KJETIL HELVIG

Av KJETIL HELVIG, CFE og styremedlem ACFE Norge
Leder av Integrity & Compliance, EYs granskingsavdeling


I september 2016 lanserte COSO sammen med ACFE (Association of Certified Fraud Examiners) en ny håndbok for risikostyring av misligheter (Fraud Risk Management Guide), for å hjelpe organisasjoner å beskytte seg selv og sine interessenter fra interne og eksterne misligheter.

Håndboken beskriver viktigheten av å håndtere mislighetsrisiko på følgende måte: «Store mislighetssaker har ført til kollaps av organisasjoner, betydelige tap av eiendeler og investeringer, høye saksomkostninger, fengsling av nøkkelpersoner, og tap av tillit i kapitalmarkedet og i offentlig sektor.»

I denne artikkelen vil jeg gi en oppsummering av anti-mislighetshåndboken og dens forhold til COSOs rammeverk for internkontroll. Videre vil jeg beskrive COSOs definisjon av misligheter, prinsippene for mislighetsrisikovurdering og – risikostyring, og avslutningsvis gi en praktisk veiledning for implementeringen av anti-mislighetshåndboken.

COSOs rammeverk for internkontroll
Helt fra lanseringen av det opprinnelige rammeverket for interkontroll i 1992 har COSO gitt veiledning i eierstyring og internkontroll, som har vært omfattende brukt som ledende praksis ved en rekke organisasjoner. Håndboken i mislighetsrisikostyring bygger på COSOs 2013-oppdatering av rammeverket for internkontroll hvor mislighetsrisikovurderinger ble introdusert som et eget prinsipp. COSO anser nå mislighetsrisikostyring som «en integrert del av bedriftens styring og internkontrollmiljø», og understreker at både styret og toppledelsen har et sentralt ansvar for mislighetsrisikostyring.

Anti-mislighetshåndboken anbefaler en helhetlig vurdering av risikoer for misligheter, separat fra risikoen for internkontrollfeil. Håndboken anbefaler også at hver organisasjon etablerer et mislighetsrisikoprogram. Som støtte til denne anbefalingen inkluderer COSO ulike verktøy og ressurser for å gjennomføre en mislighetsrisikovurdering, skrive en anti-mislighetsretningslinje og etablere et gjennomgående anti-mislighetsprogram.

Organisasjoner bør gjennomgå anti-mislighetshåndboken for å vurdere deres eksponering mot misligheter, benchmarke sine elementer opp mot COSOs prinsipper for mislighetsrisikostyring og vurdere hvordan virksomheten kan tilpasse innhold i håndboken til deres spesifikke behov. Hver organisasjon bør ta valg basert på en forståelse av mislighetsrisikoen og risikotoleransen i organisasjonen, sammen med kost-nytte betraktninger ved spesifikke anti-mislighetskontroller.

COSOs rammeverk for internkontroll

COSOs definisjon på misligheter

COSO definerer misligheter på følgende måte: «Misligheter er enhver forsettlig handling eller unnlatelse formet for å bedra andre, som resulterer i at offeret lider et tap og/eller at gjerningsmannen oppnår en gevinst.» Omfanget av mislighetsområdet er økende og håndboken deler misligheter i følgende kategorier:

COSOs definisjon på misligheter

Anti-mislighetshåndboken fastsetter en tilnærming for å identifisere, vurdere og håndtere dette brede spekteret med risikoer.

Styrking av 2013-rammeverkets prinsipp for mislighetsrisikovurdering
Ved revisjonen av COSOs rammeverk for internkontroll i 2013 definerte COSO 17 prinsipper som styrer design og implementering av systemer for internkontroll. For at et internkontrollsystem skal være effektivt må alle prinsippene være til stede, fungere og operere sammen på en helhetlig måte. Prinsipp 8 av 2013-rammeverket fokuserte spesielt på misligheter ved å kreve at organisasjonen vurderer «potensialet for misligheter i vurderingen av risiko for måloppnåelse».

COSO går nå utover denne mislighetsrisikovurderingen ved å fremsette fem prinsipper for mislighetsrisikostyring. De fem mislighetsprinsippene for risikostyring er ikke obligatoriske for etterlevelse av 2013-rammeverket. Anti-mislighetshåndboken er ment å være en støtte til, og tilpasset, rammeverket. En organisasjon kan gjennomføre en mislighetsrisikovurdering etter 2013 COSO-rammeverkets prinsipp 8, eller velge å implementere håndboken som en parallell og mer omfattende mislighetsrisikostyringsprosess.

COSO gir i anti-mislighetshåndboken en detaljert veiledning til implementering av hver av de fem prinsippene for mislighetsrisikostyring:

fem prinsippene for mislighetsrisikostyring

Figur: Pågående helhetlig prosess for mislighetsrisikostyring.

Økt fokus på dataanalyse
Den største endringen ved COSOs lansering av anti-mislighetshåndboken er det økte fokuset på dataanalyser. Håndboken anbefaler at hver organisasjon har «en strategi for proaktivt, ved hjelp av dataanalyseaktiviteter, å vurdere områder med høy mislighetsrisiko og overvåke forbedringstiltak og kontroller.»

EY anser dataanalyse som et viktig element for mislighetsrisikostyring. Myndigheter bruker stadig mer dataanalyse for å avdekke misligheter og faglige veiledninger oppfordrer revisorer til å bruke dataanalyse i mislighetsrisikovurderinger. Volumet av data som organisasjoner genererer har eksplodert, og mange nye analyseverktøy har kommet på markedet. COSO beskriver i håndboken hvordan dataanalyseteknikker blant annet kan hjelpe til med å identifisere transaksjoner eller trender som representerer potensielle misligheter, samt hvordan dataanalyse kan være til støtte i granskinger og videreutviklingen av internkontroll.

Anti-mislighetshåndboken gir praktiske eksempler for anvendelse av ledende dataanalyseteknikker som spenner fra enkel kategorisering til prediktiv og normative modeller, som for eksempel:

  • Data stratifisering som viser transaksjoner i ulike forretningsenheter eller regioner
  • Risikoscoring
  • Trendanalyse
  • Datavisualisering
  • Statistisk og prediktiv modellering
  • Big data og eksterne informasjonskilder, inkludert både strukturerte og ustrukturerte datakilder

Vedlegg E i Anti-mislighetshåndboken beskriver hvordan virksomheter kan implementere et dataanalyseprogram i sammenheng med et mislighetsrisikoprogram.

Hva bør organisasjoner gjøre nå?
Anti-mislighetshåndboken fastsetter en prosess for kontinuerlig og systematisk mislighetsstyring.

EY anbefaler at hver organisasjon vurderer denne prosessen, og ser på publikasjonen av anti-mislighetshåndboken som en mulighet til å gjennomgå sitt mislighetsrisikosystem. Som et første skritt anbefaler vi at organisasjonen danner et team bestående av representanter fra ulike avdelinger og forretningsområder, som har ulike perspektiver på organisasjonens virksomhet, mislighetsrisiko og anti-mislighetskontroller.

EY foreslår at teamet blant annet bør vurdere følgende elementer:

  • Gjennomgå anti-mislighetshåndboken som en benchmarking mot dagens situasjon
  • Gjennomgå virksomhetens siste mislighetsrisikovurdering for å avgjøre om den gir et klart bilde av selskapets risiko og et solid grunnlag for beslutninger
  • Vurdere hvor godt forberedt virksomheten er innenfor å forebygge, avdekke og reagere på misligheter
  • Gjennomgå programmer og avdelinger som har en rolle i styringen av mislighetsrisikoer, eksempelvis organisasjonens finansielle controllerstruktur, anti-korrupsjonsprogram og cybersecurity- program.
  • Gjennomgå organisasjonens mislighetsrisikostyring for å fastslå om roller og ansvar er klart definert, inkludert eventuelle forsvarslinjer, som for eksempel ledelse, mislighetsrisikoeiere og internrevisorer.
  • Gjennomgå etikk og complianceprogrammet, inkludert organisasjonens etiske retningslinjer, – varslingskanal og granskingsprotokoller.
  • Vurdere om styret har den informasjonen den trenger for å ha oversikt over anti-mislighetsrisikoen organisasjonen er utsatt for.
  • Vurdere om ledelsen har en klar etisk «tone fra toppen», og om det er en kultur for integritet i alle organisasjonens avdelinger og evt. regionale virksomhet.
  • Vurdere om ledelsen har den informasjonen som er nødvendig for å ta avgjørelser om mislighetsrisikostyring og fordeling av ressurser.
  • Utarbeide anbefalinger for implementering.