logo

God praksis for intern styring og kontroll:

Virkelig verdi og verdipapirer

Artikkelen tar for seg sentrale elementer i en god intern styring og kontroll knyttet til verdsettelse av verdipapirer. Vi kommenterer hvilke overordnede prosesser som bør være på plass i foretaket og går inn på enkelte helt sentrale kontrollaktiviteter.

Virkelig verdi er et begrep alle foretak som eier verdipapirer må forholde seg til, uavhengig av hvilket regnskapsspråk det rapporteres etter. Det er en rekke iboende operasjonelle risikoer forbundet med å estimere et verdipapirs virkelige verdi, hvor type og omfang av risiko primært avhenger av verdipapirets likviditet og kompleksitet. For verdipapirer som ikke er likvide, kan det være svært utfordrende å estimere virkelig verdi.

For å redusere den iboende risikoen til et akseptabelt nivå må foretaket etablere en hensiktsmessig intern styring og kontroll knyttet til verdsettelse. De siste års turbulens i finansmarkedet har bidratt til å synliggjøre dette. Mange foretak har i løpet av de siste årene styrket den etablerte styring og kontroll knyttet til verdsettelse og oppfatningen blant profesjonelle aktører av hva som representerer god praksis, er, etter vår oppfatning, endret.

Vi vil i denne artikkelen sette fokus på hva vi oppfatter som sentrale elementer i en god intern styring og kontroll knyttet til verdsettelse av verdipapirer. Vi vil både kommentere hvilke overordnede prosesser som normalt bør være på plass i foretaket og gå inn på enkelte helt sentrale kontrollaktiviteter. Vurderingene er rettet mot profesjonelle aktører som har kapitalforvaltning som kjernevirksomhet og hvor kvaliteten av en verdsettelse er av sentral betydning for foretaket. Imidlertid oppfatter vi at momentene som drøftes er generelle i sin natur og kan tilpasses det enkelte foretak. Derfor er de i stor grad aktuelle for alle foretakstyper, uavhengig av omfanget av kapital til forvaltning.

Artikkelen representerer forfatternes egen oppfatning av sentrale elementer i god praksis for intern styring og kontroll knyttet til verdsettelse av verdipapirer.

Risikotoleranse og effektiv operasjonell risikostyring

Styret har et viktig «påse»-ansvar mens daglig leder har et gjennomføringsansvar for foretakets interne styring og kontroll. Sentrale elementer i ansvaret er å etablere en risikotoleranse for operasjonell risiko og en effektiv risikostyring i tråd med den etablerte risikotoleransen. Med risikotoleranse menes her den akseptable variasjonen i forhold til oppnåelse av en målsetting.

Styret har et viktig «påse»-ansvar mens daglig leder har et gjennomføringsansvar for foretakets interne styring og kontroll

Et foretaks organisasjonsstruktur gir rammeverket for å planlegge, utføre, kontrollere og følge opp dens aktiviteter. En relevant organisasjonsstruktur inkluderer definisjon av nøkkelområder for ansvar og myndighet og etablering av formålstjenlige rapporteringslinjer. Hensiktsmessig arbeidsdeling mellom utøvende og kontrollerende funksjoner er helt avgjørende i så måte.

For å sikre en effektiv operasjonell risikostyring i tråd med den etablerte risikotoleransen må daglig leder sørge for å etablere overordnede prinsipper for intern styring og kontroll, en hensiktsmessig tildeling av ansvar og myndighet i foretaket samt en hensiktsmessig rapporteringslinje som sikrer at daglig leder kan føre kontroll med hvorvidt faktisk risiko er innenfor rammene av den fastsatte risikotoleransen.

Daglig leder må sørge for å etablere overordnede prinsipper for intern styring og kontroll, en hensiktsmessig tildeling av ansvar og myndighet i foretaket samt en hensiktsmessig rapporteringslinje.

Anvendt på verdsettelse bør daglig leder etablere en verdsettelsespolicy som redegjør for de overordnede prinsippene knyttet til verdsettelser og som gir føringer for etablering av kontrollaktiviteter i verdsettelsesprosessen. Policyen bør inkludere en definisjon av virkelig verdi samt overordnede prinsipper for hvordan verdsettelser skal operasjonaliseres for å være i tråd med denne definisjonen. Eksempelvis bør det etter vår oppfatning angis at verdsettelser skal foretas av personer uavhengig av investeringsbeslutninger samt at det bør angis når prisleverandører skal benyttes og når verdsettelsen skal gjøres internt. Med prisleverandør menes en aktør hvis tjeneste er å levere verdsettelser og verdsettelsesinformasjon. Videre bør det angis at graden av usikkerhet i verdimåling løpende skal vurderes og at prosesser for å håndtere denne usikkerheten i verdimålingen skal etableres.

Det er også naturlig å beskrive roller og ansvar knyttet til verdsettelse i policyen. Den formelle tildelingen av ansvar og myndighet for verdsettelser bør, etter vår oppfatning, i tillegg nedtegnes i stillingsinstrukser. Stillingsinstruksene bør blant annet inkludere krav til at det etableres og dokumenteres hensiktsmessige kontrollaktiviteter knyttet til verdsettelse.

Implementering av kontrollaktiviteter i samsvar med hovedprinsippene i policyen er sentralt for å sikre effektiv etterlevelse av policyen i praksis. Kontrollaktiviteter består av retningslinjer og rutiner.

Ledelsen identifiserer kontrollaktiviteter som skal bidra til å sikre at risikohåndteringen blir gjennomført på en hensiktsmessig måte og til rett tid.

Type og omfang av ledelsesrapportering knyttet til verdsettelse bør også beskrives i policyen. Rapporteringen, sammen med konkrete kontrollaktiviteter, er sentral for å sikre etterlevelse av policyen. For å muliggjøre slik rapportering og overvåking av etterlevelse, er det viktig at gjennomføring av kontrollaktivitetene løpende dokumenteres. Internasjonalt er det, slik vi oppfatter det, også relativt vanlig å etablere verdsettelseskomiteer som mottar ledelsesrapporteringen og diskuterer problemstillinger knyttet til verdivurderinger.

I figuren under er en forenklet mulig organisering med tildeling av ansvar og myndighet knyttet til verdsettelse samt rapporteringslinjer illustrert.

Sentrale kontrollaktiviteter

Verdsettelse av verdipapirer kan operasjonaliseres på en rekke ulike måter. Foretaket kan fastsette at det skal benyttes uavhengige prisleverandører enten i verdsettelsen av selve verdipapiret eller som datagrunnlag i en verdsettelsesmetode. Verdsettelsen kan gjøres av foretaket selv eller av tredjepart gjennom utkontraktering av hele eller deler av kapitalforvaltningsprosessene. Det bør etableres kontrollaktiviteter som sikrer at samtlige verdipapirer er verdsatt og at de benyttede verdsettelsene representerer et beste estimat på virkelig verdi. Type kontrollaktivitet vil avhenge av hvordan verdsettelsene er operasjonalisert.

Verdsettelseshierarki

Uavhengig av hvordan verdsettelsene er operasjonalisert, bør foretaket etablere et verdsettelseshierarki. Med verdsettelseshierarki mener vi en rangering av hvilke tilgjengelige verdsettelser som skal benyttes. Hensikten med et verdsettelseshierarki er å hindre overstyring i verdsettelsen og sikre konsistent bruk av verdsettelseskilder. Hierarkiet må tilpasses både verdipapirtype og omfanget av de ulike verdipapirtypene. Det må derfor vurderes hvilke leverandør som best tilfredsstiller foretakets krav til kvalitet i verdsettelsen av ulike typer instrumenter.

For å sikre konsistent anvendelse av hierarkiet bør det jevnlig kontrolleres at verdsettelsene er gjort i henhold til hierarkiet og dette bør dokumenteres. Det bør videre sikres at eventuelle brudd rapporteres videre til riktig nivå i foretaket.

Innlesning av verdsettelser i verdipapirsystem

Foretaket bør implementere kontrollaktiviteter som sikrer nøyaktig, fullstendig og tidsriktig overføring av verdsettelser og verdsettelsesinformasjon til foretakets verdipapirsystem. Foretaket bør også implementere kontrollaktiviteter som fanger opp verdipapirer med liten, ingen eller stor bevegelse i pris slik at disse løpende kan undersøkes nærmere.

Uavhengig verdsettelsesverifiseringsenhet

Internasjonalt oppfatter vi at det er god praksis blant store profesjonelle aktører å etablere en egen enhet som har verifikasjon av verdsettelser som ansvarsområde. Denne enheten bør være et uavhengig tillegg til enheten som har primæransvaret for verdsettelser. I en undersøkelse foretatt av Deloitte («Deloitte’s Global risk management survey, seventh edition») rapporterte 86 % av alle spurte foretak at en uavhengig verdsettelsesverifiseringsenhet var etablert i foretaket.

Bruk av prisleverandører

Det finnes en rekke ulike prisleverandører.

Noen leverandører dekker et bredt spekter av verdipapirer og markeder, mens andre er spesialister på enkeltsegmenter. Ved å bruke en ekstern prisleverandør sikres man både uavhengighet i verdsettelsen og tilgang til spesialister. Når man benytter en prisleverandør, har man i realiteten utkontraktert deler av verdsettelsesprosessen til en tredjepart. Det er ikke mulig å utkontraktere ansvaret for verdsettelsen og det må gjennomføres løpende risikovurderinger og oppfølging av prisleverandøren. Utkontraktering reduserer risikoen på noen områder, men gir også noen nye operasjonelle risikoer. Det er blant annet risiko for uklare ansvarsgrenser og man blir også direkte eksponert for kvaliteten av den interne styring og kontroll hos prisleverandøren.

Utkontraktering reduserer risikoen på noen områder, men gir også noen nye operasjonelle risikoer

I policy for utkontraktering bør det fastsettes at det skal foretas en risikovurdering før utkontraktering og at implikasjonene for foretaket skal vurderes. Vurderingene bør ta hensyn til type instrument samt kompleksitet. Foretaket bør også vurdere om man har beholdt tilstrekkelig kompetanse igjen i foretaket for å følge opp leverandøren.

Nedenfor følger en gjennomgang av naturlige ytterligere kontrollaktiviteter knyttet til bruk av prisleverandører.

Valg av prisleverandører

Ved valg av prisleverandører er det flere forhold som er viktig å vurdere for å sikre en leveranse som dekker foretakets behov. Derfor bør foretaket gjøre en «due dilligence» på aktuelle prisleverandører. Det bør legges særlig vekt på å vurdere prisleverandørens interne styring og kontroll knyttet til verdsettelse, kvaliteten på leverte verdsettelser og verdsettelsesinformasjon, hvilke verdipapirer som er dekket og pålitelighet i leveransen. Når det gjelder kvaliteten og påliteligheten i leveransen, er det sentralt å vurdere hvor tett prisleverandøren er på de aktuelle markedene. En aktør som vurderes som tett på et marked, trenger ikke nødvendigvis være det beste valget i et annet marked. I vurderingen bør det også sikres at man velger en prisleverandør som er uavhengig av foretaket.

Oppfølging av leveransen fra leverandører:

En viktig del av den interne styring og kontroll er knyttet til oppfølging av leveranser fra prisleverandøren. Det bør etableres kontrollaktiviteter som sikrer at man løpende både måler mottatt leveranse mot den inngåtte avtalen og vurderer kvaliteten på leveransen. Det er naturlig at det avholdes jevnlige møter hvor man diskuterer problemer og utfordringer med leveransene.

Dersom prisleverandøren produserer en internkontrollrapport av type ISAE 3402 eller lignende, bør denne innhentes og gjennomgås. En ISAE 3402-rapport inneholder en beskrivelse av foretaket samt dets etablerte interne styring og kontroll. Beskrivelsen av den etablerte interne styring og kontroll inneholder de overordnede målsettinger samt de ulike kontrollaktivitetene som utføres i foretaket for å sikre at kontrollmålsettingene overholdes. I tillegg inkluderer den en attestasjonsuttalelse avgitt av revisor knyttet til de overnevnte forhold. Gjennomgangen bør blant annet inkludere de beskrevne kontrollaktivitetenes hensiktsmessighet i forhold til måling til virkelig verdi, vurdering av innholdet i uavhengig revisors attestasjonsuttalelse og eventuelle testavvik. I tillegg bør man ta stikkprøver på leverte verdsettelser eller verdsettelsesinformasjon mot andre prisleverandører eller egne verdsettelsesmetoder og sammenligne mot transaksjoner i markedet. Dersom ISAE 3402 eller lignende ikke er tilgjengelig, oppfatter vi at hyppigheten og omfanget av stikkprøver bør økes betraktelig samt at det bør vurderes hvorvidt andre kompenserende kontrollaktiviteter skal implementeres.

Det er en særskilt usikkerhet knyttet til verdsettelse av mindre likvide verdipapirer og verdipapirer der datagrunnlaget i verdsettelsesmetodene ikke stammer fra et likvid marked. Foretaket bør derfor ha implementert kontrollaktiviteter som sikrer identifikasjon og en særskilt oppfølging av denne typen verdipapirer. For mindre likvide verdipapirer som er verdsatt på bakgrunn av transaksjonskurser, bør det blant annet vurderes om det handelsvolumet som ligger bak den benyttede prisen, støtter at verdsettelsen representerer et beste estimat på virkelig verdi. Dersom handelsvolumet ikke er tilstrekkelig, bør komplementære verdsettelsesmetoder benyttes.

Intern verdsettelse ved bruk av verdsettelsesmetoder

Dersom verdsettelsesmetoder benyttes direkte av foretaket selv, er det viktig å velge en metode som er anerkjent og anses som god praksis i bransjen foretaket opererer i. Det bør derfor etableres retningslinjer for hvilke metoder som skal anvendes for ulike typer investeringer.

Ved anvendelse av metode, er det også naturligvis avgjørende hvilke datagrunnlag som benyttes. Det er naturlig å hente markedsinformasjon som benyttes i metoden fra en ekstern prisleverandør. Relevante kontrollaktiviteter knyttet til dette er som beskrevet tidligere.

En viktig kvalitetssikring av valgt metode og datagrunnlaget som benyttes, er å sammenligne den beregnede verdsettelsen mot faktiske transaksjoner i markedet. Basert på dette evalueres valgt metode og eventuelle nødvendige tilpasninger gjøres.

Utkontraktere hele eller deler av kapitalforvaltningsprosessen

Et foretak kan velge å sette ut hele eller deler av kapitalforvaltningsprosessen. Som oftest inkluderer leveransen fra kapitalforvalter også verdivurderinger slik at man i realiteten har utkontraktert deler av verdsettelsesprosessen til en tredjepart. Hovedansvaret for verdsettelse beholdes av foretaket selv og tredjeparten bør sees på som en prisleverandør. Relevante kontrollaktiviteter knyttet til dette er som beskrevet tidligere.

Kilder:

COSO Helhetlig risikostyring - et integrert rammeverk

Committee of European Banking Supervisors (CEBS) Guidelines on outsourcing (www.eba.europa.eu/Publications/Standards-Guidelines.aspx)