Exempel på effektiv risk-

och kontrollrapportering

Hampus Pihl och Håkan Berg

20 maj, GRC 2015

Hos Transcendent Group möter du erfarna

konsulter inom governance, risk and compliance. Våra

tjänster skapar trygghet och möjligheter för

myndigheter, företag och andra organisationer

inom en rad olika branscher.

Transcendent Group har fyra år i rad utsetts till en

av Sveriges bästa arbetsplatser.

Om företaget

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Inledande övning

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Några saker att ha i beaktande

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Effektiv rapportering kräver

att du reflekterar över

• Syfte

• Mottagargruppen

– Kompetens

– Vill ha kontra bör vilja ha

– Aktiv efterfrågan kontra passivt

mottagande

• Systemstöd

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Målsättningar med rapportering

Mottagare

Rätt information

•Sova gott?

•Fatta beslut?

Tydlighet och förtroende

Rätt omfattning

I rätt tid

Rapportör

Tidseffektiv

Påvisa utfört arbete

Påvisa kvalitet

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Exempel på rapportering

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Processorienterad

Process Utvärdering

Process 1

Process 2

Process 3

Process 4

Process 5

Process 6

Process 7

Huvud

pro

cess

Stö

dp

roce

ss

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Organisationsbaserad

VD

enhet 1 enhet 2 enhet 3 enhet 4

ekonomi HR

IT marknad

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Områdesindelad

Verkligt exempel

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Systemstöd

• Från avancerade GRC-system till excelbaserade lösningar

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Exempel på excelbaserat verktyg

• Riskkatalog

• Riskvärdering

• Uppföljning

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

…för rapport och analys

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Tre exempel på hur en COSO-

baserad utvärdering kan

presenteras

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

COSO-baserad utvärdering:

rapportformat

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

= kräver åtgärd = fungerar delvis = fungerar ändamålsenligt

relevanta mål

identifiera och analysera risk

medvetenhet kring oegentligheter

identifiera och analysera förändringar

relevant information

strukturer och rutiner för intern kommunikation

strukturer och rutiner för extern kommunikation

löpande och

separata

utvärderingar

identifiera,

utvärdera och

kommunicera

brister

integritet och

etiska värden

oberoende och

uppföljning

organisations-

struktur, ansvar

och befogenheter

kompetens-

försörjning

ansvar och

påföljder

riskbedömninguppföljning

information och kommunikation

styrning och

kontrollmiljö

kontrollåtgärder

identifiera och utforma kontrollaktiviteter

identifiera och utforma generella IT-kontroller

riktlinjer och rutiner

Trafikljusbedömning per COSO-

komponent/-princip

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Nuläge och önskat läge

Integritet och etiska värden

Styrelse

Ledningens filosofi och verksamhetsstyrning

Organisationsstruktur

Kompetens

Roller och ansvar

HR

Mål

Rapportering av risker

Risk för bedrägeri beaktas

Koppling till riskbedömningen

Identifiera och utforma kontrollaktiviteter

Riktlinjer och rutiner

IT

Rapportering

Information om internkontroll

Intern kommunikation

Extern kommunikation

Löpande och separata utvärderingar

Rapportering av brister

Önskat läge Nuläge

Spindeldiagram utifrån mentometer

© T

ran

scen

den

t G

rou

p S

veri

ge

AB

2015

Diskussionsfrågor

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Frågor till mottagare

• Vilka rapporter får ni idag?

• Vilka rapporter får ni inte idag?

• Vilka rapporter efterfrågar ni?

• Rätt frekvens på rapportering?– Regelbunden eller vid enskilda händelser?

• Rätt omfattning på rapporter?

• Vilka egenskaper värdesätts?– Kvalitativ eller kvantitativ

• När är löpande text lämpligt?

– När är trafikljus lämpligt?

– Generell eller selektiv?

– Fakta och/eller analys?

• Vad kan förbättras?

• Feedback till rapportörer?– Krav, önskemål samt löpande återkoppling

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

Frågor till rapportörer

• Vilka rapporter skriver ni idag?

– Till vilka mottagare?

• Vilka ytterligare rapporter skulle ni vilja skriva?

• Vilka ytterligare mottagare skulle ni vilja nå?

• Feedback på rapporter från mottagare?

• Kravställning på rapporter från mottagare?

– Skillnader mellan olika mottagare/möten/forum?

– Skillnad mellan olika ämnen?

• Vilket systemstöd har ni i rapportgenerering?

• Bra respektive dåliga erfarenheter?

© T

ran

scen

den

t G

rou

p S

veri

ge A

B 2

015

www.transcendentgroup.com