Presentation laddar. Vänta.

Presentation laddar. Vänta.

Intern styrning och kontroll - vad är det egentligen?

Publicerades avFredrik Lindström

Liknande presentationer

En presentation över ämnet: "Intern styrning och kontroll - vad är det egentligen?"— Presentationens avskrift:

1 Intern styrning och kontroll - vad är det egentligen?
Torbjörn Wikland Konsult, pensionär, f.d. RRV, f.d. ESV, f.d. försäkringskassan, f.d. regeringskansliet, f.d. ordförande i Internrevisorerna m.m.

2 Många infallsvinklar finns...
Traditionell internkontroll (pappersbaserad, manuell, ekonomifokus) Internal Control (från 1950-talet - flera varianter – jmf controlling) COSO Internal Control (från 1992) EU-kommissionens Internal Control (från 1999 baserat på COSO) COSO ERM 2004 (utvidgad riskhantering – ”ovanpå” Internal Control) Bolagskodens internkontroll 2005 (och Aktiebolagslagen 2010) Förordningen (FISK:en) från 2006 ISO :2009 (utvidgad riskhantering – generisk standard) Uppdaterade COSO internal Control 2013 Specialiserade standarder – Cobit, LIS m.m.

3 Många infallsvinklar... Men minst tre viktiga i myndighetsvärlden
Traditionell internkontroll (pappersbaserad, manuell, ekonomifokus) Internal Control (från 1950-talet - flera varianter – jmf controlling) COSO Internal Control ( och grunden för FISK:en) EU-kommissionens Internal Control (från 1999 – utifrån COSO) COSO ERM 2004 (utvidgad riskhantering – ”ovanpå” Internal Control) Bolagskodens internkontroll 2005 (och Aktiebolagslagen 2010) Förordningen (FISK:en) från 2006 ISO :2009 (utvidgad riskhantering – generisk standard) Uppdaterade COSO internal Control kan komplettera FISK:en Specialiserade standarder – Cobit, LIS m.m.

4 Startpunkt COSO 1992: (efter oro på börsen)
”Intern styrning och kontroll är generellt definierad som en process, utförd av en organisations styrelse, ledning och annan personal, utformad för att ge rimlig försäkran om att målen uppfylls inom följande kategorier: Effektivitet och produktivitet i verksamheten. Tillförlitlig (finansiell) rapportering. Efterlevnad av tillämpliga lagar och regler.” Ur COSO: s ramverk för ”Internal Control” 1992 En snårig definition men …

5 Vad menade COSO? Genomtänkt och fungerande styr- och kontroll- process krävs för att nå målen – inkl. yttre krav Risker att inte nå målen är fokus för processen Processen syftar till att ge en rimlig – inte absolut – försäkran om att målen nås. Processen ska vara ett stöd för och inkludera ledningen - och annan personal – inte reduceras till formalia Processen bör utformas från en gemensam grund (standard) – för att skapa transparens och tillgodose krav från externa intressenter

6 COSO:s ramverk blev en milstolpe!
En enhetlig syn på ”Internal Control” skapades Markering att kontroll inte är formaliakontroll Människors agerande kom i fokus (alltså intern styrning och kontroll) Passade väl in i förskjutningen från manuell till digital kontroll Intern styrning och kontroll började nu ses som en delvis sammanhållen process eller ett system En utgångspunkt – inte lösning - för att förhindra bedrägerier Därför fick ramverket spridning, anammades av EU - och blev grunden för FISK:en.

7 Kortfattat - vad är då FISK:en?
Resultat av EU-kommissionens kontrollkrav på EU-myndigheterna och EU-bidragen som sedan blev generella krav på medlemsstaterna. Ett instrument för regeringen att bedöma om man har väl fungerande myndigheter En anpassning till COSO: s syn på intern styrning och kontroll till svenska statliga myndigeter Arbetet har fokus på ledningens uttalande

8 Vad är kärnan i intern styrning och kontroll?
Kort svar: Ordning och reda så att målen uppnås (eller - en organisation helt formad av att nå sina mål) Ett längre svar: Ett arbete som innebär: Att utgå från verksamhetsmålen (inkl. yttre krav) Att riskerna tas fram för att målen inte uppnås Att de viktigaste av dessa risker lyfts fram Att man tar till åtgärder, dvs, styrsignaler och kontroller, för att reducera dessa risker Att verksamhetsledningen ansvarar och stödjer

9 Sammanfattat i en bild:

10 Styrka (och svagheter) i FISK:en
Föredömligt kortfattad förordning  Ett uttryck för krav på transparens  En grund för ledningsuttalande om ordning och reda  Den tar sin utgångspunkt i en internationell standard  (COSO)

11 (Styrka och) svagheter i FISK:en
Integration med andra”risk”-regelverk är svag  (arbetsmiljö, infosäk, egendomsskydd m.m.) Handledningarna har fokus på uttolkningar, inte möjligheter Arbete med föredömen (best practice) i ISK-arbetet outvecklat  Flera styrkepunkter i COSO: s ramverk har tappats bort eller är svagt utvecklade  dvs…

12 COSO: s styrkepunkter (jmf med FISK)
ISK ska vara ett ledningsarbete för den egna organisationens bästa – alltså inte primärt styrt av avnämare eller externa intressenter Alla nivåer och funktioner i organisationen har en egen intern styrning och kontroll - inte bara vara en transportfunktion uppåt till högsta ledningen Allt med i riskinventeringen och riskanalysen - inte en uppdelning på informationssäkerhet, arbetsmiljö, egendomsskydd m.m. Gemensamma kriterier uppställda (en modell framtagen) för att uttala sig om god intern styrning och kontroll existerar – inte ”fingret i luften”

13 Intern styrning och kontroll bara på ledningsnivå?
Titta på COSO-kuben! ett arbete i tre dimensioner, dvs. målområden, komponenter och organisationsnivå Alltså intern styrning och kontroll: För hela organisationen (entity level) Avdelningsvis (division) På verksamhetsenheter (operating unit) På funktionsnivå (function)

14 Föreslagna kriterier för bedömning: COS0: s komponenter och principer (Det uppdaterade ramverket förtydligar det som fanns redan 1992) Styr- och kontrollmiljön Lyfter fram integritet och etiska värden och handlingar Exercises oversight responsibility Establishes structure, authority and responsibility Demonstrates commitment to competence Enforces accountability Riskbedömning Förtydligar berörda mål Identifierar och analyserar risker Bedömer risken för bedrägerier Identifierar och analyserar betydelsefulla förändringar Kontrollaktiviteter Väljer ut och utvecklar kontrollaktiviteter 11. Väljer ut och utvecklar övergripande kontroller över IT Etablerar/genomför policies och rutiner Information & Kommunikation Använder relevant information Kommunicerar internt Kommunicerar externt Övervakning Conducts ongoing and/or separate evaluations Evaluates and communicates deficiencies

15 Föreslagen process för att komma fram till en helhetsbedömning av den interna styrningen och kontrollen – i fyra steg

16 Den övergripande bedömningen – slutsteget (efter tre inledande steg)

17 Bedömning av principer – första steget (med stöd i fokuspunkter)

18 Bedömning av komponenter - med stöd av principbedömningen

19 Sammanfattning av brister - det tredje steget

20 Fler styrkepunkter i COSO
Arbetet med ISK ska vara integrerat i styrsystemen för organisationen (bl.a. planering och uppföljning) Det finns en genomtänkt rollfördelning hur risker ska hanteras i en organisation (tre försvarslinjer) Som standard är den väl etablerad!

21 Roller/fördelat ansvar under högsta ledningen: Principen om de tre försvarslinjerna
Första linjen: verksamhetschefer och andra beslutsfattare i verksamheten (förhindrar mest) Andra linjen: Ledningens controllers + specialistfunktioner fångar ”sina” problem Alla etablerar felfångarsystem (systematiskt felsökande) Tredje linjen: Internrevision – en oberoende granskningsfunktion nära ledningen (friska ögon utanför linjen) Externrevisionen finns utanför (upptäcker men förhindrar inte fel även om den agerar proaktivt) Principen om de tre försvarslinjerna inarbetad i uppdaterade COSO

22 Några slutsatser och tillägg
I myndigheten bör uttalandet bara vara ett av flera mål för arbetet med intern styrning och kontroll – om de interna målen prioriteras är det lätt att göra ett uttalande ...!! Omdömet om den interna styrningen och kontrollen måste utnyttja de modeller för värdering som finns – om man vill ha ett systematiskt förbättringsarbete… (COSO :s modell den mest utvecklade) Icke önskvärda risker bör kompletteras med önskvärda risker - ibland måste man ta risker för att nå önskvärda mål!

23 Interna mål (första slutsatsen)
Ta till vara möjligheter att säkrare nå myndighetens mål och reducera kostnader Frigör man sig från ”svart/vitt-uttalandet” blir huvudfrågan att leta förbättringsområden och minska bristerna genom ett bra arbete med intern styrning och kontroll Förtroenderisker, hållbarhetsperspektivet och informationshanteringen är tre växande riskområden att uppmärksamma och hantera

24 Utvärdering av helheten (slutsats 2)
Mål – Med utgångspunkt i målen görs … Riskbedömning – De väsentligaste riskerna tas fram. Styr – och kontrollmiljö – Förutsättningar ges genom bl.a. bra ledning och personal och organisering av verksamheten Kontrollaktiviteter –Är kontrollerna effektiva? Saknas något eller finns överflödiga kontroller? Information och kommunikation – Tas rätt information fram om hur det fungerar och ska fungera? Fungerar återkopplingen? Övervakning – Koll och korrigering av helheten - så att det fungerar

25 Utvärdering av helheten (forts.)
Om någon av de fem komponenterna inte fungerar – då fungerar inte helheten! Om de fungerar är alltid en bedömningsfråga

26 Missuppfattningar? Sju vanliga uppfattningar… …som bör bytas ut till…
Intern styrning och kontroll grundas genom att införa policies och rutiner. finns till för förordningskrav och internrevisionen. utgår från vad ekonomichefen säger till oss. är i huvudsak negativ, dvs. ”Du skall icke…” är ett nödvändigt ont och tar tid från kärnverksamheten måste minska vid neddragningar och delegeringar ska medföra att bedrägerier och fel stoppas …som bör bytas ut till… Intern styrning och kontroll grundas med en tydlig och genomtänkt styr- och kontrollmiljö. ska ägas av ledningen som en del av dess styrning Ska omfatta alla delar av verksamheten. medför att rätt saker inträffar, inte bara en gång utan nästan alltid. ska byggas in /integreras som ett värde i den löpande verksamheten. ska ändra inriktning vid neddragningar och delegeringar. ger en grund för att förhindra bedrägerier och fel men fungerar bara med en aktiv ledning.

27 Önsvärda risker? (slutsats 3)
Att vilja/våga ta risker för att nå önskvärda mål Ett steg utanför intern styrning och kontroll Finns det utrymme? Konkurrensutsatta universitet och högskolor Utrymmet under de övergripande målen All utvecklingsverksamhet Inför riskaptit, risktolerans och riskfördelning Men kanske organisatoriskt avskilt från icke önskvärda risker

28 COSO och/eller ISO Mest etablerade eller bästa standarden?
ISO – genomtänkt och strukturerat COSO – helhetsbedömning och organisationsfokus – och mest etablerad Måste man välja? Nej, är mitt svar – de går att integrera Men viktigt med enhetligheten inom organisationen Integrera med andra specialiserade standarder!

29 Vad framförde statskontoret? (ur rapporten ”Fångar Fisken fel?”)
”En viktig anledning till att Statskontoret kunde upptäcka risker för felaktiga utbetalningar hos Försäkringskassan, CSN och arbetsförmedlingen var att vi undersökte brister som fanns längst ut i styrkedjan, inte enbart i början av den.” (till skillnad från de tre myndigheterna som uttalade att de hade god intern styrning och kontroll) Bra! Så kan man visa hur en effektiv intern styrning och kontroll kan fungera!- Men varför slår statskontoret ner på förordningen? Om dessa tre myndigheter gjort ett dåligt arbete, varför förklaras felet bero på förordningen? Uppfattar statskontoret myndigheterna som robotar?(logisk kortslutning?) Kan statskontorets märkliga slutsats mildras med hänvisning till att förordningarna och ESV i handledningarna m.m. inte klargjort vad som bör utmärka ett bra arbete med intern styrning och kontroll? (med viss tvekan –ja)

30 Vad framförde innovationsrådet? (i sin slutrapport SOU 2013:40)
”…viktigt …att bygga vidare på en av Sveriges största tillgångar, tilliten.” Man bör inte inrätta myndigheter för ”att kontrollera andra myndigheter under regeringen”. ”Myndigheterna avsätter…tid för ekonomiadministrativa uppgifter som inte alltid tycks vara värdeskapande.” ”onödigt stor pålaga … förordningen om intern styrning och kontroll” Bra grundtanke i betänkandet – uppmuntra innovativt skapande! – MEN tre kommentarer bör göras till deras förslag: Varför gick rådet förbi frågan om myndigheterna i sin normala verksamhet kan utnyttja befintliga regler för att skapa något bättre? – det enklaste sättet att vara innovativt skapande!! (det finns många lyckade exempel - programbudgeteringen, mål- och resultatstyrningen, skatteförvaltningens lysande innovationer: förenklad självdeklaration och skattekonto m.m. m.m.) Kanske rådet då hade undvikit att bara slå på trumman för förslag som varje finansdepartement ogillar – diffusa experimentpengar…

31 Mer om innovationsrådets förslag
2) Sambandet mellan kontroll och tillit i vetenskapliga analyser: Alla undviker extremvärdena! Det handlar i stället om i vilka proportioner man ska blanda de två! Varför förde inte innovationsrådet en seriös diskussion om detta i stället för ett - mycket svenskt och idealiserande - uttalande om tillit i motsats till kontroll. (Inte kan de mena att t.ex. betalningssystem, person- och egendomssäkerhet, infosäkerhet, arbetarskydd m.m. bara ska bygga på tillit och inga kontroller?) 3) Som man frågar … Nästan alla ledningar vill ha så mycket handlingsutrymme och så lite kontroll uppifrån som möjligt. Bör det förvåna att flertalet generaldirektörer gör tummen ner åt aktiviteter som innebär kontroll uppifrån? Den teoretiska blandningen Ingen kontroll Bara tillit Bara kontroll Ingen tillit Den verkliga blandningen

32 Hur skulle ESV kunna stödja?
Peka på och rekommendera möjligheter med ISK och inte bara uttolkningar av regelverk Även hänvisa till COSO – men också ISO Lyft fram föredömliga exempel bland myndigheterna (sådana finns!) Visa konkret hur man kan bryta upp stuprören mellan ISK, arbetarskydd, informationssäkerhet m.m. Integrera intern styrning och kontroll med goda råd om verksamhetsstyrning (också två stuprör)

33 Uppdaterade COSO 2013 – i sammandrag
De nya originaldokumenten är läsbara! (sammanfattningen kommer snart i svensk översättning) Fem komponenter och sjutton principer är generiska beskrivningar - som går att överföra till den egna organisationen Modellen med kriterier för bedömningen av helheten bör inspirera! - hittills den enda modellen för helhetsbedömning – om man vill undvika ”fingertoppskänsla” m.m. Oklarheter om den finansiella sidan borta! - en separat bilaga som bara diskusterar det finansiella området – med bra exempel – i övrigt framgår tydligt att det är hela verksamheten som omfattas

34 Mer om uppdaterade COSO
Diskussion om målfrågorna förtydligad – målen måste konkretiseras och preciseras för en effektivare riskhantering – kopplingen mål-risk gjorts ännu tydligare - viktig aspekt i offentlig sektor! Om hur man behåller kontrollen i outsourcad verksamhet – ansvaret kan aldrig delegeras bort COSO lyfter fram bedrägeririskerna COSO lyfter också fram IT-området som ett stort riskområde

35 Räcker COSO? Nej, det måste kompletteras:
Förtroenderiskerna – stort växande område Bedrägeririskerna – hur ska de upptäckas och förhindras? Knyta ihop risker i teknisk verksamhet och generella organisationsrisker Hur ska man organisera ”hantera risk som hot” och ”risk som möjlighet”? Hur kommer man åt bristande riskförståelse?

Ladda ner ppt "Intern styrning och kontroll - vad är det egentligen?"

Liknande presentationer

Idéer för ett bredare entreprenörskap

Idéer för ett bredare entreprenörskap
Säkerställd intern styrning och kontroll

Säkerställd intern styrning och kontroll
Brukarnas perspektiv: KUNSKAP/INFORMATION

Brukarnas perspektiv: KUNSKAP/INFORMATION
Ett steg in och en ny start Statliga myndigheters skydd mot korruption

Ett steg in och en ny start Statliga myndigheters skydd mot korruption
Kvalitet i förskolan Erfarenheter från Kungälvs kommun

Kvalitet i förskolan Erfarenheter från Kungälvs kommun
Märkning uteblev – patient opererades på fel sida

Märkning uteblev – patient opererades på fel sida
En bild av debatten Vårdskandaler Vinster

En bild av debatten Vårdskandaler Vinster
Träddiagram - ett sätt att ta fram aktiviteter och prioriteringar för hur man ska jobba med ett visst område.

Träddiagram - ett sätt att ta fram aktiviteter och prioriteringar för hur man ska jobba med ett visst område.
Stärkt intern kontroll i Göteborgs Stad

Stärkt intern kontroll i Göteborgs Stad
Nyttorealisering på 10 min

Nyttorealisering på 10 min
Learning Study / Stöd för genomförande och dokumentation

Learning Study / Stöd för genomförande och dokumentation
Ledningssystem SOSFS 2011:9.

Ledningssystem SOSFS 2011:9.
Modersmålsenheten 28 oktober 2013

Modersmålsenheten 28 oktober 2013
Nordisk slutkundsmarknad

Nordisk slutkundsmarknad
Praktisk nytta och användning av SS-ISO/IEC och 27002

Praktisk nytta och användning av SS-ISO/IEC och 27002
En integrerad strategi för kompetensutveckling Linköpings universitet

En integrerad strategi för kompetensutveckling Linköpings universitet
SWEDISH AGENCY FOR ECONOMIC AND REGIONAL GROWTH Bakgrund till följeforskning: •Riksrevisionen: För mycket detaljkontroll och övervakning – för små investeringar.

SWEDISH AGENCY FOR ECONOMIC AND REGIONAL GROWTH Bakgrund till följeforskning: •Riksrevisionen: För mycket detaljkontroll och övervakning – för små investeringar.
En reviderad läroplan för förskolan

En reviderad läroplan för förskolan
Syftet med en personlig handlingsplan

Syftet med en personlig handlingsplan
Dialogkort - arbetsmiljö och hälsa

Dialogkort - arbetsmiljö och hälsa

Liknande presentationer

Google-annonser