Kredittilsynet
Postboks 100 Bryn
0611 Oslo
Dato: 24.04.2003
Vår ref.: 2003/00188
FJA/SD/HH
Deres ref.: 2003/2962
Høringsuttalelse - veiledning for internkontrollforskriften
Det vises til brev av 03.04.03 hvor det var vedlagt for uttalelse utkast til veiledning for Kredittilsynets gjeldende internkontrollforskrift.
1. Innledning – særlig om konsernrelaterte temaer
FNH stiller seg i hovedsak positiv til utkastet til veiledning. Vi mener imidlertid at veiledningen med fordel kunne ha vært tydeligere og mer presis på enkelte områder. Dette gjelder i første rekke behandlingen av konsernproblematikken. I FNHs høringsuttalelse til forslaget om å innføre krav om internrevisjon i finansnæringen av 11.10.02, ble det særlig vektlagt at regelforslaget ikke var tilstrekkelig klart når det gjelder hvordan reguleringen skal forstås anvendt innenfor finanskonsern. Kredittilsynet ble bedt om å vurdere dette nærmere i det videre forskriftsarbeid. De konsernrelaterte problemstillinger som ble reist av FNH, er stort sett ikke adressert gjennom de endringer i selve internkontrollforskriften som ble vedtatt av Kredittilsynet 16.12.02, jf. tilsynets rundskriv 3/2003. På grunnlag av etterfølgende telefonsamtale forsto vi det slik at Kredittilsynet fant det mer hensiktsmessig å forholde seg til disse temaer i den nye veiledning til internkontrollforskriften som man tok sikte på å sende ut.
Etter grundig gjennomgang av utkastet til veiledning må vi konstatere at flere av de viktige konsernrelaterte problemstillinger ikke er forsøkt adressert. Våre kommentarer nedenfor knytter seg i vesentlig grad til slike forhold.
2. Internkontrollforskriftens virkeområde
Vi ønsker innledningsvis å peke på to problemstillinger som relaterer seg til internkontrollforskriftens virkeområde. Internkontrollforskriften § 1-1 punktene 1-5 og 7-8 retter seg mot ulike selskapstyper som er vanlig innenfor finanskonsern. Imidlertid omtales ikke morselskap i finanskonsern som sådan. Vi er usikker på om dette er tilsiktet eller beror på usikkerhet om hjemmelsgrunnlaget. Vi tror uansett det vil kunne være nyttig med en klargjøring fra Kredittilsynets side.
Et annet spørsmål vedrørende forskriftens virkeområde gjelder forholdet til datterselskaper etablert utenfor Norge. Vi ga i ovennevnte høringsuttalelse av 11.10.02 uttrykk for at Kredittilsynet i forbindelse med forskriftsendringene nå burde klargjøre om forskriften (og spesielt reglene om obligatorisk internrevisjon) forutsettes å gjelde også i forhold til denne type selskaper.
Da en klargjøring som nevnt ikke er gitt i forskriften, bør Kredittilsynet vurdere om det er mulig å gi noen føringer med hensyn til regelforståelsen i veiledningen.
FNH forstår regelverket slik at datterselskaper etablert utenfor Norge ikke omfattes av norske regler siden disse foretakene er underlagt aksjelovgivningen og annen lovgivning i vedkommende land. Dette forhindrer ikke at det overordnede ansvar for internkontroll (og internrevisjon) som påhviler morselskapet i Norge, omfatter også eierskap og styring i forhold til slike datterselskaper.
3. Om internkontroll (utkast til veiledning s. 1-2)
I siste avsnitt i punktet om internkontroll vises det til at Baselkomiteen har fastsatt 13 grunnleggende prinsipper i tilknytning til internkontroll. Prinsippene er formulert for banker, men må også anses relevant for de øvrige foretak forskriften gjelder for. Kredittilsynet finner intensjonene i disse i god overensstemmelse med forskriftens krav. Prinsippene er ikke å anse som del av forskriften, men i de tilfeller styret velger å fravike dem på noe punkt, bør avviket etter Kredittilsynets vurdering kunne begrunnes.
FNH støtter at det norske regelverket for internkontroll knyttes opp mot internasjonale standarder, og vi er enig i at Baselkomiteens anbefalinger for internkontroll har stor relevans både for banker og andre foretak som omfattes av den norske internkontrollforskriften. Imidlertid mener vi at det for helhetens skyld også burde vært en tilsvarende referanse til Baselkomiteens anbefalinger om internrevisjon. Vi vil be om at også dette blir nærmere vurdert, jf. punkt 9 nedenfor.
4. Om internkontrollforskriften (s. 2)
I første avsnitt heter det:
”Forskriften fastsetter minimumskrav for foretakets prosess og dokumentasjon i tilknytning til internkontrollen, herunder risikovurderinger, kontrolltiltak og overvåking. Den omfatter ikke foretakets valg og oppfølging av spesifikke forretningsmål, strategier eller risikoprofil. Det fremgår imidlertid …..”
Under vår gjennomgang har vi stusset over at det i annen setning unntas ikke bare ”valg”, men også ”oppfølging” av spesifikke forretningsmål, strategier og risikoprofil. Det kan være et spørsmål om man derved unndrar mer enn det som er tilsiktet ? Vi vil be om at dette blir nærmere vurdert.
5. Om daglig leders kontrollansvar (s. 3)
Vi har ved vår gjennomgang merket oss at det i fremstillingen om daglig leders kontrollansvar ikke er tatt med noe om internkontrollen i finanskonsern. Dette skaper etter vårt syn en ”ubalanse” i forhold til fremstillingen om styrets kontrollansvar, der det heter at det er ”naturlig at konsernstyret holder seg orientert om det etablerte styrings- og kontrollapparatet og prosessene i tilknytning til dette i datterselskapene, og på den måten vurderer om internkontrollen ivaretas i tråd med forskriftens formål i konsernet som helhet”.
Det bes overveiet om det i avsnittet om daglig leders kontrollansvar bør gjøres en referanse til det foranstående, med påminnelse om at det følgelig hører under daglig leder for morselskapet å legge til rette for en internkontroll i konsernet som helhet.
Til støtte for dette kan også vises til at konsernperspektivet er kommet direkte til uttrykk i Kredittilsynets normalinstruks for kontrollkomiteer, der det heter at kontrollkomiteen ”skal ved behov også samarbeide med valgte revisorer og eventuelle kontrollkomiteer i datterselskaper”.
6. Dokumentasjon av kontrolltiltakene (s. 3-4)
I første avsnitt gis en generell omtale av hva som regnes som ”kontrolltiltak”. Fremstillingen her er etter vårt syn mindre god, og bør vurderes omskrevet i lys av den generelle omtale av internkontroll på s. 1.
I fjerde avsnitt heter det:
”Oversikten må samtidig være tilstrekkelig oppdatert og detaljert til at den kan være utgangspunkt for styrets og tilsynsmyndighetenes vurdering om tiltakene gir trygghet for forsvarlig drift.”
Vi vil foreslå at formuleringen ”detaljert” endres til ”oversiktelig”.
I femte avsnitt heter det:
”I konsern vil det i mange tilfeller være ønskelig å ha en samlet oversikt over de interne kontrolltiltakene. Fremstillingen må imidlertid da være slik at den tilfredsstiller kravene i relasjon til de enkelte datterselskap som omfattes av forskriften.”
Vi vil foreslå at første setning endres som følger:
”I konsern vil det i mange tilfeller være ønskelig å ha en systematisk, overordnet totaloversikt over de interne kontrolltiltakene.”
7. Gjennomgang av risiko og sikring (s. 4-5)
I andre avsnitt heter det:
”Formålet med forskriftskravet er å medvirke til at det gjennomføres en betryggende prosess med risikovurdering og kontrolletablering i foretaket. Foretaket står fritt til å velge arbeidsform.”
Vi vil foreslå at første setning endres som følger:
”Formålet med forskriftskravet er å medvirke til at det gjennomføres en betryggende prosess med risikovurdering, kontrolletablering og bevisstgjøring om gjenværende risiko i foretaket.”
8. Bekreftelse fra ledere (s. 5)
I andre avsnitt heter det:
”Dokumentasjonskravet skal sikre at foretaket i ettertid skal kunne vise hvordan informasjonen er gjennomført.”
Vi antar det her kan være en skrivefeil, og at meningen er at man i ettertid skal kunne vise hvordan ”prosessen” er gjennomført.
9. Internrevisjon (s. 5-6)
I første avsnitt heter det:
”Internrevisjon er en overvåkingsfunksjon som uavhengig av administrasjonen for øvrig, foretar systematiske kontroller og undersøkelser av foretakets internkontroll for å vurdere om den virker hensiktsmessig og betryggende.”
FNH mener at internrevisjonen er – og bør være – et organ både for foretakets styre og ledelse. Dette mener vi kom behørig frem i den utredning som ble fremlagt av Kredittilsynet og som var grunnlaget for høringsrunden i fjor høst. Vi vil be tilsynet overveie om dette bør komme til uttrykk i veiledningen nå, for eksempel som en innledende setning i det nevnte avsnitt.
Vi vil videre foreslå at følgende setning tas inn som en ny siste setning i ovennevnte avsnitt:
”Dette er ikke til hinder for at internrevisjonen også bidrar til at daglig leder ivaretar sitt ansvar for oppfølgingen av en betryggende internkontroll.”
I andre avsnitt heter det:
”Internrevisjonen er et selvstendig fagområde, med egne standarder, metoder og etiske regler. Norges Interne Revisorers Forening utarbeider anerkjente standarder innen fagområdet. Også anbefalinger og normer utgitt av andre foreninger og organisasjoner innen fagfeltet vil kunne anses som anerkjente standarder i den grad de medvirker til å oppfylle forskriftens målsettinger.”
Når det gjelder henvisningen til standarder utarbeidet av Norske Interne Revisorers Forening, bør det vel fremgå at disse standardene fortrinnsvis vil være basert på standarder fra IIA. Vi vil for øvrig foreslå at man her tilføyer følgende setning:
”Kredittilsynet forutsetter at relevante standarder ikke bare oppfylles ved opprettelsen av internrevisjonsfunksjonen, men at internrevisjonen til enhver tid oppfyller standardenes krav.”
Videre mener vi som nevnt under punkt 3 foran at det bør vises spesielt til Baselkomiteens anbefalinger om internrevisjon.
I tredje avsnitt heter det:
”Foretakets styre skal godkjenne internrevisjonens ressurser og årsplaner. Det forventes at ressursene, både når det gjelder kompetanse og kapasitet, skal være tilpasset foretakets virksomhet og omfang. Grunnlaget for vurderingen er først og fremst kvaliteten på internrevisjonens risikovurdering, årsplaner og rapporter, samt styrets kontakt med internrevisjonens leder.”
Vi vil be om at siste setning underlegges ny vurdering. Slik vi ser det vil grunnlaget for vurderingen være forskjellig, avhengig av om den gjelder ressurser, årsplaner, første gangs etablering av internrevisjon eller en eksisterende internrevisjon.
I sjette avsnitt heter det:
”Alle foretak, uansett størrelse, som inngår i finanskonsern med en forvaltningskapital for egen og kunders regning som overstiger 10 milliarder kroner, skal ha internrevisjon. I finanskonsern som har ansett det hensiktsmessig å etablere internrevisjon på konsernnivå, vil denne enheten normalt også forestå internrevisjonen i enkeltforetakene. Forskriften innebærer uansett krav om at hvert enkelt av datterselskapsstyrene minimum en gang pr. år mottar rapport fra internrevisjonen vedrørende forholdene i det aktuelle selskap, og at hvert selskapsstyre godkjenner internrevisjonens ressurser og planer for det aktuelle foretak på årlig basis. Likeledes vil det være naturlig for konsernstyret selv å sikre seg et helhetlig bilde av revisjonens syn på konsernets kontrollsituasjon.”
FNH mener at tredje setning har fått en unødvendig rigid form og vil være vanskelig å tilpasse den reelle situasjon i finanskonsernene, slik også tilsynet er kjent med denne. Innenfor et finanskonsern som har etablert internrevisjon på konsernnivå, vil internrevisjonens ressurser og planer for de enkelte juridiske enheter i praksis bli fastsatt på grunnlag av en risikobasert vurdering foretatt av konsernstyret. Vi vil på denne bakgrunn foreslå at avsnittet endres som følger:
”Alle foretak, uansett størrelse, som inngår i finanskonsern med en forvaltningskapital for egen og kunders regning som overstiger 10 milliarder kroner, skal ha internrevisjon. I finanskonsern som har ansett det hensiktsmessig å etablere internrevisjon på konsernnivå, vil denne enheten normalt også forestå internrevisjonen i enkeltforetakene, med utgangspunkt i et prinsipp om vesentlighet og risiko. I et konsern vil det være naturlig for konsernstyret selv å sikre seg et helhetlig bilde av revisjonens syn på konsernets samlede kontrollsituasjon. Forskriften innebærer i utgangspunktet krav om at hvert enkelt av datterselskapsstyrene minimum en gang pr. år mottar rapport fra internrevisjonen vedrørende forholdene i det aktuelle selskap, og at hvert selskapsstyre godkjenner internrevisjonens ressurser og planer for det aktuelle foretak på årlig basis. Når internrevisjonen er organisert på konsernnivå, og den samlede behandling av planer samt allokering av ressurser skjer på konsernnivå, vil behandlingen i det enkelte selskapsstyre kunne gis form av godkjennelse av de vedtak som er fattet på konsernnivå.”
Etter § 4-2 i internkontrollforskriften skal internrevisjonen ha rett til å møte i styremøtene. Vi mener at det kan være grunn til å overveie om veiledningen burde påpeke at styreordningen i det enkelte selskap bør legge til rette for at internrevisjonen har denne muligheten.
I FNHs høringsuttalelse av 11.10.02 ba vi Kredittilsynet overveie å ta inn i selve forskriften en stadfestelse av internrevisjonens rett til uinnskrenket innsyn. Slikt innsyn vil i utgangspunktet gjelde for det enkelte selskap. Når internrevisjonen er etablert på konsernnivå, må det forutsettes at det samme gjelder i forhold til hele konsernet.
Etter vårt syn bør dette prinsipp komme til uttrykk i veiledningen.
Med vennlig hilsen
FINANSNÆRINGENS HOVEDORGANISASJON
Finans og juridisk avdeling
Sverre Dyrhaug
Direktør
_____________
Herborg Horvei
Kontorsjef