Risikostyring og internkontroll – hva innebærer den nye forskriften? |
Av Trine Høgaas og Jørn Borchgrevink
a. Hvis virksomhet også tidligere var underlagt internkontrollforskriften bør det være gjennomført en avstemming av tidligere praksis mot den nye forskriften. Det kan imidlertid være hensiktsmessig også å vurdere om risikostyringen bør utvides til å gjelde flere risikoforhold, særlig knyttet til driften.
b. Hvis virksomhet inkluderer regnskapstjenester eller inkassovirksomhet bør forskriften være implementert. Også disse foretakene bør imidlertid benytte anledningen til å foreta en nærmere vurdering av om risikostyringen er hensiktsmessig avgrenset.
c.For virksomheter som ikke er underlagt forskriften gir forskriften et godt utgangspunkt til å strukturere risikostyring og internkontroll opp mot et formelt og relativt oversiktelig rammeverk.
Bakgrunnen for at det har kommet en ny forskrift er blant annet at Kredittilsynet har registrert at enkelte foretak har en tendens til å la oppfyllelse av kravene i forskriften bli en årlig øvelse. Man har altså ikke klart å etablere internkontrollen som en integrert del av den løpende driften. Den nye forskriften vektlegger helhetlig risikostyring i større grad enn den tidligere forskriften, og gjelder for flere tilsynsenheter.
Hva innebærer dette?
For foretak som er underlagt forskriften kan arbeidet med å sikre etterlevelse av ny forskrift være en mulighet til å oppdatere interne prosesser, kartlegge vesentlige risikoer og de interne kontrolltiltak som sikrer mot disse.
I og med at daglig leder minst én gang årlig skal utarbeide en samlet vurdering av risikosituasjonen som skal forelegges styret, må foretakene sørge for å ha implementert forskriften som grunnlag for rapporteringen.
Hva er nytt?
- Forskriftens virkeområde er utvidet til også å omfatte inkassoforetak og regnskapsførere. Advokater som driver eiendomsmegling eller inkassovirksomhet i kraft av sin personlige tillatelse, vil ikke komme inn under forskriftens virkeområde.
- Foretakenes risikostyring og internkontroll skal tilpasses virksomhetens art, omfang og kompleksitet. Arbeidet med risikostyring og internkontroll er en løpende prosess som vil modnes og forbedres over tid. Prinsippet om forholdsmessighet er ikke nytt, men er tatt inn for å tydeliggjøre at hva som er god og tilstrekkelig risikostyring og internkontroll kan variere.
- Styrets og daglig leders ansvar i forhold til risikostyring og internkontroll er utdypet. Endringen vil trolig medføre at bedrifter som var underlagt den gamle forskriften må oppdatere prinsippnotatet og styreinstruksen.
- Prinsippet om at man ikke blir fri fra et ansvar ved å utkontraktere funksjoner er nå tatt direkte inn i forskriften, tidligere var dette kun nevnt i veiledningen. Bestemmelsen presiserer foretakets ansvar for å sikre Kredittilsynet tilgang til nødvendige opplysninger i forbindelse med tilsyn.
- Dokumentasjonskravene er avklart. Formålet med forskriftskravet er å sikre at tilstrekkelig informasjon om gjennomføringen av risikostyringen og internkontrollen, blant annet om registrerte brudd og svakheter, rapporteres til ledelse og styre.
- I foretak hvor det ikke er etablert internrevisjon vil det nå være foretakets valgte revisor som skal avgi en årlig uavhengig bekreftelse til styret. Innholdet i den uavhengige bekreftelsen av risikostyring og internkontroll er klargjort.
- Det er, som nevnt tidligere, fokus på at risikostyring og internkontroll skal være en løpende prosess, ikke en årlig øvelse for å oppfylle forskriftens krav.
Sterk risikostyring og internkontroll er viktig.
Forskriften bidrar til bevisstgjøring og synliggjøring av risikoområdene, samt klargjøring av eventuelle endringsbehov i rutiner og vektlegging av kontrollbehov.
Det å investere i et sterkt internkontrollprogram kan for eksempel bidra til å:
- Identifisere og forstå operasjonelle svakheter
- Redusere risiko for tap av ressurser
- Overholde lover og regler
- Forbedre selskapets beslutninger med tidsriktig og korrekt informasjon
- Effektive rutiner
- Øke (eller gjenvinne) tillit fra investorer
- Redusere mulighetene for misligheter
Forskrift om risikostyring og internkontroll finner du her:
http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20080922-1080.html
