Veiledning til forskrift om risikostyring og internkontroll
Rundskriv/veiledninger
Publisert: 13. januar 2009
Sist endret: 18. desember 2019
Dokumentnummer: 3/2009
Rundskrivet gjelder for:
- Alle
Om forskriften
Formålet med forskriften av 22. september 2008 nr. 1080 er å bedre foretakenes risikostyring og internkontroll gjennom å utdype styrets og ledelsens ansvar utover det som følger av selskapsrettslige regler og regler i særlovgivningen. Forskriften erstatter forskrift av 20. juni 1997 nr. 1057 om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll. Den nye forskriften medfører ikke vidtgående materielle endringer, men hensyntar endringer i annet regelverk og utviklingen i det teoretiske grunnlaget for risikostyring og internkontroll. I tillegg utvides virkeområdet med nye typer foretak under tilsyn av Kredittilsynet. Rundskrivet erstatter rundskriv nr. 16/2003.
Forskriften og dette rundskrivet er generelt utformet, og alt som omtales vil ikke være like relevant for alle. Foretakenes risikostyring og internkontroll skal tilpasses virksomhetens art, omfang og kompleksitet, jf. § 2. Arbeidet med risikostyring og internkontroll er en løpende prosess som vil modnes og forbedres over tid. Kredittilsynet legger til grunn at foretak som har vært underlagt den tidligere forskriften har kompetanse og erfaring fra gjennomføringen av de aktuelle prosessene. Det er derfor lagt særlig vekt på å gi veiledning til de nye foretakene som er underlagt forskriften, og til små foretak. Forskriften fastsetter minimumskrav til foretakets prosesser for, og dokumentasjon av, risikostyring og internkontroll. Rundskrivet gir en veiledning om hva Kredittilsynet vil vektlegge i den tilsynsmessige oppfølgingen.
Kapittel 1 - Innledende bestemmelser
§ 1 Virkeområdet
Forskriftens virkeområde er utvidet til også å omfatte:
- Inkassoforetak
- Regnskapsførerselskaper
Forskriften gjelder også for foretak som er underlagt kapitalkravsregelverket. Det er imidlertid tatt inn et unntak i § 6 tredje ledd, som skal redusere unødvendig dobbeltarbeid for foretak som reguleres av finansieringsvirksomhetsloven. Det tas sikte på tilsvarende løsning på forsikringsområdet når Solvens II-regelverket blir gjennomført.
For morselskap i finanskonsern gjelder forskriften for risikostyring og internkontroll på konsernnivå. Dette reduserer imidlertid ikke ansvaret og pliktene til datterselskaper og deres styrer. Konsernspissen har ansvar for risikostyringen i konsernet, og må kjenne til risikovurderinger som gjøres i datterselskaper som er omfattet av forskriften.
Advokater som driver eiendomsmegling eller inkassovirksomhet i kraft av sin personlige tillatelse, vil ikke komme inn under forskriftens virkeområde.
§ 2 Forholdsmessighet
Prinsippet om forholdsmessighet er ikke nytt, men er tatt inn for å tydeliggjøre at hva som er god og tilstrekkelig risikostyring og internkontroll kan variere. Hvert enkelt foretak må selv foreta denne vurderingen i forhold til virksomhetens art, omfang og kompleksitet.
Bestemmelsen åpner for at det for små foretak stilles mindre omfattende krav til prosessen for risikostyring og internkontroll enn det gjør for store foretak. Det samme kan gjelde foretak med et snevert produktspekter, for eksempel ”monolines” innen forsikring.
Momenter i en samlet vurdering kan være:
- Antall ansatte
- Omsetning
- Om det er hyppige endringer i markedet eller produktene som tilbys
- Hvor enkelt det er for daglig leder og andre ledere å kontrollere at virksomheten drives etter de rutiner og regler som gjelder, og hvor omfattende kontroll som er nødvendig for å holde en slik oversikt
- Om regelverket stiller spesielle krav til kundebeskyttelse
- Hvilken mulighet kundene har til selv å kontrollere kvaliteten på tjenesten som tilbys
Kapittel 2 - Ansvar for risikostyring og internkontroll
§ 3 Styret
Etter forskriften skal styret påse at risikostyring og internkontroll er sikret i tilstrekkelig omfang og på en systematisk måte. Styret står fritt til å finne en praktisk og oversiktlig form for hvordan dette gjøres.
Prinsippene for risikostyring og internkontroll bør kortfattet angi hvordan foretaket skal vektlegge forhold av betydning for å sikre forsvarlig drift, som rollefordelingen mellom styret, administrasjonen og andre kontrollerende funksjoner, organisatoriske forhold, systemmessige forhold, samt hvordan myndighet eventuelt skal delegeres.
Styret må påse at det blir etablert og gjennomført tiltak for å korrigere eller redusere de svakheter som blir funnet, og at hensynet til risikostyring og internkontroll inngår i vurderingen ved beslutninger om vesentlige endringer i virksomheten.
I den grad foretaket benytter systemer eller ”pakkeløsninger” fra bransjeorganisasjoner, kjedeledelse eller andre eksterne leverandører, må styret foreta egne reelle vurderinger av nødvendige tilpasninger til eget foretak.
Styret er pålagt å vurdere behovet for å etablere internrevisjon i foretaket (§ 9). Kredittilsynet kan i forbindelse med tilsyn be styret om en begrunnelse for hvorfor foretaket ikke finner det nødvendig å etablere internrevisjon.
Enkelte foretak er underlagt regler om risikostyring og internkontroll i annet regelverk. Avhengig av virksomhetens omfang og kompleksitet, vil krav til for eksempel risikovurderinger etter disse regelverkene kunne oppfylle enkelte krav i denne forskriften. Det bør i tilfelle framgå av styrets prinsipper om risikovurdering og internkontroll, eller annet styrevedtak.
I små foretak kan arbeidsdeling og uavhengig kontroll være en utfordring. Styret bør vurdere om det er behov for spesielle kontrolltiltak dersom det er vanskelig å ivareta tilstrekkelig uavhengighet og arbeidsdeling mellom utførende og kontrollerende funksjoner.
Styret i foretak som driver mellommannsvirksomhet, rådgivning eller forvalter klientmidler må påse at foretakets risikostyring og internkontroll omfatter ivaretakelse av kundens interesser, inkludert foretakets overholdelse av generelle god skikk-regler eller bestemmelser i særlovgivning gitt med tanke på klientvern.
§ 4 Daglig leder
Daglig leder er ansvarlig for å etablere et godt kontrollmiljø på alle nivåer i foretaket. Daglig leder bør engasjere seg i hele risikostyringsprosessen. I mindre foretak vil daglig leder ofte delta i selve prosessen. I større foretak vil daglig leder ha ansvar for å initiere prosessen, engasjere seg i den overordnede risikovurderingen, aktivt vurdere om styrings- og kontrollapparatet er forsvarlig, og følge opp at linjeledere deltar aktivt.
Daglig leder må sørge for at styret er tilstrekkelig orientert om hovedtrekkene i foretakets risikostyring og internkontroll. Hvor omfattende denne rapporteringen skal være, hva som skal rapporteres når og hvordan, bør framgå av styrets prinsipper.
Når det gjelder den eiendomsmeglingsfaglige utøvelsen, er daglig leder i eiendomsmeglingsforetak unntatt pliktene etter § 4. Disse pliktene er lagt på foretakets fagansvarlige, jf. forskrift av 23. november 2007 nr. 1318 § 2-8. Det er ikke gitt tilsvarende unntak for regnskapsførerselskaper som benytter unntaket i regnskapsførerforskriften § 1-3.
§ 5 Utkontraktering
Ved utkontraktering skal foretaket sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen. Dette vil for eksempel gjelde oppgjørsfunksjoner og IKT-systemer.
Kapittel 3 - Risikostyring og internkontroll
§ 6 Risikostyring
Formålet med § 6 er å medvirke til en betryggende risikovurderingsprosess og bevisstgjøring om risiko i foretaket. Risikovurderingen er utgangspunktet for å vurdere behovet for nye og endrede kontrolltiltak, og skal gjennomføres forut for endringer i organisasjon, lansering av nye produkter og utvidelser til nye markeder. Det er viktig at det også gjøres risikovurderinger ved større interne eller eksterne uforutsette hendelser.
Hva er risikostyring?
Foretakets risikostyring er hva foretaket gjennom strategi, organisasjon, rutiner og forsvarlig drift gjør for å nå fastsatte mål og sikre sine og kundenes verdier, samt pålitelig rapportering og etterlevelse av lover og regler. Dette innebærer mer enn det som tradisjonelt har vært oppfattet som internkontroll.
Det finnes flere anerkjente rammeverk om risikostyring. Disse utgjør viktige teoretiske grunnlag, men forutsettes ikke kjent av alle. Mest benyttet i Norge er de såkalte COSO-rammeverkene. COSO er en organisasjon, med utspring i USA, som har gitt ut flere rapporter og rammeverk om risikostyring og internkontroll (www.coso.org).
Risikostyring er som følge av dette ikke et begrep med entydig innhold, og kan også variere over tid. Én definisjon av (helhetlig) risikostyring er gitt i COSO 2:
”Helhetlig risikostyring er en prosess, gjennomført av virksomhetens styre, ledelse og ansatte, anvendt i fastsettelse av strategi og på tvers av virksomheten, utformet for å identifisere potensielle hendelser som kan påvirke virksomheten og for å håndtere risiko slik at den er i samsvar med virksomhetens risikoappetitt, for å gi rimelig grad av sikkerhet for virksomhetens måloppnåelse.” (Helhetlig risikostyring – et integrert rammeverk (COSO 2, 2004/2005, utgitt på norsk av Norges Interne Revisorers Forening))
Sentrale komponenter i helhetlig risikostyring er i følge COSO 2:
- Internt miljø – Det interne miljøet er utgangspunktet for de ansattes holdning til risiko. Det omfatter også filosofi for risikostyring og risikoappetitt, integritet og etiske verdier, og miljøet de opererer i.
- Etablering av målsettinger – Målsettinger må finnes før ledelsen kan identifisere potensielle hendelser som kan påvirke oppnåelsen av disse. Helhetlig risikostyring sikrer at ledelsen har på plass en prosess for å etablere målsettinger, og at de valgte målsettingene støtter og er i samsvar med virksomhetens formål og avspeiler dens risikoappetitt.
- Identifisering av hendelser – Interne og eksterne hendelser som påvirker en virksomhets måloppnåelse må identifiseres, og man skiller mellom risikoer og muligheter. Muligheter kanaliseres tilbake til ledelsens prosesser for fastsettelse av strategi eller målsettinger.
- Risikovurdering – Risikoer blir analysert og man vurderer sannsynlighet og konsekvens, som et grunnlag for å avgjøre hvordan de skal håndteres. Både iboende og gjenværende risiko blir vurdert.
- Risikohåndtering – Ledelsen velger former for risikohåndtering – å unngå, akseptere, redusere eller dele risiko – og utvikler en handlingsplan for å bringe risikoen i samsvar med virksomhetens risikotoleranse og risikoappetitt.
- Kontrollaktiviteter – Retningslinjer og rutiner blir etablert og gjennomført for å sikre at risikohåndteringen blir utført på en effektiv måte.
- Informasjon og kommunikasjon – Relevant informasjon blir identifisert, fanget opp og kommunisert i en form og tidlig nok til at de ansatte kan ivareta sitt ansvar. Effektiv kommunikasjon skjer også i videre forstand, både vertikalt og horisontalt i virksomheten.
- Oppfølging – Den helhetlige risikostyringsprosessen blir fulgt opp og endret etter behov. Oppfølging utføres gjennom løpende ledelsesaktiviteter, frittstående evalueringer og internrevisjon.
I små foretak vil det faktum at det er få ansatte være en risiko i seg selv. Av særlige risikofaktorer kan nevnes:
- Sårbarhet ved tap av kompetanse
- Manglende kompetanse til å kontrollere spesialister i eget foretak
- Avhengighet av enkeltpersoner
- Problemer med å få god nok arbeidsdeling og uavhengig kontroll
- At daglig leder selv deltar i virksomheten
- At kontrollapparat og ledelsesfunksjon ikke vokser i takt med virksomheten
Hvordan gjennomføre risikostyring?
En helhetlig vurdering av risikoer og tilhørende kontrolltiltak skal gjennomføres minst én gang årlig. Det er ikke krav om at dette gjøres til bestemte tider, eller at analyser av enkeltområder må gjennomføres samtidig.
Særbestemmelsen i § 6 siste ledd for foretak underlagt kapitalkravsregelverket skal redusere behovet for tilnærmet like prosesser etter to ulike regelverk. Banker som har tillatelse til å yte investeringstjenester etter verdipapirhandelloven omfattes imidlertid av § 6 når det gjelder denne virksomheten. Det vil si at denne delen av virksomheten i bankene ikke er omfattet av unntaket.
§ 7 Gjennomføring av internkontrollen
Internkontroll er en prosess, utført av styre, ledelse og ansatte, utformet for å gi rimelig grad av sikkerhet for å oppnå foretakets mål. Ledere bør aktivt engasjere seg i vurderingen av om etablert risikostyring og internkontroll blir gjennomført som forutsatt innen eget ansvarsområde. Det er ikke tilstrekkelig kun å bygge på eksempelvis compliance-avdelinger eller internrevisjonens konklusjoner. Den enkelte leder står fritt til å velge arbeidsform. Rapporter fra internrevisjon og uttalelser fra den eksterne revisoren kan være til god hjelp i arbeidet, men samarbeidet bør ikke være så omfattende at det svekker disse funksjonenes uavhengighet.
Etterlevelse og oppfølging forutsetter at ledere på alle nivåer i organisasjonen gjennomfører og overvåker vedtatte kontrolltiltak innen eget ansvarsområde. Dette er nødvendig for å kunne gripe inn når kontroller svikter eller viser seg for svake. Forskriften stiller ingen særlige krav til hvordan overvåkingen skal skje, men stikkord kan være personlig nærvær, forespørsler i møter med medarbeidere, stikkprøver og andre spesielle undersøkelser, gjennomgang av nøkkeltall, avviksmåling i IT-systemer og oppfølging av revisorrapporter.
Det skal foreligge et systematisk opplegg for overvåkingen, og opplegget skal jevnlig revurderes. Daglig leder må være forberedt på at styre, kontrollkomité, internrevisjon, ekstern revisor eller Kredittilsynet ber om å bli orientert.
Små foretak trenger ikke kompliserte systemer for å gjennomføre en tilfredsstillende internkontroll. Enkle rutiner og kontroller må likevel være på plass. Dette kan for eksempel være å ha:
- stedfortredere
- rutiner for kontrasignatur på mottatte fakturaer og utbetalinger fra klientkonti
- skriftlige saksbehandlingsrutiner på sentrale områder
- sjekklister for utførte handlinger i saksbehandlingen på sentrale områder
- skriftlige kontrollrutiner med angivelse av kontrollpunkter, dokumentgrunnlag, ansvar for gjennomføring, tidsfrister/hyppighet osv., hvor det framgår hvilken kontroll som skal foretas (for eksempel hvilke punkter i en sak som skal kontrolleres), hva som skal kontrolleres (for eksempel saksmapper, journaler mv.), hvem som skal utføre kontrollene og hyppigheten av dem (for eksempel minst tre saker per måned, alle journaler ved utgangen av hver måned osv.)
- sjekklister for utførte kontrollhandlinger med angivelse av avvik, hvordan avvik er fulgt opp og tiltak/rutineendringer for å forebygge gjentakelser og at det er rapportert oppover
§ 8 Dokumentasjon og rapportering
Formålet med forskriftskravet er å sikre at tilstrekkelig informasjon om gjennomføringen av risikostyringen og internkontrollen, blant annet om registrerte brudd og svakheter, rapporteres til ledelse og styre. For å oppnå dette, må det etableres et systematisk opplegg for overvåking og rapportering som omfatter alle nivåer i organisasjonen. Selv om vesentlige svakheter og feil umiddelbart rettes opp, skal disse rapporteres slik at de ansvarlige for kontrollen kan vurdere om igangsatte tiltak er hensiktsmessige og om internkontrollen virker som forutsatt.
Viktige retningslinjer, rutiner og kontrolltiltak må foreligge skriftlig. Det må være dokumentert at det er foretatt en risikovurdering.
Foretaket står for øvrig fritt til å velge dokumentasjonsform. Dokumentasjonen skal reflektere arbeidsprosedyrer, kontrollrutiner og vesentlige risikovurderinger, slik at styret og daglig leder kan ta stilling til om foretaket har vurdert risikoer og kontrolltiltak på alle aktivitetsområder. Det bør framgå hvordan ledere på forskjellige nivåer har deltatt i prosessen.
Kapittel 4 - Internrevisjon eller uavhengig bekreftelse
§ 9 Internrevisjon
Internrevisjonen skal, uavhengig av administrasjonen, foreta systematiske risikovurderinger og undersøkelser av internkontrollen for å sikre at den virker på en hensiktsmessig og betryggende måte. Styret skal godkjenne tildelingen av ressurser til internrevisjonen og årsplaner for virksomheten.
Internrevisjonen er et viktig ledd i styrets overvåking av risikostyringen og internkontrollen. Funksjonen er særlig aktuell i store og kompliserte organisasjoner, men også i mindre foretak med høy operasjonell risiko. Internrevisjon innebærer en styrking av internkontrollen og kan være aktuelt å vurdere også i foretak som ikke er pålagt å ha internrevisjon.
Internrevisjon er et selvstendig fagområde, med egne standarder, metoder og etiske regler. Norges Interne Revisorers Forening utarbeider standarder innen fagområdet. Internrevisjonsfunksjonen kan helt eller delvis utkontrakteres. Foretakets eksterne revisor kan ikke være internrevisor da det er i strid med revisorloven § 4-5 annet ledd.
Kravet om internrevisjon inntrer senest på det tidspunktet hvor forvaltningskapitalen har oversteget beløpsgrensen på ti milliarder kroner i mer enn 12 måneder, dersom ikke foretaket kan godtgjøre at forvaltningskapitalen vil komme under grensen i løpet av de neste seks månedene.
For inkassoselskaper vil fordringsmasse ikke anses som en del av forvaltningskapitalen i henhold til forskriften. Styret må likevel i medhold av § 3 første ledd nr. 7 ta stilling til om foretaket skal ha internrevisjon.
Dersom et foretak velger å utkontraktere internrevisjonsfunksjonen må det påse at kravene i § 5 er oppfylt.
§ 10 Uavhengig bekreftelse
Bestemmelsen gjelder foretak som ikke har internrevisjon. Hensikten er at styret skal få en årlig bekreftelse fra en instans som ikke selv deltar i foretakets interne kontroll. Bekreftelsen skal avgis av foretakets valgte revisor.
Det er ikke krav om at revisor skal bekrefte kvaliteten på foretakets risikovurderinger og dokumentasjon av rutiner og kontrolltiltak, men at det faktisk er foretatt slike vurderinger og at det foreligger dokumentasjon. Når det gjelder bestemmelsens siste strekpunkt, skal revisor kontrollere at de rutinene foretaket har etablert for gjennomføring av internkontrollprosessen sikrer at det er samsvar mellom de risikovurderingene som gjennomføres i linjen og den rapportering som skjer til styret.
§ 11 Unntak
Unntaksbestemmelsen er videreført selv om den er lite benyttet. Kredittilsynet presiserer at det vil bli ført en restriktiv praksis. Det vil for eksempel ikke være mulig å få unntak bare fordi foretaket er lite eller nystartet.
§ 12 Ikrafttredelse
Forskriften gjelder fra 1. januar 2009. Alle kravene i forskriften skal være gjennomført minst én gang i løpet av 2009.
Se forskrift om risikostyring og internkontroll (lenke til Lovdata)
Bjørn Skogstad Aamo
Anne Merethe Bellamy