Artikkel

Finanssektoren – hva bør internrevisor fokusere på i 2015?

Internrevisjonsavdelinger i finansbransjen vil i 2015 måtte forholde seg til økende krav fra myndighetene, økt benchmarking innad i finansbransjen og økte krav fra eksterne interessenter. Mange av hovedområdene beskrevet i denne artikkelen følger av økonomiske rammebetingelser og nye regulatoriske krav gjør krav på omlegging av strategi og underliggende forretningsmodell for aktører innen finansbransjen.

Behovet for omstilling innen bransjen gjør at internrevisjonen vil inneha en enda mer sentral rolle enn tidligere i form av å bidra med verdifull innsikt på tvers av organisasjonen i denne omstillingsprosessen. Vi håper denne artikkelen viser seg å være til nytte i planleggingen for 2015.

Overordnet styring og kontroll

Fokuset på finansinstitusjoners styring og kontroll vil fortsette som følge av utfordringene fra den finansielle krisen i verden. Internrevisjon av styring og kontroll vil bli mer omfattende og aktører utvikler nå flerårige planer for området. Disse vil i 2015 måtte justeres for å sørge for at nye prioriteringer adresseres.

Fra et regulatorisk perspektiv har individuelt ansvar vokst frem som et tema innen finansbransjen. Ledere og styremedlemmer blir i økende grad ansvarliggjort når det gjelder effektivitet av styring, risikohåndtering og kontroll. Internrevisjonen vil ha en sentral rolle i å verifisere for styret og ledelsen at disse områdene er effektive og virker etter sin hensikt.

Robustheten i styring av datterselskap er et annet viktig område. Internrevisjon bør vurdere sammensetningen av datterselskapenes styrer, rapporteringslinjer til konsernet og kvaliteten av ledelsesinformasjonen for den juridiske enheten. Det må i planene foreligge tilstrekkelig dekning av alle enheter som virksomheten, gjennom regulering, er ansvarlig for, - selv i andre jurisdiksjoner.

Risikohåndtering

Planene for 2015 bør inkludere vurdering av effektiviteten av rammeverk for risikovilje og måten dette brukes til å håndtere risiko i den daglige driften. Internrevisjon bør også utfordre i hvilken grad risikoviljetiltak og -grenser brukes til å kontrollere daglig drift, og i hvor stor grad tiltenkte forbedringer i risikohåndteringen faktisk har blitt oppnådd.

Risikokultur er et område av økende interesse. Styret og ledere må påse at ønsket adferd tydelig kommuniseres i organisasjonen, og at det foreligger prosesser for å vurdere etterlevelsen av denne. Internrevisjonen vil være en viktig aktør når det gjelder å nettopp vurdere tilretteleggingen for - og etterlevelsen av disse verdiene og kjørereglene i linjen.

Operasjonell risiko vil i større grad enn tidligere kobles tettere mot virksomhetens overordnede målbilde. Det vil bli lagt mer fokus på selve risikoidentifiseringsprosessen i ICAAP og ORSA hvor scenario-analyse vil spille en viktig rolle for å belyse potensielle direkte og underligge årsaker til en uønsket hendelse. I dette arbeidet vil internrevisjonen ha en viktig rolle i form av å verifisere og validere at eksisterende, og potensielle nye kontroller, faktisk reduserer risikoen som de er ment å redusere.

Et sentralt fokusområde før internrevisjonen vil være å vurdere effektiviteten risikomodellenes livssyklus (design, utvikling, validering, implementering og applikasjon). Internrevisjonen bør sørge for at internmodellering og kapitalavsetting er strukturert på en slik måte at institusjonens styringspolicy tilstrekkelig håndterer risiko, oppfyller regulatoriske krav, og inkluderer de kontroller som forventes av eksterne revisorer.

IT

Informasjonssikkerhet fortsetter å være et prioriteringsområde i tråd med hyppigheten av teknologiske endringer. Internrevisjon må fortsette fokuset på gjennomgang av selskapets informasjonssikkerhetstiltak. De senere år har vist at selskapene bør ha et spesielt fokus på å vurdere i hvilken grad virksomhetene har prosesser på plass for håndtering av Cyber risk.

Vi ser et økt fokus på å håndtere operasjonelle feilhendelser som er direkte eksponert for virksomhetens sluttkunder. Dette gjelder eksempelvis driftsbrudd i nettbankløsninger. Kritikalitetsvurderinger av forretningskritiske systemer ved bruk av såkalte Functional Hazard Analyser vil være en viktig bidragsyter til å ivareta driftsstabilitet. Internrevisjon må revidere robustheten i kontroller og prosesser, effektiviteten i endringskontroller og vedlikeholdstiltak som skal sørge for at systemene er i drift. Internrevisjonen bør vurdere i hvilken grad virksomheten har identifisert både sannsynlighetsreduserende og konsekvensreduserende tiltak for å sikre driftsstabilitet.

Endringsprogrammene for områder som blant annet Solvency II, Basel III, COREP og IFRS 9 gjør krav på tverrfaglige internrevisjonsteam der IT-spesialister vil være viktige når slike internrevisjonsprosjekter skal utføres.

Regulatoriske endringer

En organisasjons evne til å håndtere uønsket adferd hos de ansatte er avgjørende for at institusjonen ikke skal håndterer kunder på en måte som utløser regulatoriske sanksjoner og behov for å reparere kundeforhold. Internrevisjonen bør vurdere rammeverkene, policyene og prosedyrene som ligger til rette for å hindre at tilfeller av uønsket adferd forekommer.

I Norge har fokuset på økonomisk kriminalitet økt, og det forventes at finansinstitusjoner har systemer på plass for å motarbeide økonomisk kriminalitet og tydeliggjøre ledelsens ansvar for å håndtere denne risikoen. I forbindelse med innføringen av det fjerde EU-direktivet for hvitvasking av midler må internrevisjon vurdere selskapets eksisterende risikohåndtering, fremheve potensielle svakheter og sørge for at systemene og kontrollene utvikler seg i takt med endringer i markedet.

Kapital og likviditet

Regulatoriske endringer fortsetter å være på dagsordenen som en konsekvens av Basel III, Solvency II og andre tiltak i kjølvannet av finanskrisen. Som følge av det nye CRD IV-regimet for kapital i 2014, vil det settes minimumskrav til likviditet (Liquidity Coverage Ratio) i 2015, og etterhvert også Net Stable Funding Ratio (NSFR) og egenkapitalandel. Kompleksiteten og usikkerheten knyttet til regulatoriske endringer gjør at internkontrollen også må tilpasse sin tilnærming og fokus for å ivareta disse endringene.

Robustheten av internkontrollrammeverk for kapital og likviditet, COREP-rapportering og Pilar 3-offentliggjøring bør være prioriteringsområder for revisjonskomiteer og styrene i 2015. Datakvalitet blir spesielt viktig grunnet økende volum, kompleksitet og detaljnivå av informasjon som overleveres til myndighetene i forbindelse med COREP, FINREP og regulatorisk stresstesting. Som et resultat, har internrevisjonen en viktig rolle i å sikre uavhengig vurdering og etterprøving av blant annet Basel III (CRD IV)- elementer.

I forbindelse med implementering av Solvency II i forsikringsselskaper er hovedutfordringene for internrevisjonsavdelinger å vurdere om implementeringen er fleksibel nok til å ivareta de fremtidige behovene og kravene i virksomheten, spesielt med tanke på økt kvantum og detaljnivå av rapportering. Revisjonsplanene bør inkludere vurdering av Solvency-beredskap, uavhengig validering av modeller og gjennomgang av rapportering i forberedende fase.

Regnskap og skatt

IFRS 9 Financial Instruments synes å være det fremtidige rammeverket for regnskap som ser ut til å ville ha størst betydning for markedet. Det vil ha en direkte effekt på tapsavsetning for lån og verdivurdering av finansielle instrumenter, og dermed også på både balansen og resultatet. Mange organisasjoner har derfor allerede begynt å designe, utvikle og teste løsninger for IFRS 9. Internrevisjon bør sørge for at disse prosjektene etterlever sentrale designprinsipper og at eventuelle risikoer håndteres på et tidlig stadium.

Det er stort fokus på skatt blant myndigheter, media, frivillige organisasjoner og allmenheten for øvrig. Initiativer fra myndighetene har i kombinasjon med stadig flere reportasjer og offentlige debatter om norske og globale selskapers skattebetaling, bidratt til et nytt risikobilde for skatt. Det vil således være et økt fokus på å vurdere om skattehåndteringen er på linje med den overordnede strategien og tilnærmingen til risikohåndtering i finansinstitusjonen. I motsetning til før, hvor skatt hovedsakelig utgjorde en finansiell risiko, er trenden nå at omdømmerelatert skatterisiko har fått en merkbart større betydning enn før. Internrevisjonen bør bland annet gjennomgå finansinstitusjonens styringsmodellen for skatt med tanke på å belyse eventuelle risikoer relatert til håndteringen av skatt.

Vi håper med dette å gitt en innblikk i hvilke områder vi mener vil være viktige for internrevisjons-avdelinger innenfor finansbransjen i 2015. For ytterlige informasjon ta gjerne kontakt med oss.

Var denne siden nyttig?