logo

Finanssektoren:

Hva internrevisor bør fokusere på i 2015

Internrevisjonsavdelinger i finansbransjen vil i 2015 måtte forholde seg til økte krav fra myndighetene, økt benchmarking innad i finansbransjen og økte krav fra eksterne interessenter.

Flere av hovedområdene beskrevet i denne artikkelen følger av økonomiske rammebetingelser, og nye regulatoriske krav fører til at aktører innen finansbransjen må legge om strategi og underliggende forretningsmodell.

Behovet for omstilling innen bransjen gjør at internrevisjonen vil ha en enda mer sentral rolle enn tidligere ved å bidra med verdifull innsikt på tvers av organisasjonen i denne omstillingsprosessen. Vi håper denne artikkelen gir verdifulle innspill til planleggingen for 2015.

Overordnet styring og kontroll

Fokuset på finansinstitusjoners styring og kontrollvil fortsette som følge av utfordringene fra den globale finansielle krisen. Internrevisjon av styring og kontroll vil bli mer omfattende og aktører utvikler nå flerårige planer for området. Disse vil i 2015 måtte justeres slik at det tas hensyn til nye prioriteringer.

Fra et regulatorisk perspektiv har individuelt ansvarvokst frem som et tema innen finansbransjen. Ledere og styremedlemmer blir i økende grad ansvarliggjort når det gjelder effektivitet av styring, risikohåndtering og kontroll. Internrevisjonen vil ha en sentral rolle i å verifisere for styret og ledelsen at disse områdene er effektive og virker etter sin hensikt.

Robustheten i styring av datterselskap er et annet viktig område. Internrevisjonen bør vurdere sammensetningen av datterselskapenes styrer, rapporteringslinjer til konsernet og kvaliteten av ledelses­informasjonen for den juridiske enheten. Det må i planene foreligge tilstrekkelig dekning av alle enheter som virksomheten, i henhold til regulering, er ansvarlig for – selv i andre jurisdiksjoner.

Risikohåndtering

Planene for 2015 bør inkludere vurdering av effektiviteten av rammeverk for risikovilje og måten rammeverkene anvendes til å håndtere risiko i den daglige driften. Internrevisjonen bør også utfordre i hvilken grad risikoviljetiltak og -grenser anvendes til å kontrollere daglig drift, og i hvor stor grad tiltenkte forbedringer i risikohåndteringen faktisk har blitt oppnådd.

Risikokulturer et område av økende interesse. Styret og ledere må påse at ønsket adferd tydelig kommuniseres i organisasjonen, og at det foreligger prosesser for å vurdere etterlevelsen av denne. Internrevisjonen vil være en viktig aktør nettopp når det gjelder å vurdere tilretteleggingen for og etterlevelsen av disse verdiene og kjørereglene i linjen.

Operasjonell risiko vil i større grad enn tidligere kobles tettere mot virksomhetens overordnede målbilde. Det vil bli satt mer fokus på selve risikoidentifiseringsprosessen i ICAAP og ORSA hvor scenario-analyse vil spille en viktig rolle for å belyse potensielle direkte og underliggende årsaker til en uønsket hendelse. I dette arbeidet vil internrevisjonen ha en viktig rolle gjennom å verifisere og validere at eksisterende, og potensielle nye kontroller, faktisk reduserer risikoene de er ment å redusere.

Et sentralt fokusområde for internrevisjonen vil være å vurdere effektiviteten i risikomodellenes livssyklus (design, utvikling, validering, implementering og applikasjon). Internrevisjonen bør verifisere at internmodellering og kapitalavsetting er strukturert på en slik måte at institusjonens styringspolicy tilstrekkelig håndterer risiko, oppfyller regulatoriske krav, og inkluderer de kontrollene som eksterne revisorer forventer.

IT

Informasjonssikkerhet fortsetter å være et prioriteringsområde i tråd med utviklingstakten for teknologiske endringer. Internrevisjonen må fortsatt ha fokus på gjennomgang av selskapets informasjonssikkerhetstiltak. De senere årene har vist at selskapene bør ha et spesielt fokus på å vurdere i hvilken grad virksomhetene har prosesser på plass for håndtering av Cyber risk.

Vi ser et økt fokus på å håndtere operasjonelle feilhendelser virksomhetens sluttkunder er direkte eksponert for. Dette gjelder eksempelvis driftsbrudd i nettbankløsninger. Vurderinger av forretningskritiske systemer ved bruk av såkalte Hazard-analyser vil bidra til å ivareta driftsstabilitet. Internrevisjonen må revidere robustheten i kontroller og prosesser, effektiviteten i endringskontroller og vedlikeholdstiltak som skal sørge for at systemene er i drift. Internrevisjonen bør vurdere i hvilken grad virksomheten har identifisert både sannsynlighetsreduserende og konsekvensreduserende tiltak for å sikre driftsstabilitet.

Endringsprogrammene for områder som blant annet Solvency II, Basel III, COREP og IFRS 9 krever tverrfaglige internrevisjonsteam der IT-spesialister vil være viktige når slike internrevisjonsprosjekter skal utføres.

Definisjoner

  • ICAAP: Internal Capital Adequacy Assessment Process. Krav til foretak om intern kapitalvurderingsprosess for å ta stilling til kapitalbehov.

  • ORSA: Own Risk and Solvency Assessment. Krav om institusjoners egenvurdering av risiko og solvens under Solvens II-direktivet.

  • Hazard-Analyse: Første steg i prosess brukt til å vurdere risiko. Analysen er et verktøy for å angi foreløpig risikonivå som videre kan valideres i en risikoanalyse.

  • Solvency II: Soliditetsregelverk for forsikringsselskaper. Trer i kraft 1. januar 2016.

  • Basel III: Standard for kapital- og likviditetsstyring.

  • IFRS 9 Financial Instruments: Ny tapsmodell – skal avsette for forventet tap basert på relevant informasjon som er tilgjengelig på rapporteringstidspunktet, herunder historisk, gjeldende og fremtidig informasjon. Hovedregel er at tapsavsetning beregnes fra forventet kredittap over de neste 12 måneder eller forventet kredittap over hele levetiden.

  • CRD IV: EUs kapitaldekningsdirektiv for banker, finansieringsforetak, holding­selskaper i finanskonsern som ikke er forsikringskonsern, verdipapirforetak og forvaltningsselskaper for verdipapirfond som har tillatelse til å drive aktiv forvaltning.

  • Net Stable Funding Ratio (NSFR): Belyser i hvilken grad institusjonen er langsiktig finansiert, og setter krav til institusjonens finanseringsstruktur i forhold til deres utlån, investeringer og eiendeler i et ettårs-perspektiv. NSFR er definert som tilgjengelig stabil finansiering relativt til nødvendig stabil finansiering.

  • Pilar 3: Krav til institusjoner om offentliggjøring av finansiell informasjon, risiko knyttet til institusjonen, ansvarlig kapital, uvektet kjernekapitalandel og informasjon om beregningen av denne.

  • FINREP: Forkortelse for «Financial Reporting». Krav om rapportering av finansiell informasjon i henhold til kapitalkravsdirektivet.

  • COREP:

  • Forkortelse for «Common Reporting». Krav om rapportering av kapitaldekning i henhold til kapitalkravsdirektivet.

Regulatoriske endringer

En organisasjons evne til å håndtere uønsket adferd hos de ansatte er avgjørende for at institusjonen unngår kundehåndtering som utløser regulatoriske sanksjoner og behov for å reparere kundeforhold. Internrevisjonen bør vurdere rammeverkene, policyene og prosedyrene som skal hindre at tilfeller av uønsket adferd forekommer.

I Norge har fokuset på økonomisk kriminalitet økt, og det forventes at finansinstitusjoner har systemer på plass for å motarbeide økonomisk kriminalitet og tydeliggjøre ledelsens ansvar for å håndtere denne risikoen. I forbindelse med innføringen av det fjerde EU-direktivet for hvitvasking av finansielle midler må internrevisjonen vurdere selskapets eksisterende risikohåndtering, fremheve potensielle svakheter og sørge for at systemene og kontrollene ut­vikler seg i takt med endringer i markedet.

Kapital og likviditet

Regulatoriske endringer fortsetter å være på dagsordenen som en konsekvens av Basel III, Solvency II og andre tiltak i kjølvannet av finanskrisen. Som følge av det nye CRD IV-regimet for kapital i 2014, vil det settes minimumskrav til likviditet (Liquidity Coverage Ratio) i 2015, og etter hvert også Net Stable Funding Ratio (NSFR) og egenkapitalandel. Kompleksiteten og usikkerheten knyttet til regulatoriske endringer gjør at internkontrollen også må tilpasse sin tilnærming og sitt fokus for å ivareta disse endringene.

Robustheten av internkontrollrammeverk for kapital og likviditet, COREP-rapportering og Pilar 3-offentliggjøring bør være prioriteringsområder for revisjonskomiteer og styrer i 2015.Datakvalitetblir spesielt viktig grunnet økende volum, kompleksitet og detaljnivå av informasjon som overleveres til myndighetene i forbindelse med COREP, FINREP og regulatorisk stress­testing. Som et resultat har internrevisjonen en viktig rolle i å sikre uavhengig vurdering og etterprøving av blant annet Basel III (CRD IV)-elementer.

I forbindelse med implementering av Solvency II i forsikringsselskaper, er hovedutfordringene for internrevisjonsavdelinger å vurdere om implementeringen er fleksibel nok til å ivareta de fremtidige behovene og kravene i virksomheten, spesielt med tanke på økt kvantum og detaljnivå av rapportering. Revisjonsplanene bør inkludere vurdering av Solvency-beredskap, uavhengig validering av modeller og gjennomgang av rapportering i forberedende fase.

Regnskap og skatt

IFRS 9 Financial Instruments synes å være det fremtidige rammeverket for regnskap som ser ut til å ville ha størst betydning for markedet. Det vil ha en direkte effekt på metoden for tapsavsetning for lån og verdivurdering av finansielle instrumenter, og dermed også på både balansen og resultatet. Mange organisasjoner har derfor allerede begynt å designe, utvikle og teste løsninger for IFRS 9. Internrevisjonen bør sørge for at disse prosjektene etterlever sentrale designprinsipper og at eventuelle risikoer håndteres på et tidlig stadium.

Det er stort fokus på skatt blant myndigheter, media, frivillige organisasjoner og allmenheten for øvrig. Initiativer fra myndighetene har i kombinasjon med stadig flere reportasjer og offentlige debatter om norske og globale selskapers skattebetaling bidratt til et nytt risikobilde for håndtering av skatt. Det vil således være et økt fokus på å vurdere om skattehåndteringen er på linje med den overordnede strategien og tilnærmingen til risikohåndtering i finansinstitusjonen. I motsetning til før, hvor skatt hovedsakelig utgjorde en finansiell risiko, er trenden nå at omdømmerelatert skatterisiko har fått en merkbart større betydning enn før. Internrevisjonen bør blant annet gjennomgå finansinstitusjonens styringsmodell for skatt med tanke på å belyse eventuelle risikoer relatert til håndteringen av skatt.

Vi håper med dette å ha gitt et innblikk i hvilke områder vi mener vil være viktige for internrevisjonsavdelinger innenfor finansbransjen i 2015.