Innlegg på IIA Danmarks Årskonference, Helsingør 9. juni 2005 Seniorrådgiver May-Brit Riksheim - PowerPoint PPT Presentation

slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Innlegg på IIA Danmarks Årskonference, Helsingør 9. juni 2005 Seniorrådgiver May-Brit Riksheim PowerPoint Presentation
Download Presentation
Innlegg på IIA Danmarks Årskonference, Helsingør 9. juni 2005 Seniorrådgiver May-Brit Riksheim

play fullscreen
1 / 47
Innlegg på IIA Danmarks Årskonference, Helsingør 9. juni 2005 Seniorrådgiver May-Brit Riksheim
107 Views
Download Presentation
edena
Download Presentation

Innlegg på IIA Danmarks Årskonference, Helsingør 9. juni 2005 Seniorrådgiver May-Brit Riksheim

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Kvalitetssikring av internrevisjonens arbeidErfaringer fra Tematilsyn i norske finansinstitusjoner våren 2005 - Innlegg på IIA Danmarks Årskonference, Helsingør 9. juni 2005 Seniorrådgiver May-Brit Riksheim Spesialrådgiver Morten Thorbjørnsen

  2. Konference-arrangørs stikkord: • Formål med Kredittilsynets gennemgang af intern revision. • Gennemgang af udkast til arbejdsplan for kvalitetssikring af intern revision, som det norske tilsyn sendte i høring i 2004. • Erfaringer fra temagennemgang i foråret 2005. Anbefalinger til intern revision baseret på den foretagne gennemgang. • Hvorledes forventes kontrollen udført fremadrettet og hvor ofte ? • Vi vil forsøke å belyse disse temaer gjennom følgende disposisjon: IIA Danmark, Årskonference 2005

  3. Disposisjon • Kort om norsk regelverk for intern kontroll og internrevisjon i finansinstitusjoner • Innføringen av et krav om å ha / opprette internrevisjonsfunksjon • Formål med vår gjennomgang / tematilsyn • Tematilsyn - omfang og gjennomføring • Metodikk (arbeidsplan for kvalitetssikring av I R) • Observasjoner og erfaringer • Anbefalinger og forslag • Fremtidige kontroller / oppfølging IIA Danmark, Årskonference 2005

  4. 1 a. Generelt om norsk regelverk innen finanssektoren • Lover (Laws) - vedtatt av Stortinget og gitt av Kongen i Statsråd - som i DK • Forskrifter (Regulations) - gitt av Finansdepartementet (vanligvis utarbeidet av Kredittilsynet, ofte for å gi mer detaljerte retningslinjer til en lov) – tilsvarer ’Bekendtgørelser’ gitt av Finanstilsynet i DK • Rundskriv (Circulars)- gitt av Kredittilsynet (vanligvis som utdypning/tillegg/presisering til en Forskrift) - tilsvarer ’Vejledninger’ gitt av Finanstilsynet i DK IIA Danmark, Årskonference 2005

  5. 1 b. Norsk regelverk for I K & I R • Krav til styring og kontroll (’kontrollmiljø’) i norske finansinstitusjoner hviler på en rekke ulike lover og forskrifter – bl.a.: • Almenaksjeloven • Lov om forretningsbanker / Lov om sparebanker • Lov om finansieringsvirksomhet • Lov om forsikringsvirksomhet • Kredittilsynsloven • Forskrift 1057 om Intern kontroll (1997 – endret 2003) • Forskrift 630 om Informasjons og kommunikasjonsteknologi (2003) IIA Danmark, Årskonference 2005

  6. 1 c. Forskjeller mellom norske og danske regelverk og forhold vedr. internrevisjon • Viktig forskjell: bare i et fåtall av norske banker utfører internrevisjonen i nevneverdig omfang finansiell revisjon • Det er ingen krav til rapportering eller bekreftelser til tilsynsmyndighetene fra internrevisjonen i norske banker IIA Danmark, Årskonference 2005

  7. 2 a. Utvikling av Kredittilsynets retningslinjer for krav om - og evaluering av - internrevisjon • Off. dokumenter: • Utredning juni 2002, Høringsnotat – off. høring • Rundskriv 3/2003 (oversendelse av forskriftsendring) • Endring 16. des 2002 i forskrift av 20. juni 1997 nr. 1057 – (§ 4-2…) • Rundskriv 16/2003 – Veiledning til internkontroll-forskriften, herunder kommentarer til kravet om internrevisjon (§4-2) • Metodikk: • Veiledende retningslinjer for Kredittilsynet vurdering av internrevisjonsfunksjonen (Utkast Internt Notat 25. mai 2004 – begrenset høring; – 13. sept. 2004) • Plan og metodikk for Tematilsyn jan – april 2005 (Interne arbeidsdokumenter i Kredittilsynet) IIA Danmark, Årskonference 2005

  8. 2 b. Innføringen av et krav om å ha / opprette internrevisjonsfunksjon • Endring i Forskrift om intern kontroll fra 01.01.2003: • § 4-2 : Krav om internrevisjon i finansinstitusjon > 10 Mrd NOK • do. krav for børser, oppgjørssentraler, verdipapirregistre • andre: krav om at styret avgjør om foretaket skal ha internrevisjon (§ 2-1, siste ledd) • Internrevisjonsfunksjon (der det er et krav) implementert innen 01.01.2004 • Målsetning ved endringen er å styrke den interne kontroll i finansinstitusjonene, ved å gi styret et virkemiddel for bedre å kunne overvåke foretakets opplegg for risikovurdering, kontrolletablering og rutinegjennomføring. IIA Danmark, Årskonference 2005

  9. 2 c. ”Krav til internrevisjon ….” • Prinsipielt: Bør Kredittilsynet ha / gå ut med ”krav til…”? - • Internkontrollforskriften er i utgangspunktet en ”rammeforskrift” – kontroll tilpasses lokalt - ikke gi for detaljerte krav om hvordan den skal/bør utøves! • Et krav til hvordan internrevisjonen skal utøves vil gripe inn i styrets rett til selv å fastlegge kriterier for sitt eget kontrollorgan • ”Etablert praksis” i institusjoner som allerede har internrevisjon • Uansett – behov for å ha standarder for vår evaluering: Kravet i § 4-2 – 1.ledd – ”anerkjente standarder”, f.eks.: • IIA – generelle, omfattende, praktiske • Basel (BIS / BCBS) – målrettede, relevante, - mindre ”operasjonelle” • ”Følg eller forklar” ? – bør vi godta andre (= egne?) standarder/etablert praksis ? IIA Danmark, Årskonference 2005

  10. 2 d. Standarder, prinsipper • Framework for Internal Control Systems in Banking Organisations (September 1998); • Enhancing Corporate Governance for Banking Organisations (September 1999); • Internal Audit in Banks and the Supervisor’s Relationship with Auditors (BCBS 84: August 2001); • Customer Due Diligence for Banks (October 2001); • Sound Practices for the Management and Supervision of Operational Risk (February 2003); • International Convergence of Capital Measurement and Capital Standards – A Revised Framework (June 2004); • Consolidated KYC Risk Management (October 2004). • (BCBS - Basel Committee on Banking Supervision) IIA Danmark, Årskonference 2005

  11. 2 d. Standarder, prinsipper – forts. • IIA Standarder : Etiske regler og standarder for profesjonell utøvelse av intern revisjon – norsk utgave ved v/Norges Interne Revisorers Forening (NIRF 2004) – i kraft fra 01.01.04 • ISACA – CobiT : Control Objectives for Information and related Technology (CobiT) , Information Systems Audit and Control Association (ISACA) • COSO: Internal Control - Integrated Framework (The Committee of Sponsoring Organizations of the Treadway Commission, COSO – 1992) IIA Danmark, Årskonference 2005

  12. 2 e. Outsourcing • Avtalen(e) mellom partene bør omtale blant annet: • krav til leverandørens kompetanse og erfaring innen fagområdet • krav til ressurstilgang • at internkontrollforskriftens krav gjelder for outsourcet virksomhet • krav til innsyn i outsourcet virksomhet og rapportering/informasjon fra leverandør • Kredittilsynets rett til inspeksjon mv. • Uansett utkontraktering må foretaket selv ha kompetanse til å vurdere om leverandør utfører oppdraget tilfredsstillende, Jf. BCBS dok 84 prinsipp 20. IIA Danmark, Årskonference 2005

  13. 2 f. Regelverk – Baselkomitéen / BCBS84 – 20 Prinsipper for intern revisjon • Hovedstrukturen her er: • Prinsipp 1 – 3: generelt om rollefordeling styret, administrasjon og IR. • Prinsipp 4 – 12: prinsipper for IR-funksjonen *) • Prinsipp 13 – 18: relasjoner og rollefordeling mellom intern revisjon, ekstern revisjon og tilsynsmyndigheter • Prinsipp 19 : om evt. revisjonskomité • Prinsipp 20: om evt. outsourcing. • *) herunder pr. 10 : vurdering av bankens system for risikostyring m.m. som ledd i den interne kapitalvurderingsprosedyre IIA Danmark, Årskonference 2005

  14. 2 g. Krav….: IR’s virkeområde/oppgaver (”scope”) - iflg. Baselkomitéen (BCBS) dok. 84 – 2001 (prinsipp 3 - pkt 13) • vurdering av om internkontrollsystemet er tilstrekklig og hensiktsmessig, • vurdering av om bankens metoder for risikostyring og risikovurdering anvendes korrekt og hensiktsmessig, • vurdering av systemer for økonomistyring og annen ledelsesinformasjon, herunder IT-systemer og e-bank løsninger, • vurdering av nøyaktigheten og påliteligheten av regnskapsdata og rapporter, • vurdering av tiltak for å beskytte aktiva, • vurdering av bankens system for risikobasert kapitalallokering • vurdering av økonomi og lønnsomhet i driften, • testing av transaksjoner samt av gjennomføringen av internkontroll retningslinjer, • vurdering av systemer som skal sikre overholdelse av lover og forskrifter, policies og retningslinjer, herunder etiske retningslinjer, • testing av pålitelighet og rettidig levering av rapportering til tilsynsmyndighet, • gjennomføring av spesielle undersøkelser. IIA Danmark, Årskonference 2005

  15. 3 a) Formål med vår gjennomgang / tematilsyn • Generelt: • Endring i internkontrollforskriften • Signalisere internrevisjonsfunksjonen betydning • Vurdere internrevisjonens rolle i institusjonenes kontrollmiljø • Vurdere mulighet av å bygge på internrevisjonens vurderinger i det risikobaserte tilsynet • Ensartede inspeksjoner => ”Best practice” • Felles samlerapport IIA Danmark, Årskonference 2005

  16. Generalforsamling Intern kontroll - hovedstruktur Kontrollkomité Styret Vedta strategi og godkjenne risikonivå Påse at den interne kontroll i foretaket er etablert, i tilstrekkelig omfang, på systematisk måte (Valgfritt): Revisjonskomité Adm. direktør (Valgfritt): Compliance funksjon Intern revisjon Implementere strategien Etablere en forsvarlig risiko- styring og internkontroll Dokumentere, gjennomføre og overvåke risikostyringen og IK. Etterlevelse av lover og regler Avgi rapport om den interne kontroll – minimum en gang årlig ? Forretningsenheter, linjeledelse (Valgfritt): Risikostyringsfunksjon Arbeide etter anerkjente standarder Identifisere Analysere Måle Styre, reagere og forbedre Oppfølging Rapportere Bekrefte Oppfølging av risikostatus Samlet risikorapportering IIA Danmark, Årskonference 2005 Fullmakter og autorisasjoner Formell rapportering

  17. 3 b) Formål med vår gjennomgang / tematilsyn • For enkeltinstitusjoner, vurdere: • etablering av internrevisjonsfunksjonen; beslutningsprosess og evt. avtale om utkontraktering • uavhengighet, revisjonsinstruks, ressurser • faglige standarder, arbeidsmetoder, kompetanse • selvstendig risikovurdering, revisjonsplaner • rapportering, oppfølging, gjennomslagskraft • internrevisjonsfunksjonens rolle i Basel 2-prosessen • relasjoner til bankens ledelse, styret og eksternrevisor IIA Danmark, Årskonference 2005

  18. 4. Tematilsyn -omfang og gjennomføring • To personer ansvarlig for selve tematilsynet,i tillegg kommer den institusjonsansvarlige • 12 større institusjoner • 8 banker • 4 forsikringsselskap • 10 uker for gjennomføring av besøk • Avsluttet i midten av april • Rapporter • Samlerapport, offentlig – ferdig midten av juni • 12 enkeltrapporter u. o. – ferdig midten av juni • 2 presentasjoner og pressemelding IIA Danmark, Årskonference 2005

  19. 5 Metodikk(arbeidsplan for kvalitetssikring av I R) • Vanlig inspeksjons-’syklus’ • Tillegg ved tematilsyn • Forhåndsdokumentasjon • Møter og intervjuer • Sjekkliste • Evaluering – kriterier • Evaluering – øvrige referanser IIA Danmark, Årskonference 2005

  20. 5 a) Inspeksjonssyklus – vanlig modell Analyse 3) Kredittilsynet foretar INSPEKSJON (stedlig tilsyn) 2) Institusjonen oversender DOKUMENTASJON 1) Kredittilsynet sender INSPEKSJONSVARSEL til bankens styre 6) Kredittilsynet avgir MERKNADER (off.) 4) Kredittilsynet avgir RAPPORT (u.o.) til bankens styre 5) Styret avgir TILSVAR IIA Danmark, Årskonference 2005

  21. 5 b) Tillegg ved tematilsyn • Forhåndsspørsmål • Samlerapport – offentlig • Pressemelding – hvis offentlig interesse IIA Danmark, Årskonference 2005

  22. 5 c) Forhåndsdokumentasjon • Innhente bl.a.: • Evt. avtaler om outsourcing / ”Co-sourcing” • Internrevisjonens organisasjon • Revisjonsinstruks • Risikovurderinger • Årsplan • Periodiske rapporter til styret • Eksempler enkeltrapporter IIA Danmark, Årskonference 2005

  23. Dokumentasjonsliste • Oppdatert organisasjonskart for evt. konsern, for det foretak internrevisjonen er organisert i, samt evt. for internrevisjonsenheten • Siste rapportering til styret om risikosituasjonen - jf intern kontroll forskriftens § 3-2 • Referat fra styremøte som har behandlet evt. outsourcing av internrevisjonsfunksjonen (hvis besluttet i løpet av 3 siste år) • Evt. avtale om outsourcing av internrevisjonsfunksjonen • Oversikt over avtaler mellom konsernrevisjon (internrevisjon) og ulike juridiske enheter i konsernet, vedlagt eksempler på slike avtaler med konsernets hovedselskaper • Revisjonsinstruks • Foreliggende plandokumenter for internrevisjonen, herunder årsplaner for 2003, 2004 og 2005 • Internrevisjonens seneste risikovurdering som grunnlag for internrevisjonens årsplan 2005,- for konsernet samlet og for det største datterselskapet IIA Danmark, Årskonference 2005

  24. dokumentasjon forts. • Oversikt som viser gjennomførte revisjonsoppdrag i 2003 og 2004, med angivelse av målsetning og ressursforbruk for det enkelte oppdrag • Retningslinjer for styrets behandling av revisjonsrapporter og utskrift av referat fra de tre siste styremøter der slike rapporter er behandlet • Referat fra siste styremøte som behandlet budsjett, ressurser og årsplan for internrevisjonen • Rapporter fra de to siste revisjonsoppdrag • De to siste års- eller halvårsrapporter (samlerapporter) • Kopi av evt. interne og/eller eksterne kvalitetsvurderinger av internrevisjonsfunksjonen • Evt. avtaler mellom ekstern revisor og internrevisjonen • Redegjørelse for eventuelle avtaler om bonus el. lignende incentivelementer i avlønningen av internrevisjonens leder og / eller øvrige medarbeidere • Eventuell annen dokumentasjon som anses relevant for Kredittilsynet. IIA Danmark, Årskonference 2005

  25. 5 d) Møter og intervjuer • Møter med Revisjonssjef, evt. revisjonsmedarbeidere • Organisasjon • Kompetanse, uavhengighet, objektivitet • Standarder • metoder, planlegging, rapportering • Samarbeid med ulike ledd i organisasjonen • Styret, adm. direktør, ekstern revisor, andre • Basel II • Gjennomslagskraft IIA Danmark, Årskonference 2005

  26. Møter og intervjuer forts. • Intervjuer med ”stakeholders”: • Adm. dir. + evt. revisjonskoordinator • Styreformann og / eller evt. leder revisjonskomité • Evt. leder compliance • Ekstern revisor • 360° • Mer enn 50 intervjuer IIA Danmark, Årskonference 2005

  27. 5 e) Kriterier – sjekkliste • Momenter knyttet til forskriftskrav • Outsourcing • Revisjonsinstruks / mandat • Uavhengighet • Ledelse av internrevisjonsfunksjonen / kompetanse / kvalitetssikring og forbedring • Internrevisor og forholdet til ekstern revisor • Formål og oppgaver (“Scope of activity”) • Arbeidsmetoder og typer revisjon – Risikofokus og revisjonsplan – Prosedyrer • Kriteriene er i hovedsak basert på IK-forskrift og Basel doc 84 IIA Danmark, Årskonference 2005

  28. I tillegg til de eksterne rapporter har vi for vår interne evaluering tentativt stillet opp 11 aspekter / evalueringsfaktorer for internrevisjonsfunksjonen i finansinstitusjoner. Bare enkelte av disse er målbare, – andre i en viss grad objektive, - de resterende rent skjønnsmessige…… RESSURSER / Å.V. RESSURSER / FVK KOMPETANSE REVISJON KOMPETANSE FAG RISIKOVURDERING PLANLEGGING RAPPORTER KVALITETSSIKRING OPPFØLGINGSRUTINER UAVHENGIGHET & OBJEKTIVITET GJENNOMSLAGSKRAFT 5 f) - Evaluering – kriteria IIA Danmark, Årskonference 2005

  29. 5 g) Metodikk for evaluering – øvrige referanser • FED, USA - Federal Reserve system /FDIC: ’INTERAGENCY POLICY STATEMENT ON THE INTERNAL AUDIT FUNCTION AND ITS OUTSOURCING’,March 17, 2003 • Omfatter bl.a. retningslinjer for hva tilsynsmyndigheter bør se efter mht internrevisjonsfunksjonen i finansinstitusjoner – ’Review of the Internal Audit Function and outsourcing arrangements’ • FSA, UK - Financial Services Authority: ’Review of Internal Audit…..’ ’Dear CEO –letter’31 March 2004 IIA Danmark, Årskonference 2005

  30. 6. Observasjonerog erfaringer • Styrets rolle • Uavhengighet • Internrevisjonens risikovurdering & planlegging • Rådgiving vs (tradisjonell) revisjon • Kompetanse, utførelse • Rapporter, oppfølging revisjonsmerknader • Kriteria IIA Danmark, Årskonference 2005

  31. 6 a. Styrets rolle • Synes ikke å gripe muligheten til gjøre internrevisjonsfunksjonen til sin ”forlengede arm” • For svak dialog mellom styret/styrets formann og leder internrevisjonsfunksjonen • Lite engasjement fra styret i internrevisjonens risikovurdering og planlegging • Bekymret for omkostningene – ønsker å legge seg på et slags antatt ”minimumskrav” – oppnår ikke ”kritisk masse” i revisjonsarbeidet IIA Danmark, Årskonference 2005

  32. 6 b. Uavhengighet • Internrevisjonen kan ha vanskelig for å definere seg i ny, uavhengig rolle (spesielt i organisasjoner hvor denne tidligere var adm. direktørs kontrollorgan) • Outsourcing av internrevisjonsfunksjonen skulle innebære større reell uavhengighet enn et ansettelsesforhold, men en leverandør-/kunde-relasjon ikke nødvendigvis mer uavhengig enn en arbeidsgiver/ansatt-relasjon… • Det vi søker å avklare er • Internrevisjonens egen opplevde frihet ”to tell it as it is” • og mulighet til å stå opp for tilstrekkelige ressurser til å drive en forsvarlig revisjon IIA Danmark, Årskonference 2005

  33. 6 c. Internrevisjonens risikovurdering & planlegging • ”For lite” : Mangler selvstendig risikovurdering – som korrektiv til ledelsens vurderinger ? • styret ser ikke verdien av at internrevisjonen utøver en selvstendig risikovurdering • i den grad det gjøres selvst. risikovurdering i internrevisjonsfunksjonen er denne ikke dokumentert, og ikke mulig å skille fra ledelsens risikovurdering • ”For mye”: Mangler ”Kritisk masse” i revisjoneressurser – internrevisjonen kan ha glimrende risikoanalyser og planer, – men det blir ikke tilstrekkelige ressurser igjen til praktisk revisjonsarbeid og revisjonshandlinger IIA Danmark, Årskonference 2005

  34. 6 d. Rådgiving vs (tradisjonell) revisjon • Pendelen slått for langt ut mot rådgivings-funksjoner – • Internrevisjonsfunksjonen blir primært ”endringsagent” for ledelsen, • Bruker internrevisjonsfunksjonens ressurser vesentlig i ledelsesprosesser, på å fascilitere egenvurderinger etc, • For sterk involvering i prosjekter/utredninger svekker uavhengighet mht. til å revidere prosesser knyttet til disse IIA Danmark, Årskonference 2005

  35. 6 e. Kompetanse, utførelse • Spisskompetanse innen områder som eksempelvis finans og IT-revisjon • Outsourcing / co-sourcing • Krav om egen kompetanse til å vurdere om leverandør utfører oppdraget tilfredsstillende • Plan kompetanseutvikling i internrevisjonsfunksjonen • Samarbeid ekstern / internrevisjon • Store forskjeller i grad av samarbeid ER/IR – fra felles revisjonsteam - til møte 1 – 2 g /år – for bytte av revisjonsplaner • Kvalitetsvurderinger (jf IIA std 1310): • Fleste har et system for egenvurdering • Fleste leter etter en løsning for ekstern vurdering IIA Danmark, Årskonference 2005

  36. 6 f. Rapporter, oppfølging revisjonsmerknader • Rapporter som i form og innhold er tradisjonell opplisting av ”funn” – mangler prioritering og angivelse av alvorsgrad • Mangler dokumentasjon på at rapporter blir lest og forstått av styret • Mangler enhetlig verktøy for rapportering og oppfølging av merknader • Uklare ansvarsforhold mht. oppfølging og tilbakemelding om gjennomførte tiltak IIA Danmark, Årskonference 2005

  37. 6 g. Kriteria • Det nye regelverket kapitaldekningskrav (EU og Basel 2) stiller nye krav til åpenhet om tilsynsmessige tiltak, - vil dermed kreve av oss som tilsynsmyndighet at vi kvantifiserer våre inntrykk og merknader i større grad, - • - vil være en utfordring på områder / forhold som i utgangspunktet ikke er kvantifiserbare – som f.eks. styring og kontroll, revisjon IIA Danmark, Årskonference 2005

  38. I tillegg til de eksterne rapporter har vi for vår interne evaluering tentativt stillet opp 11 aspekter / evalueringsfaktorer for internrevisjonsfunksjonen i finansinstitusjoner. Bare enkelte av disse er målbare, – andre i en viss grad objektive, - de resterende rent skjønnsmessige…… RESSURSER / Å.V. RESSURSER / FVK KOMPETANSE REVISJON KOMPETANSE FAG RISIKOVURDERING PLANLEGGING RAPPORTER KVALITETSSIKRING OPPFØLGINGSRUTINER UAVHENGIGHET & OBJEKTIVITET GJENNOMSLAGSKRAFT 6 h - (Kopi 5 g) - Evaluering – faktorer - kriteria IIA Danmark, Årskonference 2005

  39. 6 i. – Kriteria - ”Spider Web” – eks. Bank X mot snitt av 8 banker – NB! Kun testdata NB! IIA Danmark, Årskonference 2005

  40. 6 j. – Kriteria - ”Spider Web” – eks. Bank Y mot snitt av 8 banker – NB! Kun testdata NB! IIA Danmark, Årskonference 2005

  41. 7.Anbefalinger og forslag • Regelmessige møter/dialog mellom styreformann og leder for internrevisjonsfunksjonen • Styret stille krav til selvstendig risikovurdering • Planer for kompetanseutvikling • Rutiner / verktøy for enhetlig oppfølging av revisjonsmerknader IIA Danmark, Årskonference 2005

  42. 8. Fremtidige kontroller / oppfølging • Basel II stiller nye krav til bankenes kapitalvurderings-prosedyre og gir også internrevisjonen en rolle her- jf også BCBS84 – princ.13, - & para 60): • Bank supervisors should evaluate the work of the bank’s internal audit department and, if satisfied, can rely on it to identify areas of potential risk. • To evaluate the quality of internal controls, supervisors can take a number of approaches.One approach is for supervisors to evaluate the work of the internal audit department of the bank, including its testing of senior management’s processes that identify, measure, monitor and control risks. If satisfied with the quality of the internal audit department’s work, supervisors can use the reports of internal auditors as a primary mechanism for identifying control problems in the bank, or for identifying areas of potential risk that the auditors have not recently reviewed. IIA Danmark, Årskonference 2005

  43. 8. Fremtidige kontroller / oppfølging – forts. • Kan deler av tilsynsarbeidet evt. i større grad støtte seg på internrevisjonens arbeid ? • f.eks. ved kontroll og kvalitetssikring av bankenes utvikling og vedlikehold av kapitaldekningsmodeller, løpende overholdelse av kravene til kapitaldekningsberegning i hht ”Basel II” ? • Vi må regne med at det i Basel-kravene vil komme inn krav til internrevisjonsfunksjonen (og dermed til vårt tilsyn med denne, i institusjoner som vil anvende de mer avanserte metoder for beregning av kapitaldekningskravene IIA Danmark, Årskonference 2005

  44. 8. Fremtidige kontroller / oppfølging-forts. • Vurderingskriterier, kilder • Som gjennomført i 2005 + grundigere kvalitetsvurdering av revisjonsmetoder(f.eks. IIA’s Quality Assessment Manual) • I tillegg til Kredittilsynets egen vurdering: uavh. ekstern kvalitetssikring i hht. IIA Stand. 1312 • Ratingbyråenes krav ? IIA Danmark, Årskonference 2005

  45. Spørsmål ? Ja ?? Ja Ja Flere spørsmål ? ? ? Nei • Morten Thorbjørnsen • Spesialrådgiver, Kredittilsynet • Tel. : +47 22 93 98 92 / Mob.: +47 915 46 156 • E-post : morten.thorbjornsen@kredittilsynet.no Nei Takk for oppmerksomheten! May-Brit Riksheim Seniorrådgiver, Kredittilsynet Tel. : +47 22 93 97 08 / Mob. : +47 916 86 451 E-post : may-brit.riksheim@kredittilsynet.no Kredittilsynet, Finans og Forsikringsavd., Seksjon for stedlig tilsyn og verifikasjon IIA Danmark, Årskonference 2005

  46. Kredittilsynets virksomhet • Informasjon om Kredittilsynets virksomhet for øvrig • http://www.kredittilsynet.no/ • Bl. a Årsberetning og • Tilstandsrapport for finansmarkedet • (risk outlook) IIA Danmark, Årskonference 2005

  47. IIA Danmark, Årskonference 2005