således revisionen som helhed får et bredere og mere nuanceret perspektiv. Det er min holdning, at ekstern revision, som offentlighedens tillidsrepræsentant, har og forsat skal have det ultimative ansvar for den finansielle revision. Men det er samtidig min holdning, at intern revision bør have det ultimative ansvar for revisionen af CRD. En sådan arbejdsdeling skal formentlig gennemføres relativt konsekvent for at den fulde effekt opnås. Det er således min holdning, at det ikke blot er arbejdsdelingen, men også rapporteringen, der skal ændres, idet dette vil skabe den nødvendige fokus på henholdsvis ekstern revisions og intern revisions ansvarsområder. En sådan arbejdsdeling kan præsenteres som vist i figuren nedenfor: Figur 10: Et forslag til fremtidens arbejdsdeling mellem intern revisions og ekstern revision. Intern revision Ekstern revision Revision af CRD og intern governance ICAAP Risici Opl.forp. Finansiel revision Kilde: Egen fremstilling. En revurderet arbejdsdeling vil føre til, at perspektivet i revisionen som helhed ændres, og at interessen for CRD øges. Som det fremgår af ovenstående er jeg dog også af den opfattelse, at der er gensidige interesser i de to områder og et vist overlap. Det er min holdning, at en del af revisionen i relation til CRD alt andet lige vil kunne anvendes direkte og/eller indirekte i den finansielle revision 96. 96 - Intern governance ses at påvirke vurderingen af iboende risici og kontrolrisici, også i relation til finansielle oplysninger, hvorfor revisionen af intern governance alt andet lige vil påvirke den finansielle revision. Jf. RS 315 og RL 2 kan, bør og skal ekstern revision anvende overbevisningen til at minimere revisionsrisikoen og dermed arbejdets omfang. - 55 -

Som beskrevet i kapitel 3, så er der ikke et eksplicit krav om en selvstændig erklæring vedr. CRD. Men det virker relativt åbenlyst, at revisionskomiteen naturligvis bør have og kræve en rapportering på CRD, herunder ICAAP, oplysningsforpligtelserne og intern governance. Men hvilken form skal rapporteringen have, og hvilken grad af sikkerhed ønsker bestyrelsen af have i rapporteringen? Vil bestyrelsen anvende CRD aktivt over for de finansielle markeder, og ønsker bestyrelsen derfor at offentliggøre en erklæring i relation til CRD? Dette er og bliver for mig at se et interessant spørgsmål, som kan få store konsekvenser for intern revision. Der er derfor min anbefaling, at bestyrelsen drøfter hvilken strategi man vil vælge, og sammen med intern revision drøfter, hvilken erklæringsform, der giver størst mulig informationsværdi til regnskabsbrugeren. 4.2.4 Skal intern revisions kommunikation ændres? Som det fremgår af afsnit 2.2.4.2 og 4.1.2.1, så er jeg af den opfattelse, at nuværende praksis med, at intern revision påtegner årsrapporten på lige fod med ekstern revision, er problematisk. I kapitel 2 blev det bl.a. kritiseret, at intern revision påtegning ikke indeholder en adressat, hvilket umiddelbart er et mindre væsentligt forhold. Men hvem er påtegningen adresseret til? Som beskrevet i kapitel 2 kan intern revision pr. definition ikke opfattes som offentligheden tillidsrepræsentant, hvorfor påtegningen ikke kan være til offentligheden. Denne holdning kan der findes opbakning til i selskabsretten 97, idet intern revision ikke ses at have ret eller pligt til at besvare spørgsmål på generelforsamlingen. Men dette giver ikke svaret på hvem intern revisions påtegning er rette mod, men er blot endnu et argument for, at intern revisions nuværende påtegning bør revurderes. Det er min holdning, at det skal præciseres, at påtegningen alene er til instituttets ledelse og aktionærer. Men mere væsentligt er, at det er min holdning, at rapporteringen bør fo- 97 - Jf. aktieselskabsloven 76a skal selskabets generalforsamlingsvalgte revisor være til stede på den ordinære generalforsamling, og selskabets generalforsamlingsvalgte revisor skal besvare spørgsmål om den årsrapport mv., som behandles på den pågældende generalforsamling. Selskabsretlig har intern revision ikke nogen formel adkomst til generalforsamlingen, hvilket heller ikke er tilfældet i FiL eller i Rev.bek. Det er således ekstern revision som skal besvare eventuelle spørgsmål, men det er et åbent spørgsmål om dette også omfatter eventuelle spørgsmål til intern revisions påtegning. - 56 -

kusere på CRD, og ikke nødvendigvis finansielle oplysninger i traditionel forstad, idet disse er afdækket via ekstern revisions påtegning. En revurdering af den nuværende påtegning kan være med til at skabe interesse om intern revisions påtegning, og det kan ikke udelukkes at investorer, rating bureauer, Finanstilsynet mfl. finder en påtegning i relation til CRD noget mere interessant og informativ end den nuværende påtegning fra intern revision. Ved at have fokus på CRD, vil intern revisions interesse for området højnes, idet det hermed bliver intern revisions mulighed for at kommunikere til offentligheden og synliggøre sin eksistens. Det er min anbefaling, at intern revision, herunder IIA 98, revurdere erklæringens ordlyd og lader sig inspirere af internationale påtegninger på området. Umiddelbart vurderet, rummer Rev.bek 19 stk. 3 mulighed for, at intern revision ændrer fokus i deres påtegning. Endelig kan det debatteres om intern revisions kommunikation til Finanstilsynet skal ændres. I kapitel 2 blev det problematiseret, at Finanstilsynet skaber tvivl om topartsforholdet i intern revisions protokollat til bestyrelsen. Det er min holdning, at den nuværende praksis bør revurderes. Intern revision bør efterkomme Finanstilsynets erklærings- og oplysningskrav jf. Rev.bek., men jeg mener ikke, at det bør være i protokollatet til bestyrelsen. Finanstilsynet bør have en selvstændig rapportering, som således bringes i et klart topartsforhold mellem Finanstilsynet og intern revision. Herefter kan protokollatet til bestyrelsen på samme vis bringes i et klar topartsforhold mellem bestyrelsen og intern revision. 4.2.5 Skal arbejdsdeling mellem intern revision og ekstern revision ændres? Såfremt arbejdsdeling ændres jf. afsnit 4.2.2 og 4.2.3 vil det alt andet lige medføre, at ekstern revision skal udføre mere finansiel revision 99. Der er dog en række områder, hvor revisionen af CRD ses at have tæt sammenhæng til den finansielle revision, hvorfor det vurderes at være hensigtsmæssigt, at intern revision forsat foretager revision af dele af de finansielle oplysninger. Det er min vurdering, at det vil være hensigtsmæssigt, at intern revision foretager den finansielle revision af de mere bankspecifikke områder, herunder bl.a.: 98 - Jf. kapitel 2 er det i princippet standardpåtegningen fra IIA, der bør ændres. 99 - Forudsat at inter revision ikke tilføres yderligere ressourcer, til at varetage den finansielle revision. At tilføre yderligere ressourcer til intern revision vil alt andet lige være økonomisk mest optimalt for instituttet, men ikke nødvendigvis den bedste løsning rent revisionsmæssigt. - 57 -

Udlån og garantier, herunder nedskrivninger på udlån og hensættelser på garantier, samt rente-, gebyr- og provisionsindtægter. Aktier, obligationer mv. og kursreguleringer på disse. Indlån og renteudgifter. Dette forslag til en ændret arbejdsdeling vil alt andet lige medføre stigende omkostninger til revisionen som helhed 100, hvilket kan medføre en debat med ledelsen. Men også her giver CRD intern revision en unik mulighed. Mit postulat er, at såfremt intern revision indtager en central rolle i CRD og har mest mulig fokus på at neutralisere/ minimere asymmetrisk information, og hermed højne kvaliteten i ICAAP processen, kan intern revision være med til at lempe det individuelle solvensbehov. Hermed skal en stigning i de direkte omkostning til revision sammenholdes med besparelsen i kapitalomkostningen, og alt andet lige må det forventes, at den direkte besparelse i kapitalomkostningerne formentlig overstiger ekstraomkostningerne til revisionen. Det er således min holdning, at ekstern revision skal overtage en del af den finansielle revision som i dag udføres af intern revision, og at intern revision i stigende grad skal fokusere på CRD, og at det på sigt kan blive en økonomisk og revisionsmæssig optimal løsning for instituttet. 4.3 Sammenfatning I dette kapitel er det blevet debatteret, om en yderligere professionalisering af intern revision i pengeinstitutsektoren er mulig og påkrævet, og om intern revision i sin nuværende form og under nuværende lovgivning kan indfri potentialet i en eventuel professionalisering. 100 - Goodwin-Stewart, J. & Kent, P. (2006). I Relation between external audit fees, audit committee characteristics and internal audit konkluderes det, at Firms with higher audit fees are also more likely to use a greater level of internal auditing. Our findings imply that audit committees, internal audit and external audit are complementary mechanisms within the governance framework. Although some internal audit activities might substitute for external audit work (Felix et al., 2001), our findings suggest that firms with large internal audit functions also engage in a higher overall level of monitoring. It has implications for those involved in corporate governance as it shows that companies with active audit committees and larger internal audit functions spend more on external auditing, suggesting a demand for higher quality auditing. - 58 -

Det kan konkluderes, at CRD rummer muligheder for en yderligere professionalisering af intern revision, og at en yderligere professionalisering i et vist omfang kan blive et krav for at modstå fremtidens udfordringer. Det vurderes samtidig, at det er en nødvendighed, at der skabes en fælles ramme f.eks. via et IIA framework og nogle guidelines for revisionens gennemførelse i CRD, såfremt intern revision skal indfri potentialet i en professionalisering i forhold til CRD. Det konkluderes desuden, at hverken intern revision eller ekstern revision forventes at blive drivkraften i en yderligere professionalisering af intern revision, men at det i højere grad forventes at blive IIA der skal drive processen, samt at bestyrelsen og Finanstilsynet kan understøtte processen. I kapitlet er det desuden blevet debatteret, om CRD giver anledning til at ændre de arbejdsopgaver, som intern revision varetager, og om CRD giver anledning til at revurderer den danske model. Det konkluderes, at det helt centrale punkt er, om intern revision forsat skal have mulighed for at påtegne årsrapporten på lige fod med ekstern revision. I kapitel 2 argumenteres der for, at dette ikke bør være tilfældet, og det konkluderes, at den danske model bør revurderes på dette område. Det er min anbefaling, at såfremt intern revision forsat påtegner årsrapporten, bør intern revision revurdere erklæringens ordlyd og udformning. Det konkluderes, at en revurdering af den nuværende påtegning kan skabe fornyet interesse om intern revisions påtegning, og at investorer, rating bureauer, Finanstilsynet mfl. bør finder en påtegning i relation til CRD mere interessant og informativ end den nuværende påtegning fra intern revision. Der argumenteres for, at intern revision fremadrettet kan skabe størst værdi for instituttet og Finanstilsynet, ved at flytter fokus mod CRD, og ved at fokuserer på neutralisering/minimering af asymmetrisk information og optimering af intern governance. Dette vil alt andet lige medføre en ændret arbejdsdeling mellem intern revision og ekstern revision, og ændringer til intern revisions nuværende arbejdsopgaver. Det konkluderes, at ekstern revision har, og forsat skal have, det ultimative ansvar for den finansielle revision, men det konkluderes samtidig, at intern revision bør have det ultimative ansvar for revisionen af CRD, samt, at det vil være hensigtsmæssigt, at intern revision fortsat foretager den finansielle revision af de bankspecifikke områder. - 59 -

5 Afslutning 5.1 Konklusion CRD betegnes som en revolution i pengeinstitutsektoren, og afhandlingen har beskrevet og debatteret, om denne revolution påvirker eller kommer til at påvirke intern revisions rolle i pengeinstitutsektoren. Indledningsvist er det blevet debatteret, hvem der er intern revisions primære interessenter. I henhold til den nuværende lovgivning og regulering, konkluderes det, at Finanstilsynet kan betragtes som den væsentligste interessent til intern revision, idet Finanstilsynet regulerer intern revisions virke, og Finanstilsynet kan i væsentligt omfang påvirke intern revisions kommunikation. For så vidt angår intern revisions protokollat konkluderes det, at den nuværende indsendelses-pligt jf. FiL 194 stk. 2 bør revurderes. Denne indirekte kommunikation med Finanstilsynet, samt Finanstilsynets krav om særlige oplysninger og erklæringer i protokollatet, medfører en utidig indblanding i intern revisions protokollat, og det konkluderes, at dette kan medføre, at protokollatet bringes ud af topartsforholdet mellem bestyrelsen og intern revision. Der ses desuden at være risiko for, at protokollatet mere bliver et spørgsmål om efterlevelse af formalia end intern revisions kommunikation til bestyrelsen om væsentlige og relevante revisionsmæssige forhold. Med hensyn til intern revisions påtegning på årsrapporten, konkluderes det, at den nuværende ordlyd af intern revisions påtegning på årsrapporten ikke tilfører væsentlig informationsværdi til regnskabsbruger. En undersøgelse har vist, at intern revisions nuværende påtegning ses at have nogle kritiske mangler, og at ordlyden heraf i meget høj grad afspejler ekstern revisions påtegning. Det er svært at finde argumenter for, at der er et reelt behov for den nuværende dobbeltpåtegning. Afhandlingen har belyst, hvilken rolle intern revision ses at få i CRD, og det konkluderes, at intern revision ses at få en væsentlig rolle i hhv. søjle I, II og III. For så vidt angår opgaverne i søjle I er disse alene summarisk behandlet i afhandlingen, men der er ikke tale om uvæsentlige opgaver, hverken af omfang eller kompleksitet, og intern - 60 -

revision bør være opmærksom herpå. Det er blevet beskrevet, og det konkluderes, at ledelsesmæssige valg i relation til CRD kan og vil få væsentlig indflydelse på intern revisions rolle i CRD. Afhandlingen har haft fokus på intern revisions rolle ifm. ICAAP og oplysningsforpligtelserne. Via en agentteoretisk behandling af emnet, konkluderes det, at intern revision kan få en meget central rolle i forbindelse med neutralisering/minimering af asymmetrisk information og optimering af intern governance. Det konkluderes, at intern revisions nuværende erklæringer i protokollatet omfatter ICAAP såvel som oplysningsforpligtelserne, og at intern revisions nuværende påtegning på årsrapporten også omfatter ICAAP såvel som oplysningsforpligtelserne, såfremt årsrapporten indeholder en beskrivelse ICAAP, talmæssige oplysninger i relation til opgørelsen af kapital- og solvensbehovet samt øvrige oplysninger i relation til CRD. Det er blevet debatteret, om en yderligere professionalisering af intern revision i pengeinstitutsektoren er mulig og påkrævet, og om intern revision i sin nuværende form og under nuværende lovgivning kan indfri potentialet i en eventuel professionalisering. Det kan konkluderes, at CRD rummer muligheder for en yderligere professionalisering af intern revision, og at en yderligere professionalisering i et vist omfang kan blive et krav for at modstå fremtidens udfordringer. Det konkluderes endvidere, at det kan blive en nødvendighed, at der skabes en fælles ramme for revisionens gennemførelse i relation til CRD, såfremt intern revision skal indfri potentialet i en professionalisering i forhold til CRD. Det debatteres og konkluderes, at hverken intern revision eller ekstern revision kan forventes at blive drivkraften i en yderligere professionalisering af intern revision, men at det i højere grad kan forventes at blive IIA, der skal drive processen. Det konkluderes desuden, at bestyrelsen, via de ledelsesmæssige valg, og Finanstilsynet, via reguleringen, kan understøtte og fremme en yderligere professionalisering af intern revision i relation til CRD. Endelig er det blevet debatteret, om CRD giver anledning til at ændre de arbejdsopgaver, som intern revision varetager, og om CRD giver anledning til at revurdere den danske model. - 61 -

Det konkluderes, at det helt centrale punkt er, om intern revision forsat skal have mulighed for at påtegne årsrapporten på lige fod med ekstern revision. Der argumenteres for, at dette ikke bør være tilfældet, og det konkluderes, at den danske model bør revurderes på dette område. Det anbefales, at såfremt intern revision forsat skal have mulighed for at påtegne årsrapporten, bør intern revision revurdere erklæringens ordlyd og udformning og rette erklæringen mod CRD, herunder ICAAP og oplysningsforpligtelserne. Det konkluderes, at en revurdering af den nuværende påtegning kan skabe fornyet interesse om intern revisions påtegning, og at det vil øge informationsværdien for regnskabsbruger, idet investorer, rating bureauer, Finanstilsynet mfl. bør finde en påtegning i relation til CRD mere interessant og informativ end den nuværende påtegning fra intern revision. Endelig vil en sådan ændring til intern revisions påtegning endegyldigt gøre op med den nuværende dobbeltpåtegning. Der argumenteres for, at intern revision fremadrettet kan skabe størst værdi for instituttet og Finanstilsynet ved at flytte fokus mod CRD og ved at fokusere på neutralisering/minimering af asymmetrisk information og optimering af intern governance. Dette vil alt andet lige medføre en ændret arbejdsdeling mellem intern revision og ekstern revision og ændringer til intern revisions nuværende arbejdsopgaver. Det konkluderes, at ekstern revision har, og forsat skal have, det ultimative ansvar for den finansielle revision, men det konkluderes samtidig, at intern revision bør have det ultimative ansvar for CRD, samt at det vil være hensigtsmæssigt, at intern revision fortsat foretager den finansielle revision af de bankspecifikke områder. Det er op til læseren at vurdere, om der er tale om en revolution, når afhandlingen bl.a. anbefaler: At den nuværende indsendelsespligt jf. FiL 194 stk. 2 revurderes. At der skabes en fælles ramme for revisionens gennemførsel i relation til CRD. At den danske model, for så vidt angår intern revisions mulighed for at påtegne årsrapporten på lige fod med ekstern revision, revurderes. At ordlyden og udformningen af intern revisions påtegning på årsrapporten revurderes. At den nuværende arbejdsdeling mellem intern revision og ekstern revision revurderes. - 62 -

Afhandlingens behandling af emnet indikerer, at det er tid til fornyelse, og at CRD kan give anledning hertil. I de kommende år bliver det spændende at følge om CRD bliver en revolution for intern revision i pengeinstitutterne. 5.2 Perspektivering En ting er at debattere og indikere, at CRD bør give anledning til en revurdering af intern revisions rolle i pengeinstitutsektoren i Danmark. Noget andet, og ligeså vigtigt, er at diskutere, hvilke udfordringer CRD stiller til ressourcerne og kompetencerne i intern revision. En væsentlig udfordring for intern revision i forbindelse med CRD forventes at blive kravene til dels ressourcerne og dels kompetencerne i intern revision. I søjle I forventes de individuelle ekspert-modeller at blive komplekse modeller, som bygger på statistisk databehandling, og det er ikke sikkert, at intern revision besidder, eller kan tiltrække/uddanne, de nødvendige kompetencer til at revidere disse modeller. I afhandlingen er det blevet nævnt, at anvendelsen af et risk mapping system (f.eks. COSO) kan blive et krav, såfremt intern revision skal have en central rolle i CRD. I henhold til intern revisions påtegninger, og Arena & Jeppesen undersøgelse, ses intern revision ikke at anvende risk mapping systemer i dag. Det kan blive en udfordring at tage et sådant system i brug samt at få arbejdsprocessen og rapporteringsprocessen heri effektiviseret. Det kan ligeledes give anledning til udfordringer at bygge bro mellem intern revision og risk management. Kommunikationen er væsentlig i denne sammenhæng, og det er vigtigt, at risk management og intern revision taler samme sprog og forstår hinanden. Der er således masser af udfordringer, og det vurderes, at der er risiko for, at processen bliver både besværlig og lang 101 - men også spændende. Den 26. november 2007 offentliggjorde en række pengeinstitutter, at de har modtaget Finanstilsynets godkendelse til at anvende IRB-A. 2008 bliver således år ét efter the 101 - Crawford, M. & Stein, W. (2002). Auditing Risk Management: Fine in Theory but who can do it in Practice?. - 63 -

revolution of the banking industry, og det bliver spændende at følge udviklingen i intern revisions rolle i relation til CRD. Det bliver bl.a. spændende at se, om intern revision kan tiltrække, tilegne, udvikle og fastholde de nødvendige ressourcer og kompetencer til revisionen af CRD, og hermed opnå en yderligere professionalisering af intern revision i forhold til risk management og CRD. Endelig bliver det spændende at følge Finanstilsynets regulering og tilsyn på området og følge, hvilke ændringer, om nogle, det medfører til Rev.bek. og Finanstilsynets syn på intern revision. - 64 -

6 Litteratur Bøger Eilifsen, A., Messier, W. mfl. (2006). Auditing and assurance services - international edition. McGraw-Hill Education. Füchsel, K., Gath, P. mfl. (2005). Revisor regulering & rapportering 1. udgave. Forlaget Thomson A/S. Mishkin, F. S. (1992). The economics of money, banking and financial markets Chapter 8: An economic analysis of financial structure. HaperCollins. Staalkjær, B. (2005). Revisionskomitéers rolle i et Corporate Governance perspektiv. Forlaget Thomson A/S. Artikler Adams, M. (1994). Agency Theory and the Internal Audit. Managerial Auditing Journal vol. 9 no. 8. Arena M. & Jeppesen K. (2007). Internal auditings jurisdiction and the quest for professionalization: The Danish case. Fourth European Auditing Research Network Symposium. Bjerre-Nielsen, H. (2005). Regulering af og tilsyn med finansielle virksomheder i en tid med markedskonvergens. Finans/Invest. Campfield, W. (1965). Professional Status for Internal Auditors. The Accounting Review vol. 40 nr. 3. Campbell, M., Adams, G. mf. (2006). Internal Audit Can Deliver More Value. Financial Executive. Crawford, M. & Stein, W. (2002). Auditing Risk Management: Fine in Theory but who can do it in Practice?. International Journal of Auditing. Goodwin-Stewart, J. & Kent, P. (2006). Relation between external audit fees, audit committee characteristics and internal audit. Accounting and Finance. Harrington, C. (2004). Internal Audit s New Role. Journal of Accountancy. Holm, C. & Laursen, P. B. (2007). Risk and Control Developments in Corporate Governance: changing the role of the external auditor?. Corporate Governance: An International Review. - 65 -

Krishnan, C. V. & Visvanathan G. (2007). Reporting Internal Control Deficiencies in the Post-Sarbanes-Oxley Era: The Role of Auditors and Corporate Governance. International Journal of Auditing. Macleod, A & Overell, B. (2005). A Change of Focus. Internal Auditor. Nagy, A. & Cenker, W. (2007). Internal Audit Professionalism and section 404 Compliance: The View of Chief Audit Executives from Northeast Ohio. International Journal of Auditing. Nagy, A & Cenker W. (2002). An assessment of the newly defined internal audit function. Managerial Auditing Journal 17/3. Nordskilde, H. (2006). Nye regler skærper risikostyring. Finansrådets årsberetning 2006. O Regan, D. (2001). Genesis of a profession: towards professional status for internal auditing. Managerial Auditing Journal 16/4. Plesner, S. (2001). Finansiel risikostyring i en global økonomi. Finans/Invest 6/2001. Sarens, G. & De Beelde, I. (2006). The Relationship between Internal Audit and Senior Management: A Qualitative Analysis of Expectations and Perceptions. International Journal of Auditing. Selim, G. & McNamee, D. (1999). Risk Management and Internal Auditing: What are the Essential Building Blocks for a Successful Paradigm Change?. International Journal of Auditing. Selim, G. & McNamee, D. (1999). The Risk Management and Internal Auditing Relationship: Developing and validating a Model. International Journal of Auditing. Øvrig litteratur Bank for International Settlements, Basel Committee on Banking Supervision (2004). International Convergence of Capital Measurement and Capital Standards, A Revised Framework. (Basel II). Bank for International Settlements, Basel Committee on Banking Supervision (2003). Internal Audit Charter. Bank for International Settlements, Basel Committee on Banking Supervision (2001). Internal audit in banks and the supervisor s relationship with auditors. - 66 -

Bank for International Settlements, Basel Committee on Banking Supervision (1999). Enhancing Corporate Governance for Banking Organisations. Committee of European Banking Supervision (2006). Guidelines on the Application of the Supervisory Review Process under Pillar 2 (CP03 revised) Committee of European Banking Supervision (2006). Guidelines on the implementation, validation and assessment of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches (CP10) COSO (2007). Internal Control Integrated Framework, Guidance on Monitoring Internal Control Systems. Discussion Document Danmarks Nationalbank (2007). Finansiel stabilitet 2007 Effekter af nye regnskabs- og kapitaldækningsregler. Danmarks Nationalbank (2006). Finansiel stabilitet 2006 Anvendelse af avancerede metoder til beregning af kapitalkrav under Basel II. Danmarks Nationalbank (2005). Direktivforslag om nye kapitaldækningsregler (Basel II). Financial Services Authority (2006). Strengthening Capital Standards 2 (CP06/3***) Finanstilsynet (2006). Den interne revision i den finansielle sektor. Internal Auditor (2007). Entity-level controls side 50-54. Oktober 2007. Internal Auditor (2007). Going up side 72-77. August 2007. PricewaterhouseCoopers (2004). Deep Impact, Basel in the European Union. The Institute of Internal Auditors (2004). The Role of Internal Auditing in Enterprise-wide Risk Management. - 67 -

Figuroversigt Figur 1: Afhandlingens opbygning. Figur 2: Oversigt over lovgrundlag. Figur 3: Interessemodellen for intern revision. Figur 4: Intern revisions rapportering. Figur 5: CRD overblik. Figur 6: Plesners risikostyringsprocessen. Figur 7: Risk Management anno 2007. Figur 8: ICAAP et sæt af kontrakter. Figur 9: ICAAP ud fra principal-agent synsvinkel. Figur 10: Et forslag til fremtidens arbejdsdeling mellem intern revisions og ekstern revision.

Appendiks Appendiks 1 ICAAP Appendiks 2 Finansielle begreber Appendiks 3 God revisorskik Appendiks 4 Generelt vedr. ERM og udviklingen heri Appendiks 5 Intern revisions rolle i CRD, jf. CRD samt bilag hertil Appendiks 6 Intern revisions rolle i Basel II International Convergence of Capital Measurement and Capital Standards - A Revised Framework, June 2004 Appendiks 7 Intern revisions rolle i CRD, jf. CEBS - Guidelines on the implementation, validation and assessment of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches (CP10) Appendiks 8 Intern revisions rolle i CRD, jf. CEBS - Guidelines on the Application of the Supervisory Review Process under Pillar 2 (CP03 revised) Appendiks 9 - The descriptive model of intergrated risk management and internal auditing. Appendiks 10 Intern revisions rolle i relation til IRB-A, CRD bilag 8 pkt. 124. Appendiks 11 CBOK (jf. www.theiia.org)

Appendiks 1 ICAAP. ICAAP (Internal capital adequacy assessment process) er et begreb, som indeholder instituttets interne procedurer til risikomåling og risikostyring, samt procedure til opgørelsen af tilstrækkelig basiskapital, eller interne kapitalvurderingsproces. Som det ses af nedenstående omfatter ICAAP mange risici og 4 elementer. ICAAP jf. Financial Services Authority (2006). Strengthening Capital Standards 2 (CP06/3***)

Guidelines on ICAAP and SREP jf. CEBS guidelines The Application of the Supervisory Review Process under Pillar 2 (CP03 revised) s. 42 og 43. Guidelines on ICAAP ICAAP 1: Every institution must have a process for assessing its capital adequacy relative to its risk profile (an ICAAP). ICAAP 2: The ICAAP is the responsibility of the institution. ICAAP 3: The ICAAP s design should be fully specified, the institution s capital policy should be fully documented, and the management body (both supervisory and management functions) should take responsibility for the ICAAP. ICAAP 4: The ICAAP should form an integral part of the management process and decisionmaking culture of the institution. ICAAP 5: The ICAAP should be reviewed regularly. ICAAP 6: The ICAAP should be riskbased. ICAAP 7: The ICAAP should be comprehensive. ICAAP 8: The ICAAP should be forwardlooking. ICAAP 9: The ICAAP should be based on adequate measurement and assessment processes. ICAAP 10: The ICAAP should produce a reasonable outcome. Guidelines on SREP SREP 1: The SREP should be an integrated part of the authority's overall riskbased approach to supervision. SREP 2: The SREP should apply to all authorised institutions. SREP 3: The SREP should cover all the activities of an institution. SREP 4: The SREP should cover all material risks and internal governance. SREP 5: The SREP will assess and review the institution's ICAAP. SREP 6: The SREP will assess and review the institution's compliance with the requirements laid down in the CRD. SREP 7: The SREP should identify existing or potential problems and key risks faced by the institution and deficiencies in its control and risk management frameworks; and it should assess the degree of reliance that can be placed on the outputs of the institution's ICAAP. SREP 8: The SREP will inform supervisors about the need to apply prudential measures. SREP 9: The results of the SREP will be communicated to the institution at the appropriate level (usually the management body) together with any action that is required of the institution and any significant action planned by the supervisory authority. SREP 10: The supervisory evaluation should be formally reviewed at least on an annual basis, to ensure that it is up to date and remains accurate. The Supervisory Review Process jf. CEBS guidelines The Application of the Supervisory Review Process under Pillar 2 (CP03 revised) s. 8.

Appendiks 2 Finansielle begreber. Solvens Grundlæggende er et institut solvent, når det opfylder solvenskravet på 8 % og kapitalkravet på 5 mio. euro. Kravene til solvens og minimumskapital er de vigtigste bestemmelser til sikring af indskyderne og dermed opretholdelse af den finansielle stabilitet. Bestemmelserne om solvens skal sikre, at der til enhver tid er tilstrækkelig kapital til at imødekomme kreditorernes krav, og skal agere som en stødpude, der er i stand til at dække ikke forventede tab, mens der skal være taget højde for forventede tab i de regnskabsmæssige opgørelser. Kapitel 10, Solvens i lov om finansiel virksomhed (FiL) indeholder regler om mindstekrav til solvensdækningen og den minimumskapital, som det enkelte institut skal have. Det største af disse krav betegnes kapitalkravet. Detaljerede regler til opgørelsen af solvenskravet, og den risiko som kapitalen skal måles i forhold til (de risikovægtede poster), findes i CRD. Opgørelsen af solvensbehovet og tilbageholdelse af kapital er et ledelsesmæssigt valg, hvor instituttets performance, risikospredning, risikomåling, risikostyring, ønske om stødpudens størrelse, selvstændighed mv. samles. Et institut med en høj solvensprocent fremstår alt andet lige mere solid og men en høj grad af selvstændighed i strategiske beslutninger. Omvendt kan en høj solvensprocent kritiseres ud fra et en aktionær/investor synspunkt. Kritikken kan gå på, at der ikke er tale om effektiv udnyttelse af kapital og dermed manglende forrentning (udbytte/kursstigning på aktierne). Undersøgelser har vist, at gruppe 1 og 2 institutter har markant lavere solvensprocent end gruppe 3 og 4 institutter. Begrundelserne herfor kan være mange, men risikomåling, - spredning og - styring er omkostningstungt og ressourcekrævende hvorfor mindre institutter med fordel kan afdække risici med kapital i stedet for styring og kontroller. Kreditrisiko Kreditrisikoen er risikoen for, at debitor ikke rettidigt kan eller vil opfylde sine betalingsforpligtelser, herunder afdrag, renter eller andre forpligtelser. Kreditrisikoen er

kernerisikoen og historisk har den interne styring haft kreditrisici i fokus. I 1980érne og i starten af 1990érne var det også tab på kreditter, som bragte institutterne i vanskelige situationer, og kostede nogle banker eksistensen. Kreditrisiko indeholder som skrevet dels afdrag og renter, og dermed indgår både modpartsrisici (afviklingsrisici) og renterisici i kreditrisikoen. Klassisk kredithåndværk indeholder både mikro- og makroøkonomiske forhold. Dels kunde- og samfundsmæssige forhold har stor betydning for opgørelsen af kreditrisici. Udviklingen i de seneste år går mod en mere modelbaseret tankegang, hvor statistiske modeller anvendes til opgørelsen af kreditrisici. I disse modeller anvendes begreber som: PD probability of defalut EAD exposure at default LGD loss given default EL expected loss UL unexpected loss De statiske modeller fremkommer med en sandsynlighedsfordeling for kredittab, og der skal således træffes en ledelsesmæssig beslutning om hvilket sikkerhed der ønskes i opgørelserne (konfidensinterval). Der er klar sammenhæng mellem statiske modeller og CRD, idet instituttet alt andet lige opnår en bedre sammenhæng mellem risici og kapital på kreditsiden. Markedsrisiko Markedsrisikoen er risikoen for, at instituttet rammes af tab som følge af ændringer i markedsprisen (pris eller kurs) på rente, valuta, aktier, obligationer, finansielle instrumenter mv. Markedsrisici og styringen heraf er gennem 1990érne kommet mere i fokus. Bl.a. krakket af Barings Bank satte markedsrisici på dagsorden. Krakket var en direkte følge af mangelfuld - og dårlig styring af markedsrisici som medførte store tab på finansielle instrumenter. Markedsrisici omfatter renterisici, valutarisici, aktierisici, likviditetsrisici men også modpartsrisici. Rente-, aktie- og valutarisici beregnes ofte via teoretiske statistiske modeller også kaldt VaR (Value-at-Risk). VaR er et udtryk for, hvor meget værdien af et aktiv eller en portefølje af aktiver vil falde over en given periode med en given

sandsynlighed (konfidensniveau) under normale markedsbetingelser. Efterfølgende vil jeg kort beskrive renterisiko og likviditetsrisiko nærmere, men vi ikke komme yderligere ind på aktie- og valutarisici. Renterisiko Helt overordnet kan renterisiko defineres som risikoen for, at værdien af pengeinstituttets rentebærende aktiver ændres, som følge af en renteændring i det finansielle marked. Renterisikoen er således et udtryk for, hvorledes instituttets kapital påvirkes ved udsving i markedsrenten. I relation til renterisiko anvendes begreberne: Varighed - varighed af en obligation (eller anden betalingsrække) er et udtryk for obligationens renterisiko udtrykt ved prisændringen som funktion af en ændring i den effektive rente. Rentefølsomhed - rentefølsomheden udtrykker, hvor følsom værdien af en portefølje af aktiver er overfor en ændring af markedsrenten. En positiv rentefølsomhed angiver, at værdien af porteføljen vokser, når markedsrenten stiger. Der er da tale om en rentestigningsposition. Modsat angiver en negativ rentefølsomhed, at porteføljens værdi falder, når renten stiger. Renterisici opstår når instituttets cashflow (ind- og udbetalinger) ikke matcher hinanden dels mht. renteform (fast-/varierende rente) og løbetid. Likviditetsrisiko Likviditetsrisiko er instituttets risiko for at dens ikke kan indfri sine forpligtelser på grund af likviditetsmangel. Cash is King og sådan har det vel altid været. Men likviditet er, eller kan hurtig blive, en knap faktor for det enkelte institut. Måske er der ikke direkte mangel på likviditet i sektoren, men adgangen til likviditeten er blevet begrænset - og prisen på likviditet er ændret i løbet af 2007. FiL 152 tilsiger, at det enkelte institut skal have en forsvarlig likviditet og fastsætter følgende grænser: 1. 15 pct. af de gældsforpligtelser, som det uanset mulige udbetalingsforbehold påhviler pengeinstituttet at betale på anfordring eller med kortere varsel end en måned, og

2. 10 pct. af pengeinstituttets samlede gælds og garantiforpligtelser fraregnet efterstillede kapitalindskud, der kan medregnes ved opgørelsen af basiskapitalen. Likviditetsrisici og likviditetsstyring måles og afdækkes på forskellige tidshorisonter, herunder 0-1 måned, 0-6 måneder og 0-10 år. På lang sigt er det naturligvis strategisk planlægning, balancesammensætning og den langsigtede funding der er i fokus. På dels helt kort - og mellem kort sigt - er der tale om at opretholde en forsvarlig likviditet. Jf. 2.1.1. er 5 institutter blevet bedt om et sende en redegørelse til Finanstilsynet om hvorledes de opfylder ovenstående specifikt pkt. 2 (10 % kravet). Det er således indikationer på, at likviditet er en knap faktor for nogle institutter. Det er selvsagt væsentligt, at det enkelte institut er bevidst om og med en vis grad af sikkerhed kan opgøre de forskellige risici, idet afdækningen af kredit- og markedsrisici er helt central i risikostyringen, og et vigtigt element i at styre det enkelte institut på forsvarlig vis. Som situationen ser ud pr. september 2007 kan flere af ovenstående risici give den finansielle sektor visse udfordringer, og på sigt true den finansielle stabilitet, såfremt risikostyringen ikke fanger svaghedstegn i rette tid. Operationel risiko Operationel risiko defineres som bankens almindelige forretningsmæssige risici og de risici, der relateres til uforudsete begivenheders indtræden, der kan påfører banken udgifter eller tab. Operationelle risici omfatter dels operationelle fejl og hændelser, der skyldes mennesker, processer, systemer, og dels eksterne begivenheder. Operationelle risici omfatter også forretnings- og omdømmerisko, risici forbundet med medarbejderes uhensigtsmæssige adfærd, systemnedbrud, brud på politikker, juridiske risici, manglende overholdelse af myndighedskrav osv. Der er således tale om mange forskelligartet risici, som der historisk ikke har været væsentligt fokus på. I CRD er der lagt op til markant mere fokus på operationelle risici, og måling og styring heraf. I CRD indgår operationelle risici i opgørelsen af solvensbehovet, hvilket i sig selv er et incitament til at være mere bevidste om disse risici.

RAROC (Risk Adjusted Return On Capital) RAROC er et vigtig element i optimeringen af den økonomiske styring af pengeinstitutter. RAROC skaber fokus på værditilvæksten, og giver fordele via bedre balance mellem risiko og pris, samt flytning af fokus fra volumen til værditilvækst. RAROC måles på kundeniveau. Interne modeller i CRD forudsætter, at instituttet har risikostyringsværktøjer på et højt niveau. RAROC er en del af de interne risikostyringsværktøjer. Med RAROC er instituttet i stand til at stille skarpere priser til de bedste kunder, idet disse engagementer, alt andet lige, vil have en lavere kapitalbelastning. RAROC giver også mulighed for, at prissætte kunder med mindre god eller dårlig bonitet mere præcist, igen i forhold til deres kapitalbelastning. Dermed er RAROC med til at skabe en bedre sammenhæng mellem risiko og indtjening. Kilde: Grosen, A. Seminar Basel II, 20. november 2007. Handelshøjskolen, Aarhus Universitet 2007.

Appendiks 3 God revisorskik. "God revisorskik" er af meget stor betydning for vurderingen af revisors faglige pligter i relation til de enkelte arbejdsområder og opgaver. Jf. LSR 2 stk. 2 skal revisor udføre sit hverv med omhu, nøjagtighed og den hurtighed, som deres beskaffenhed tillader, samt i overensstemmelse med god revisorskik. "God revisorskik" er ikke nærmere defineret i loven, men god revisorskik indeholder revisors kendte og anerkendte arbejdshandlinger, der foretages i det konkrete tilfælde. "God revisorskik" omfatter tillige etiske regler, hvor de fem principper: integritet, objektivitet, professionel kompetence og fornøden omhu, fortrolighed og professionel adfærd indgår. Kvalitetsstyring er også et led i "god revisorskik", og bruges i revisors dokumentation af sit arbejde. Kvalitetsstyringen omfatter både styring af revisionens generelle kvalitet, styring af kvaliteten i den enkelte opgave samt efterfølgende intern kvalitetskontrol. Foreningen af Statsautoriserede Revisorer (FSR) sikre opfyldelse af kravene til kvalitetsstyring via en foreningsbaseret kvalitetskontrol, der har været i funktion siden 1994. Kvalitetskontrollen udføres af FSR, og kontrollen udføres i alle revisionsfirmaer over en periode på 3-4 år. For intern revision ses ikke samme kvalitetskontrol fra IIAs side. Dog må det forventes, at ekstern revision foretager kvalitetskontrol på intern revisions udførte arbejde (jf. RS 610), såfremt ekstern revision tillægger intern revisions arbejde væsentlig betydning. God revisorskik" dækker både over kravene til den lovpligtige revision (god revisionsskik) samt rådgivning og assistance. Det er domstolene der afgør, om den manglende overholdelse af "god revisorskik" er en sådan forsømmelse, som i erstatningsretlig forstand er tilstrækkelig til at udløse et erstatningskrav. I praksis vil tilsidesættelse af "god revisorskik" oftest føre til, at en handling anses for at være culpøs. God revisorskik" vil som minimum medføre overholdelse af LSR, Erk.Bek., gældende revisionsstandarder, revisionsvejledninger og revisionsudtalelser samt øvrig lovgivning af relevans for opgaven, og i forbindelse med revision af pengeinstitutter vil god revisionsskik tilmed medføre overholdelse af Rev.Bek.

Appendiks 4 Generelt vedr. ERM og udviklingen heri. Jf. The Institute of Internal Auditors (2004). The Role of Internal Auditing in Enterprise-wide Risk Management kan ERM definers således: ERM, Enterprise-wide risk management, is a structured, consistent and continuours process across whole organisation for identifying, assessing deciding on responses to and reporting on opportunities and threats tat affect the achievements of its objectives. ERM og Corporate Governance har gennem en årrække været meget i fokus. Siden først i 1990érne og bestemt efter skandalerne i Enron, WorldCom, Paramalet osv. har selskabernes håndtering af risici, og ikke mindst oplysninger om risici og håndteringen heraf til offentligheden, været meget i fokus. I USA har man indført Sarbanes- Oxley Act of 2002 (SOX), i UK har man arbejdet med Cadbury- og Turnbullrapporten, og COSO-rapporten er blevet internationalt anerkendt. Både SOX og Turnbull tager udgangspunkt i COSO s definition af intern kontrol. Corporate Governance debatten i Danmark medførte i 2001 offentliggørelse af Nørby-udvalgets rapport om Corporate Governance i Danmark. Siden er anbefalingerne revideret, i oktober 2005 blev offentliggjort i form af OMX, Københavns Fondsbørs Anbefalinger for god selskabsledelse 2005. Anbefalingerne blev samtidig implementeret i 36 i Oplysningsforpligtelser for udstedere af aktier på Københavns Fondsbørs A/S.

Udviklingen af de teoretiske værktøjer til risikostyring 1938 - Varighedfor obligationer 1952 - Markowitz middelværdi-variansmodel 1952 - Første formelle ALM-model(Immunisering af renterisiko) 1963 - Sharpesenkelt-faktormodel 1966 - Multi-faktormodeller 1973 - Black-Scholes optionsprismodel, Greeks 1986 - Grænserfor varighedseksponering 1988 - Grænserfor optionsnøgletal, Greeks 1992 - Stress testing 1993 - Value-at-risk (VAR) 1994 - RiskMetrics 1997 - CreditMetrics 1998 - Integration afkredit-ogmarkedsrisiko 1999 - CorporateMetrics 2000 - Enterprise Risk Management 2007 - LifeMetrics Kilde: Grosen, A. Seminar Basel II, 20. november 2007. Handelshøjskolen, Aarhus Universitet 2007. Fokus på risikostyring, ERM og Basel II Kilde: Grosen, A. Seminar Basel II, 20. november 2007. Handelshøjskolen, Aarhus Universitet 2007.

Basel II og ERM Kilde: Grosen, A. Seminar Basel II, 20. november 2007. Handelshøjskolen, Aarhus Universitet 2007.

Appendiks 5 Intern revisions rolle i CRD, jf. CRD samt bilag hertil. 66. Virksomheden skal sikre, at der sker tilstrækkelig kontrol af de oplysninger, der ikke er omfattet af revisionen af årsrapporten. Bilag 2. pkt. 14 En intern afdækning er en position, der i væsentlig eller fuld udstrækning dækker risici ved én eller flere positioner uden for handelsbeholdningen. Positioner, der hidrører fra intern afdækning, kan underkastes reglerne for handelsbeholdningen, hvis de besiddes med handelshensigt, og de generelle kriterier for handelshensigt og værdiansættelse i pkt. 2-13 er opfyldt. Især gælder det, at: a) Intern afdækning må ikke primært være beregnet til at undgå eller mindske de risikovægtede poster. b) Intern afdækning skal dokumenteres fyldestgørende og underlægges særlige interne godkendelses- og revisionsprocedurer. Bilag 2. pkt. 17. Virksomheden skal følge klart definerede politikker og forretningsgange ved fastlæggelsen af, hvilke positioner der skal medtages i handelsbeholdningen i overensstemmelse med kriterierne i kapitel 3 i bekendtgørelsen og under hensyntagen til virksomhedens risikoforvaltningskapacitet og -praksis. Det skal kunne dokumenteres, at disse politikker og forretningsgange overholdes, og der skal foretages regelmæssig intern revision heraf. Bilag 7. pkt. 95. Der skal regelmæssigt foretages en uafhængig gennemgang af virksomhedens system for estimering af volatilitetsjusteringer i forbindelse med virksomhedens egen interne revisionsproces. Bilag 8. pkt. 124. Intern revision eller en tilsvarende uafhængig revisionsenhed skal mindst én gang om året gennemgå virksomhedens ratingsystemer og deres anvendelse, herunder kreditfunktionens forretningsgange i relation til ratingsystemet samt estimeringen af PD,

LGD, EL og CF. Gennemgangen skal omfatte virksomhedens overholdelse af samtlige relevante minimumskrav. Bilag 8. pkt. 174. Uanset at virksomheden anvender data, der er fælles for flere virksomheder, skal virksomheden kunne godtgøre overfor Finanstilsynet, at den har det fornødne kendskab til egne ratingsystemer, herunder at den er i stand til at udføre en effektiv overvågning og revision af ratingprocessen. Bilag 8. pkt. 233. Virksomheden skal have effektive procedurer for at sikre overholdelse af dens interne politikker og forretningsgange. Procedurerne skal omfatte regelmæssig revision af alle kritiske faser i forbindelse med virksomhedens erhvervelse af fordringer. Desuden skal procedurerne inkludere kontrol af funktionsadskillelse på to områder: For det første mellem på den ene side vurderingen af sælgeren og administrationsselskabet og på den anden side vurderingen af fordringens debitor. For det andet mellem på den ene side vurderingen af sælgeren og administrationsselskabet og på den anden side revisionen på stedet af sælger og administrationsselskabet. Virksomheden skal tillige vurdere sælgerens og administrationsselskabets back-office funktioner, med særlig fokus på kvalifikationer, erfaring, bemanding og understøttende automatiske systemer. Bilag 10. pkt. 18. h) Virksomheden skal som led i sin interne revisionsprocedure foretage en uafhængig gennemgang af sit risikomålingssystem. Denne gennemgang skal både omfatte handelsafdelingernes og den uafhængige risikokontrolenheds aktiviteter. Bilag 15. pkt. 4. d) Virksomheden skal råde over et tilstrækkelig stort antal kvalificerede medarbejdere i handels-, kontrol- og back-office-funktioner samt i intern revision. h) Intern revision skal foretage uafhængige gennemgange af modellerne, herunder anvendelsen af disse i handels- og kontrolfunktioner.

Bilag 16. pkt. 60. (skal udføres af intern revision jf. bilag 23. pkt. 1.8.) Virksomheden skal regelmæssigt foretage en uafhængig gennemgang af systemet til styring af modpartsrisiko ved hjælp af sin egen interne revisionsprocedure. Denne gennemgang skal både omfatte aktiviteterne i forretningsafdelingerne, der er nævnt i pkt. 51, og den uafhængige mod-partsrisiko-kontrolenheds aktiviteter. Der skal med regelmæssige mellemrum foretages en gennemgang af den samlede procedure for styring af modpartsrisiko, hvor der som et minimum ses på: a) Hvorvidt dokumentationen vedrørende modpartsrisiko-styringssystemet og modpartsrisiko-proceduren er fyldestgørende. b) Modpartsrisiko-kontrolenhedens organisering. c) Integreringen af modpartsrisiko-målinger i den daglige risikostyring. d) Proceduren for godkendelse af de risikoberegningsmodeller og værdiansættelsessystemer, der anvendes af personalet i front- og backoffice. e) Valideringen af eventuelle større ændringer i modpartsrisiko-målingsproceduren. f) Omfanget af modpartsrisici der tages højde for i risikomålingsmodellen. g) Ledelsesinformationssystemets integritet. h) Modpartsrisiko-dataenes nøjagtighed og fuldstændighed. i) Kontrollen af, om de datakilder, der anvendes i forbindelse med interne modeller, er konsistente, aktuelle og pålidelige, herunder om sådanne datakilder er uafhængige. j) Nøjagtigheden og relevansen af de antagelser, der ligger til grund for volatiliteter og korrelationer. k) Nøjagtigheden af værdiansættelse og beregningen af risikotransformering. l) Kontrollen af modellens nøjagtighed ved hyppige back-tests. Bilag 16. pkt. 70. Den interne model skal afspejle de vilkår og specifikationer, transaktionerne er underlagt, på en aktuel, fyldestgørende og forsigtig måde. Disse vilkår skal bl.a. omfatte nominelle kontraktbeløb, løbetid, referenceaktiver, margenordninger og nettingaftaler. Vilkårene og specifikationerne skal opbevares i en database, der skal omfattes af formel og regelmæssig revision. Proceduren ved godkendelse af nettingaftaler indebærer, at juridisk personale gennemgår aftalen for at kontrollere, at den kan fuldbyrdes. Nettingaftalen skal af en uafhængig enhed lægges i databasen. Overførslen af data vedrørende transaktionsvilkår og -specifikationer til den interne model skal også underlæg-

ges intern revision. Der skal være formel afstemning mellem den interne model og kildedatasystemer med henblik på løbende at kontrollere, at transaktionsvilkår og transaktionsspecifikationer afspejles på korrekt eller i det mindste forsigtig vis i EPE. Bilag 16. pkt. 71. Den interne model skal benytte aktuelle markedsdata til beregning af aktuelle eksponeringer. Når der anvendes historiske data til estimering af volatilitet og korrelation, skal der inddrages historiske data for en periode på minimum tre år, og de skal opdateres hver tredje måned eller hyppigere, hvis markedsforholdene gør det nødvendigt. Dataene skal dække et bredt spektrum af økonomiske omstændigheder, f.eks. et helt konjunkturforløb. En enhed uden tilknytning til handelsafdelingen skal validere den pris, handelsafdelingen beregner. Dataene skal tilvejebringes uafhængigt af forretningsområderne, indlæses i den interne model på en aktuel og fyldestgørende måde og opbevares i en database, der underkastes formel og regelmæssig revision. Virksomheden skal også råde over en veludviklet dataintegritetsprocedure, der gør det muligt at rense data for fejlagtige og/eller anomale observationer. I det omfang den interne model baseres på markedsdata i form af indikatorer, herunder for nye produkter, hvor der ikke er historiske data for en periode på tre år, skal der være interne retningslinjer for at identificere egnede indikatorer, og virksomheden skal vise rent empirisk, at den pågældende indikator giver en forsigtig fremstilling af den underliggende risiko under negative markedsforhold. Hvis modellen indregner virkningen fra sikkerhedsstillelse som følge af markedsændringer på værdien af nettinggruppen, skal virksomheden have relevante historiske data for at beregne sikkerhedsstillelsens volatilitet. Bilag 19. pkt. 7. (skal udføres af intern revision jf. bilag 24. pkt. 1.5.) Styringsprocedurer og målingssystemer for operationel risiko skal være omfattet af regelmæssige gennemgange, der udføres af intern og/eller ekstern revision. Bilag 20. pkt. 15 b, 4. Virksomheden, der anvender den interne rating baserede metode til opgørelse af kreditrisiko, jf. 19 i bekendtgørelsen, skal oplyse om følgende: b) En forklaring på og en gennemgang af: 4) kontrolprocedurer for ratingsystemer, herunder en beskrivelse af uafhængighed, ansvarlighed og revision af ratingsystemet.

Appendiks 6 Intern revisions rolle i Basel II International Convergence of Capital Measurement and Capital Standards - A Revised Framework, June 2004. Pkt. 165. An independent review of the risk measurement system should be carried out regularly in the bank s own internal auditing process. A review of the overall risk management process should take place at regular intervals (ideally not less than once a year) and should specifically address, at a minimum: the integration of risk measures into daily risk management, the validation of any significant change in the risk measurement process, the accuracy and completeness of position data, the verification of the consistency, timeliness and reliability of data sources used to run internal models, including the independence of such data sources, and the accuracy and appropriateness of volatility assumptions. Pkt. 443. Internal audit or an equally independent function must review at least annually the bank s rating system and its operations, including the operations of the credit function and the estimation of PDs, LGDs and EADs. Areas of review include adherence to all applicable minimum requirements. Internal audit must document its findings. Some national supervisors may also require an external audit of the bank s rating assignment process and estimation of loss characteristics.

Appendiks 7 Intern revisions rolle i CRD, jf. CEBS - Guidelines on the implementation, validation and assessment of Advanced Measurement (AMA) and Internal Ratings Based (IRB) Approaches (CP1). Pkt. 57. The documentation of the control environment, implementation procedures, and the IT infrastructure should include, as a minimum: An overview of the internal governance of the institution (i.e., the role and responsibilities of management, the functions of committees involved in governance, and the role of Internal Audit). Internal Audit reports (if applicable). Pkt. 79. To make the supervisor s assessment more efficient, the supervisor(s) may also rely on work undertaken by the institution's own resources (Internal Audit, the unit responsible for internal validation of models, model users) Pkt. 134. Institutions should identify and describe the use they make of internal ratings, relevant risk parameters, and all related systems and processes. They should provide such documentation to their supervisor so that the impact on the institution s operations can be assessed. Such documentation should be updated regularly by (for example) the credit risk control function, and reviewed by internal audit or another comparable independent audit unit. Pkt. 303. Reviews of data quality by Internal Audit or another comparableindependent auditing unit should include at least the following: An annual review of controls, periodic sampling of data, and review of system reconciliations. For external data and pooled data, this work should be done to the fullest extent possible. Pkt. 334. It is important that a credit institution s validation processes and results should be reviewed for integrity by parties within its organisation that are independent of those responsible for the design and implementation of the validation process. This independent review may be accomplished using a variety of structural forms. The activities of the review process may be distributed across multiple units or housed

within one unit, depending on the management and oversight framework of the institutions. Regardless of the credit institution's control structure, Internal Audit has an oversight responsibility to ensure that validation processes are implemented as designed (see also Paragraph 389). Pkt. 364. The coexistence of both functions in the same unit should not be seen as an obstacle; any potential for lack of objectivity should be offset with controls, administered by the Internal audit or another comparable independent audit unit, to prevent bias from affecting the rating process. Pkt. 369. Senior management should ensure, on an ongoing basis, that the control mechanisms and measurement systems adopted by the credit risk control unit are adequate and that the overall IRB system remains effective over time. Senior management shall have a good understanding of the rating systems designs and operations. Furthermore, it should have a good understanding of credit policies, underwriting standards, lending practices, and collection and recovery practices, and should understand how these factors affect the estimation of relevant risk parameters. It should ensure that the following tasks are being addressed: Ensuring the soundness of risktaking processes, even in a rapidly changing environment Determining how internal ratings are used in the risktaking processes Identifying and assessing the main risk drivers, based on the information provided by the Credit Risk Control Unit Defining the tasks of the risk control unit and evaluating the adequacy of its professional skills Monitoring and managing all sources of potential conflicts of interest Establishing effective communication channels in order to ensure that all staff are aware of relevant policies and procedures Defining the minimum content of reporting to the management body or to bodies to which it has delegated responsibilities (e.g., the Risk Committee), and Examining reports from Internal Audit or another comparable independent audit unit.

Pkt. 370. Senior management should also check, on a regular basis, that the control procedures and measurement systems adopted by the credit risk control unit and Internal Audit are adequate and that the overall IRB system remains effective over time. Pkt. 370b. The Internal Audit or another comparable independent auditing unit should provide an assessment of the overall adequacy of the internal control system and of the credit risk control function. Pkt. 383. A minimum requirement, however, could be to make the CRC function depend directly on senior management, wherever the unit is located within the organisation. Part of the duties of Internal Audit should be to review whether the location of the CRC function could reduce its independence. Pkt. 387. Whatever option is adopted by the institution, part of the duties of Internal Audit should be to determine the real degree of independence of the CRC function. Pkt. 389. The Internal Audit function reviews whether the institution s control systems for internal ratings and related parameters are robust (Annex VII, Part 4, Paragraph 130 of the CRD). It should therefore have an appropriate understanding of all the processes of the rating systems, including those processes which generate the estimates of risk parameters. As part of its review of control mechanisms, Internal Audit will evaluate the depth, scope, and quality of the Credit Risk Control function s work. Internal Audit may also conduct tests to ensure that Credit Risk Control function s conclusions are wellfounded. Internal Audit should also review the adequacy of the IT infrastructure and data maintenance. For institutions using statistical models, Internal Audit should conduct tests (for example, on specific business units) in order to check data input processes. Pkt. 390. Internal Audit or another comparable independent audit unit should report at least annually to both the management body and senior management on the institution s compliance with the IRB requirements. Pkt. 391. In order to strengthen its independence, Internal Audit should not be directly involved in model design/selection. Although not directly related to independence

(but rather to credibility), Internal Audit units should always have a high standing within the organisation and should be staffed by individuals possessing the requisite stature, skills, and experience. Pkt. 392. Notwithstanding the need for independence, some cooperation between Internal Audit and the CRC function can be desirable, for example in order to address potential weaknesses or biases in the rating system. For instance, information on overrides detected by the CRC function in a specific portfolio or business unit should be passed on to Internal Audit so that it can assess whether the overrides stem from model biases (for example, because the model is unfit to produce ratings for specific businesses) or from a lack of independence of relationship managers. Nevertheless, it should be clear that the CRC function has sole responsibility for the rating systems performance. The audit function should not be involved in daytoday operations such as reviewing each individual rating assignment.

Appendiks 8 Intern revisions rolle i CRD, jf. CEBS - Guidelines on the Application of the Supervisory Review Process under Pillar 2 (CP03 revised). ICAAP SREP interaction Supervisors will explore through the dialogue with institutions, how institutions set their risk strategy, how they identify, measure, aggregate and monitor the risks they take, and how they set their overall riskbearing capacity. The dialogue should be structured to cover elements such as internal governance (including risk controls, compliance, and internal audit), the organisation of the institution s business, and how the institution allocates capital against risk. IG 7: The management body should develop and maintain strong internal control systems. b. There are several instruments at the disposal of the management body (both supervisory and management functions) for maintaining a sufficiently high standard of internal control. These include the risk control function, the compliance function, and the internal audit function, all of which are described in the section on Internal Control below. IG 14: Institutions should establish, making adequate allowance for the principle of proportionality, the following three primary functions in order to implement an effective and comprehensive system of internal control in all areas of the institution, namely (i) risk control function, (ii) compliance function, and (iii) internal audit function. c. These internal control functions (i.e. risk control, compliance and internal audit) should also be organisationally independent from each other, since they perform different functions. The reporting lines should run directly from the abovementioned functions to the management body (both supervisory and management functions). Furthermore, it is the responsibility of the management body to ensure that the risk control function, the compliance function and the internal audit function all have sufficient resources (well qualified and experienced staff, as well as a sufficient number of staff) at their disposal.

IG 17: The internal audit function should allow the management body to ensure that the quality of the internal controls is both effective and efficient. a. The management body (both supervisory and management functions) is responsible for establishing the internal control framework in compliance with regulatory requirements. The internal audit function is responsible for the assessment of the adequacy of internal controls and should report its findings to the management body (both supervisory and management functions) b. The internal audit function should have unfettered access to the management body (both supervisory and management functions) and/or to the audit committee where applicable. Any suggestions by internal audit for material improvements in internal controls should be reported directly to the management body (both supervisory and management functions). All audit recommendations should be subject to a formal followup procedure by the respective level of management, in order to ensure (and report) their resolution. c. The internal audit function should evaluate the adequacy of the internal control framework of the institution (including the risk control and compliance functions) and report its findings. It should also have unfettered access to relevant documents and information in all business lines. It should evaluate the compliance of all activities and divisions with the institution s policies and procedures. The internal audit function must also evaluate whether existing policies and procedures remain adequate. IG 20: Institutions should meet the generally agreed transparency requirements in the conduct of their business. c. Institutions may also find it desirable to describe how their risk management, risk control, compliance and internal audit functions are organised. Finally, they may want to outline the major tasks performed by these functions, describe how performance is monitored by the management body (both supervisory and management functions), and describe how any necessary improvements are being implemented.

Appendiks 9 - The descriptive model of intergrated risk management and internal auditing. Selim, G. & McNamee, D. (1999). The Risk Management and Internal Auditing Relationship: developing and Validating a Model.

Appendiks 10 Intern revisions rolle i relation til IRB-A, CRD bilag 8 pkt. 124. Dette appendiks skal alens opfattes som en inspiration til hvorledes intern revision kan behandle opgaverne i relation til IRB-A, CRD bilag 8 pkt. 124. Udgangspunktet er, at gennemgangen foretages i overensstemmelse med RS 3000, og at der foretages en vurdering af alle opgaver i relation til relevans, væsentlighed og risiko. En af de centrale problemstillinger er at fastsætte formål med opgaven, undersøgelsesområde og konklusionens ordlyd (grad af sikkerhed). Intern revision skal tage stilling til ordet gennemgang, idet der ikke krav om en egentlig revision, men en gennemgang. Dette har indflydelse på undersøgelsens omfang, de handlinger der skal udføres, samt kravene til dokumentationsmaterialet. Mht. behandlingen af minimumskravene kan intern revision anvende en procestankegang som kan illustreres således: Intern revision præsenterer resultatet af årets gennemgang til Revisionskomitéen (ledelsen) Årlige vurdering af alle minimumskrav mht. relevans, væsentlighed og risiko Intern revision udfører opgaverne og rapporterer løbende til organisationen Vurderingen kommenteres og accept af Revisionskomitéen (ledelsen) Planen præsenteres for organisationen, og der kommenteres på sidste års gennemgang Alle relevante krav behandles iht. RS 3000

Faktorer der bl.a. bør indgå i intern revisions vurdering af relevans, væsentlighed og risiko: Relevans: Indeholder instituttets setup elementer, som er omfattet af det enkelte krav? Har området/kravet væsentlig betydning for beslutninger der træffes i relation til instituttets anvendelse af IRB-A? Væsentlighed: Kan fejl i området/kravet medføre væsentlig fejl i opgørelserne? Kan fejl i området/kravet have betydning for beslutninger der træffes i relation til anvendelsen af IRB-A? Kan udskiftning af medarbejdere på området have væsentlig betydning? Lovregler (fortolkning, ændringer og kompleksitet) Risiko: Intern revision bør anvende det generelle kendskab til det interne kontrolmiljø herunder, iboende risici, kontrolrisici, forretningsrisici og besvigelsesrisici. Herefter skal intern revision (evt. ledelsen) fastsætte hvilken grad af sikkerhed og hvilken konklusionsform der ønske på området. Samlet set kan vurderingen af relevans, væsentlighed og risiko føre til, at intern revision finder det hensigtsmæssigt, at der foretages en risikobaseret gennemgang, og at relevante, væsentlige og risikofyldte områder rapporteres med en positiv konklusion, samt at øvrige områder rapporteres med en negativ konklusion. Der er en lang række af faktorer, som kan påvirke processen og frameworket. Intern revision skal være meget opmærksom på faktorerne: kreteriesættet, undersøgelsesområdet, omfanget af undersøgelsen og dokumentationsmaterialet. Intern revision skal sikre, at konklusionen afstemmes til de nævnte faktorer.

Umiddelbart kan der anvendes følgende to konklusionsformer: Positiv konklusion Intern revision planlægger og udfører en gennemgang, hvor målet er at opnå en høj grad af sikkerhed for, at området i al væsentlighed behandles på betryggende vis og i overensstemmelser med reglerne. Intern revision afgiver en konklusion som enten be- eller afkræfter formålet med gennemgangen. Vi har via vores gennemgang af XXX opnået en høj grad af sikkerhed for, at bankens udsagn om: at den interne kontrol i relation til XXX i al væsentlighed er effektiv, og at XXX i al væsentlighed håndteres i overensstemmelse med reglerne, er retvisende Negativ konklusion Intern revision planlægger og udfører en gennemgang, hvor målet er at opnå en begrænset grad af sikkerhed for, at området i al væsentlighed behandles på betryggende vis og i overensstemmelser med reglerne. Intern revision afgiver en konklusion som enten be- eller afkræfter formålet med gennemgangen. I forbindelse med vores gennemgang er vi ikke blevet opmærksom på forhold, der giver anledning til at mene, at bankens udsagn om: at den interne kontrol i relation til XXX i al væsentlighed er effektiv, og at XXX i al væsentlighed håndteres i overensstemmelse med reglerne, ikke er retvisende Ovenstående er alene forslag på konklusioners udformning. Processen kan vises således:

Appendiks 11 CBOK (jf. www.theiia.org). What is the Common Body of Knowledge (CBOK)? The CBOK 2006 study is the largest project ever undertaken by The IIA Research Foundation. It will produce a continuously expanding library of information about the practice of the internal audit profession world-wide a Common Body of Knowledge. The study was conducted in the form of carefully-engineered surveys to Chief Audit Executives (CAE), internal audit practitioners of all levels of experience, and IIA Chapter and Institute leaders. These surveys determine: Compliance to and adequacy of The International Standards for the Professional Practice of Internal Auditing. The current status of the internal audit activity within organizations. The activities and types of audits that are being performed. Tools and techniques used by internal auditors. Skills and knowledge possessed by internal auditors. The CBOK study has resulted in a database rich with valuable information that will be used to shape the future of internal auditing around the world. The CBOK study will be repeated every three years, with the next study scheduled to take place in 2009. Who participated in CBOK? CBOK was a truly global study: A team of 15 researchers from North America, Europe, Africa and Australia performed an exhaustive literature review, wrote the surveys and authored A Summary of the Common Body of Knowledge 2006. The surveys were translated and distributed in 17 languages (English, French, Spanish, Portuguese, Swedish, Italian, German, Polish, Russian, Czech, Turkish, Bulgarian, Indonesian, Japanese, Traditional Chinese, Simplified Chinese and Arabic). Over 12,000 responses were received to the surveys. After careful data cleansing and statistical analysis, the final database reflects the information of 9,366 internal auditors from around the world. Responses were received from 89 IIA institutes and internal auditors in 91 countries.

Bilag Bilag 1 - IIAs standardpåtegning Bilag 2 Danske Bank A/S revisionspåtegninger fra årsrapporten 2006 Bilag 3 Jyske Bank A/S revisionspåtegninger fra årsrapporten 2006 Bilag 4 Sydbank A/S revisionspåtegninger fra årsrapporten 2006 Bilag 5 Amagerbanken Aktieselskab revisionspåtegninger fra årsrapporten 2006 Bilag 6 Fionia Bank A/S revisionspåtegninger fra årsrapporten 2006 Bilag 7 Spar Nord Bank A/S revisionspåtegninger fra årsrapporten 2006 Bilag 8 Sparbank A/S revisionspåtegninger fra årsrapporten 2006 Bilag 9 ebh bank a/s revisionspåtegninger fra årsrapporten 2006 Bilag 10 Sparekassen Kronjylland revisionspåtegninger fra årsrapporten 2006 Bilag 11 Lån & Spar Bank A/S revisionspåtegninger fra årsrapporten 2006 Bilag 12 Barclays PLC revisionspåtegninger fra årsrapporten 2006 Bilag 13 IIAs vedtægter (kilde: www.iia.dk) Bilag 14 IIAs, orientering om - og formular til medlemskab (kilde: www.iia.dk)

Bilag 1 - IIAs standardpåtegning Intern revisions påtegning Vi har revideret årsrapporten for IIA Bank A/S for regnskabsåret 2007. Koncernregnskabet aflægges efter International Financial Reporting Standards som godkendt af EU, og årsregnskabet for moderselskabet aflægges efter lov om finansiel virksomhed. Årsrapporten aflægges herudover i overensstemmelse med yderligere danske oplysningskrav til årsrapporter for børsnoterede finansielle selskaber. Den udførte revision Revisionen er udført på grundlag af Finanstilsynets bekendtgørelse om revisionens gennemførelse i finansielle virksomheder mv. samt finansielle koncerner og efter danske revisionsstandarder. Disse standarder kræver, at vi planlægger og udfører revisionen med henblik på at opnå høj grad af sikkerhed for, at årsrapporten ikke indeholder væsentlig fejlinformation. Revisionen er udført i henhold til den arbejdsdeling, der er aftalt med ekstern revision, og har omfattet vurdering af etablerede forretningsgange og interne kontroller, herunder den af ledelsen tilrettelagte risikostyring, der er rettet mod rapporteringsprocesser og væsentlige forretningsmæssige risici. Ud fra væsentlighed og risiko har vi stikprøvevis efterprøvet grundlaget for beløb og øvrige oplysninger i årsrapporten, herunder undersøgelse af information, der understøtter de i årsrapporten anførte beløb og oplysninger. Revisionen har endvidere omfattet stillingtagen til, om den af ledelsen anvendte regnskabspraksis er passende, om de af ledelsen udøvede regnskabsmæssige skøn er rimelige samt en vurdering af den samlede præsentation af årsrapporten. Vi har deltaget i revisionen af de væsentlige og risikofyldte områder, og det er vores opfattelse, at det opnåede revisionsbevis er tilstrækkeligt og egnet som grundlag for vores konklusion. Revisionen har ikke givet anledning til forbehold. Konklusion Det er vores opfattelse, at de etablerede forretningsgange og interne kontroller, herunder den af ledelsen tilrettelagte risikostyring, der er rettet mod koncernens og moderselskabets rapporteringsprocesser og væsentlige forretningsmæssige risici, fungerer tilfredsstillende. Det er tillige vores opfattelse, at årsrapporten giver et retvisende billede af koncernens og moderselskabets aktiver, passiver og finansielle stilling pr. 31. december 2007 samt af resultatet af koncernens og moderselskabets aktiviteter og koncernens pengestrømme for regnskabsåret 2007 i overensstemmelse med International Financial Reporting Standards som godkendt af EU for så vidt angår koncernregnskabet, i overensstemmelse med lov om finansiel virksomhed for så vidt angår årsregnskabet for moderselskabet, samt i øvrigt i overensstemmelse med yderligere danske oplysningskrav til årsrapporter for børsnoterede finansielle selskaber.

Bilag 2 Danske Bank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 2.1 Danske Bank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 3 Jyske Bank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 3.1 Jyske Bank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 4 Sydbank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 4.1 Sydbank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 5 Amagerbanken Aktieselskab revisionspåtegninger fra årsrapporten 2006

Bilag 5.1 Amagerbanken Aktieselskab revisionspåtegninger fra årsrapporten 2006

Bilag 6 Fionia Bank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 6.1 Fionia Bank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 7 Spar Nord Bank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 7.1 Spar Nord Bank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 8 Sparbank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 8.1 Sparbank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 9 ebh bank a/s revisionspåtegninger fra årsrapporten 2006

Bilag 9.1 ebh bank a/s revisionspåtegninger fra årsrapporten 2006

Bilag 10 Sparekassen Kronjylland revisionspåtegninger fra årsrapporten 2006

Bilag 10.1 Sparekassen Kronjylland revisionspåtegninger fra årsrapporten 2006

Bilag 11 Lån & Spar Bank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 11.1 Lån & Spar Bank A/S revisionspåtegninger fra årsrapporten 2006

Bilag 12 Barclays PLC revisionspåtegninger fra årsrapporten 2006

Bilag 12.1 Barclays PLC revisionspåtegninger fra årsrapporten 2006

Bilag 13 IIAs vedtægter (kilde: www.iia.dk) Vedtægter 1. Navn 1.1 Foreningens navn er: Foreningen af Interne Revisorer. 2. Formål 2.1 Foreningens formål er at styrke den uddannelsesmæssige, etiske og faglige udvikling inden for intern revision. 3. Medlemskab 3.1 Som medlemmer af foreningen kan optages: Virksomheder eller offentlige myndigheder og institutioner eller lignende, der har etableret eller står foran etablering af en intern revisions funktion. Personer, som er ansat i en intern revisionsafdeling i en virksomhed, offentlig myndighed, institution eller lignende, som nævnt ovenfor. Medarbejdere og studerende tilknyttet uddannelsesinstitutioner inden for fagområdet revision. Virksomheder eller personer, der på anden måde end angivet ovenfor, har tilknytning til området revision. 3.2 Medlemskabet for virksomheder, offentlige myndigheder, institutioner mv. udøves på vegne af virksomheden, myndigheden, institutionen mv. af chefer og/eller medarbejdere ansvarlige for eller tilknyttet pågældende virksomhed, myndighed, institution, revisions afdeling. 3.3 Foreningens bestyrelse godkender medlemskaber. 3.4 Bestyrelsen kan ekskludere et medlem, der ikke lever op til foreningens etiske eller faglige standard. 3.5 Bestyrelsen kan udnævne æresmedlemmer. Æresmedlemmer er tidligere bestyrelsesmedlemmer og udvalgsmedlemmer eller lignende, der har ydet en stor indsats og samtidig har været medlem af foreningen i et betydeligt antal år. 4. Generalforsamling 4.1 Foreningens øverste myndighed er generalforsamlingen. 4.2 Generalforsamlingen afholdes i maj eller juni måned. 4.3 Indkaldelse til generalforsamling skal ske skriftligt til samtlige medlemmer med et varsel på mindst 14 dage. 4.4 Dagsordenen for generalforsamlingen skal omfatte: Valg af dirigent Beretning om foreningens virksomhed i det forløbne år. Forelæggelse af årsrapport. Fastlæggelse af kontingent for det kommende år. Valg af bestyrelse. Valg af revisor Behandling af fremsatte forslag Eventuelt

4.5 Ethvert medlem, hvis medlemskab har været godkendt og registreret i 1 måned, er berettiget til at give møde og afgive stemme på generalforsamlingen. Studerende med nedsat kontingent har dog ingen stemmeret. 4.6 Valg og beslutninger på generalforsamlingen - bortset fra vedtægtsændringer, jf. 12 og foreningens opløsning, jf. 13 - sker ved almindelig stemmeflerhed blandt de fremmødte medlemmer. 4.7 Der kan endvidere afgives stemmer ved skriftlig fuldmagt til et medlem eller foreningens bestyrelse. Et medlem kan dog kun modtage een fuldmagt. 5. Ekstraordinær generalforsamling 5.1 Ekstraordinær generalforsamling skal afholdes, såfremt et flertal af bestyrelsen eller mindst en femtedel af foreningens medlemmer udtrykker skriftligt ønske herom med angivelse af en bestemt dagsorden. 5.2 Såfremt behørig anmodning herom fremkommer, påhviler det bestyrelsen at indkalde til ekstraordinær generalforsamling med skriftlig meddelelse til samtlige foreningens medlemmer med mindst 14 dages varsel og med angivelse af en dagsorden. 5.3 Afstemning på ekstraordinære generalforsamlinger finder sted efter bestemmelserne i 4. 6. Bestyrelse 6.1 Bestyrelsen består af 8-10 medlemmer valgt blandt foreningens medlemmer og/eller repræsentanter for disse (jf. 3.2.) 6.2 En virksomhed, myndighed, institution mv. kan kun have en repræsentant i bestyrelsen. I denne henseende betragtes koncernforbundne virksomheder som een virksomhed. 6.3 Det er foreningens opfattelse, at de væsentligste af de brancher inden for Intern Revision, som medlemmerne hidrører fra, skal være repræsenteret i bestyrelsen. 6.4 Bestyrelsens medlemmer vælges for 2 år ad gangen, idet halvdelen af bestyrelsen er på valg hvert år. Genvalg kan finde sted dog for højst 5 valgperioder sammenlagt. Fornyet valg til bestyrelsen kan herefter ske efter 2 valgperioder. 6.5 Efter generalforsamlingen konstituerer bestyrelsen sig ved valg af formand, næstformand, kasserer og sekretær. Valg til formand kan kun opnås for op til fire år. 6.6 Beslutninger i bestyrelsen træffes ved almindelig stemmeflerhed blandt de fremmødte bestyrelsesmedlemmer. Ved stemmelighed er formandens stemme afgørende. 7. Udvalg og grupper 7.1 Bestyrelsen kan efter behov nedsætte udvalg til behandling af konkrete eller generelle emner af betydning for opfyldelse af foreningens formål. 7.2 Bestyrelsen nedsætter udvalg for redaktion af INFO, hjemmeside, uddannelse og medlemsmøder, internationale forhold og sektorudvalg indenfor den finansielle sektor, offentlige virksomheder, ministerier og kommuner samt industri mv. Udvalgenes formænd udpeges af bestyrelsen, ligesom kommissorium for de enkelte udvalg godkendes af bestyrelsen.

7.3 Bestyrelsen eller udvalgene kan efter behov nedsætte erfa-grupper blandt foreningens medlemmer. Erfa-grupper aftaler individuelle leveregler for møder. 8. Kontingent 8.1 Det årlige kontingent fastsættes på generalforsamlingen for 1 år ad gangen. 8.2 Generalforsamlingen kan bestemme, at studerende ikke betaler fuld kontingent. 9. Forvaltning af foreningens midler 9.1 Foreningens midler anbringes i et dansk pengeinstitut. Eventuelle midler, som ikke er nødvendige i foreningens løbende drift, kan efter bestyrelsens beslutning anbringes i et pengeinstitut på konto med opsigelse eller investeres i danske obligationer, som noteres på Fondsbørsen. 9.2 Foreningens kasserer - og i dennes fravær bestyrelsens formand - er berettiget til at disponere over foreningens midler. 10. Årsrapport og revision 10.1 Foreningens regnskabsår løber fra 1. maj til 30. april. 10.2 Årsrapporten revideres forud for generalforsamlingen af foreningens revisor. 11. Foreningens internationale tilknytning 11.1 Foreningen er tilknyttet The Institute of Internal Auditors Inc. i USA, som udøver en oplysende funktion, bl.a. i form af uddannelsesmateriale og diverse publikationer. 11.2 Foreningen deltager endvidere i et samarbejde på europæisk (ECIIA) og regionalt plan (Regional Committee). 12. Vedtægtsændringer 12.1 Beslutning om ændring af foreningens vedtægter kan kun træffes, såfremt mindst tre fjerdedele af de på generalforsamlingen fremmødte medlemmer stemmer herfor. 12.2 Forslag til vedtægtsændringer fremsendes skriftligt til bestyrelsen og skal være formanden i hænde senest 1. april forud for den ordinære generalforsamling. 12.3 Fremkomne forslag til vedtægtsændringer udsendes til medlemmerne sammen med indkaldelsen til generalforsamlingen. 13. Fusion 13.1 Bestyrelsen er bemyndiget til at beslutte, at foreningen fusioneres (sammenlægges) med en anden forening med samme eller i det væsentlige tilsvarende formål som foreningens i forbindelse med at medlemmerne i den anden forening tilbydes medlemsskab i foreningen på lige vilkår med foreningens hidtidige medlemmer.

14. Foreningens opløsning 14.1 Beslutning om foreningens opløsning kan kun træffes, såfremt et forslag herom har været behandlet på to på hinanden følgende generalforsamlinger, hvoraf mindst et skal være en ordinær generalforsamling. 14.2 Beslutning om opløsning af foreningen kan kun træffes, hvis mindst tre fjerdedele af foreningens medlemmer stemmer herfor. 14.3 Ved anden behandling af et forslag om foreningens opløsning tager medlemmerne endvidere stilling til fordeling af foreningens midler, der dog ingensinde kan tilfalde medlemmerne. 15. Ikrafttræden 15.1 Disse vedtægter træder i kraft, som vedtaget på generalforsamlingen 9. juni 2006. Valg til bestyrelsen, herunder genvalg og begrænsning i valgperiode i henhold til 6.4 gælder fra valg på generalforsamlingen 9. juni 2006 og fremover.

Bilag 14 IIAs, orientering om - og formular til medlemskab (kilde: www.iia.dk) Medlemskab Medlemskab af Foreningen af Interne Revisorer kan opnås af følgende personer: Medarbejdere i interne revisionsafdelinger, Controllere, Statsautoriserede revisorer med interesse for intern revision og controlling, Undervisere på højere læreanstalter med interesse for intern revision og controlling og Studerende på højere læreanstalter med interesse for intern revision og controlling. Medlemskab af Foreningen af Interne Revisorer giver følgende fordele: Adgang til foreningens gå-hjem-møder. For kortere møder ( ca 2 timer) er det gratis. For halvdags- eller heldagsmøder opkræves et gebyr. Adgang til deltagelse i foreningens kurser mv. Modtager 3 gange om året foreningens blad INFO med aktuelt nyt og faglige artikler. Modtager 6 gange om året (hver anden måned) det velansete internationale fagtidsskrift: "The Internal Auditor" (dog ikke C medlemmer). Ret til at afgive stemme på foreningens generalforsamling, der afholdes i juni måned hvert år. (Studentermedlemmer har dog ikke stemmeret). Medlemskab af Foreningen af Interne Revisorer medfører samtidig et medlemskab af den internationale organisation: "The Institute of Internal Auditors". Adgang til medlemsspecifikke sider på foreningens hjemmeside herunder deltagelse i erfa-grupper, elektronisk kursustilmelding, debatfora mv. Jeg erklærer: at ovenstående oplysninger er rigtige og korrekte at jeg opfylder betingelserne for medlemskab at jeg, hvis min ansøgning accepteres, vil efterleve IIA's etiske retningslinier ("Code of Ethics")