Endring av internkontrollforskriften

  • Publisert: 15. april 2008
Utskrift


Kredittilsynet
Postboks 100 Bryn
0611 OSLO

Dato: 15.04.2008
Vår ref.:2007/00735  – CF
Deres ref.: 07/12201


Finansnæringens Hovedorganisasjon (FNH) viser til Kredittilsynets høringsbrev av 05.12.2007 om forslag til ny forskrift om risikostyring og internkontroll, samt epost fra saksbehandler Knut Lykke 14.03.2007 om utsettelse av høringsfristen til 15.04.2008.


1. Hovedkonklusjoner


FNH støtter Kredittilsynets forslag om å gi en ny forskrift om risikostyring og internkontroll. Vi deler Kredittilsynets vurdering om at endringer i den øvrige finansmarkedsreguleringen og internkontrollteori (COSO 2) tilsier en gjennomgang og vurdering av gjeldende internkontrollforskrift. FNH er enig i at det er behov for å finne en naturlig samordning med kapitalkravsreglene for å unngå duplikering av innholdsmessig tilnærmet like krav.


FNHs øvrige merknader er i korthet:



  • Forskriftsutkastet bør definere begrepene risikostyring og internkontroll. Utkastet kan gi inntrykk av at det her er tale om to forskjellige prosesser.

  • Kapitalkravsforskriften nødvendiggjør nærmere samordning med internkontrollforskriften. FNH gjør oppmerksom på at en tilsvarende avgrensningsproblematikk vil oppstå ved implementering av Solvency II – regelverket for forsikring.

  • FNH etterlyser et klarere konsernperspektiv i forskriftsutkastet.

  • Fortsatt fremstår reglene om risikostyring og internkontroll som noe vanskelig tilgjengelig for brukerne av forskriften. FNH etterlyser bedre veiledning i praktiseringen av regelverket, gjerne ved publisering av ”best practice”.


2. Redaksjonelle endringer i forskriften og innføring av kravet til risikostyring 

Det legges i høringsbrevet til grunn at endringene som foreslås først og fremst er av redaksjonell art og at endringene ikke representerer vesentlige substansielle endringer for foretak som i dag er underlagt kravene i internkontrollforskriften. En sentral redaksjonell endring er imidlertid at forslaget til ny forskrift innfører risikostyring som et nytt element i internkontrollforskriften, derav også den foreslåtte endring av forskriftens navn.


Om bakgrunnen for bestemmelsene om risikostyring viser Kredittilsynet til den senere utvikling i det teoretiske grunnlaget for internkontroll, som har gått i retning av større vekt på helhetlig risikostyring. Kredittilsynet uttaler i høringsnotatet (s. 2) at ”internkontrollen er en del av foretakenes risikostyring og bør vurderes satt i en helhetlig risikostyringssammenheng, i samsvar med COSO 2”. Det argumenteres videre med at en slik endring ”vil kunne bidra til å øke den generelle forståelsen for behovet for risikostyring og internkontroll, samt løfte fokus bort fra kontrollbegrepet som kan oppfattes som negativt ladet, og over på risikostyring som er et begrep som ut fra dagens tenkning og praksis gir riktigere assosiasjoner til de sentrale prosessene en her vil fokusere på.”


Også etter gjeldende internkontrollforskrift stilles det krav til at foretaket skal ha et risikostyringsperspektiv i gjennomføringen av den interne kontroll, jf. gjeldende forskrift § 3-2. FNH er enig i at man ved revisjon av internkontrollforskriften i samsvar med COSO 2 bør integrere et krav til risikostyring i forskriften. Etter det FNH legger til grunn skiller ikke COSO 2 mellom risikostyring og intern kontroll som to separate prosesser, men beskriver en helhetlig prosess som integrerer alle elementene fra det første rammeverket om intern kontroll. I høringsnotatet i punkt 3.2 om forskriftens innhold og utforming vises det også til at; ”Internkontrollen er en del av foretakets risikostyring og bør settes i en helhetlig risikostyringssammenheng, jf. COSO 2”.


Den foreslåtte utforming av ny forskrift kapittel 3 kan etter FNHs vurdering derimot gi inntrykk av at det oppstilles krav om to separate prosesser, og dermed skape usikkerhet ved konklusjonen i høringsnotatet. Det er av stor betydning for brukerne av regelverket at begrepsapparatet benyttes på en konsekvent og entydig måte gjennom hele forskriften. For eksempel synes begrepet ”internkontroll” både å bli benyttet som beskrivelse på en prosess og som en beskrivelse av enkeltelementer i prosessen, jf. ny § 3–2 om ”etterlevelse av internkontrollen”. Det synes her som om begrepet ”internkontrollen” refererer til de to enkeltelementene ”valgte tiltak” (former for håndtering av risiko) og ”kontrollaktiviteter” (for å sikre at risikohåndteringen utføres på en effektiv måte).


FNH vil på denne bakgrunn be om at Kredittilsynet gjennomgår begrepsapparatet i utkastet til forskrift på nytt. Etter vårt syn hadde det vært en stor fordel om forskriften ga en nærmere definisjon av nøkkelbegrepene risikostyring og internkontroll (f.eks ved en egen bestemmelse i ny forskrift kapittel 1). Dette er for så vidt en svakhet som også er fremtredende ved gjeldende internkontrollforskrift og som nok har sammenheng med at Kredittilsynets hjemmelsgrunnlag opprinnelig var begrenset til å regulere dokumentasjon av  internkontrollen. Fortsatt mangler imidlertid forskriftsteksten en pedagogisk forankring av nøkkelbegrepene risikostyring og internkontroll (utover det som følger av kravene til risikostyring i ny § 3-1).


3. Forholdet til Kapitalkravsforskriften

Kapitalkravsforskriften, som gjennomfører deler av det nye kapitaldekningsregimet basert på Basel II i norsk rett, trådte i kraft 01.01.2007. Regelverket pålegger foretakene å vurdere sitt konkrete kapitalbehov for å dekke alle risikoer som er eller kan bli aktuelle. I denne forbindelse er det også gitt utfyllende bestemmelser om risikostyring og internkontroll (kapittel 47). 


Et sentralt spørsmål i høringen er hvorvidt de foretak som er underlagt kapitalkravsforskriften, i tillegg skal forutsettes å være omfattet av internkontrollforskriften. Kredittilsynet konkluderer i høringsnotatet med at mange av bestemmelsene i kapitalkravsforskriften og internkontrollforskriften er sammenfallende, selv om forskriftene har ulik tilnærming og struktur.


FNH antar i likhet med Kredittilsynet at det åpenbart er behov for en samordning mellom de to forskriftene. Gjennomføring av ICAAP–prosessene som følger av kapitalkravsforskriften, setter omfattende krav til foretakets riskogjennomgang og –styring. Etter FNHs vurdering er det for å unngå dobbeltregulering, hensiktsmessig å unnta de generelle kravene til risikostyring og internkontroll for de foretak som er underlagt kapitalkravsforskriften i de to forskriftene. FNH er for så vidt enig i at det i en overgangsperiode kan være hensiktsmessig å beholde internkontrollforskriftens krav til rapportering i linjen og internrevisjon også for disse foretakene. 


Høringsnotatet omtaler ikke forhold knyttet til bestemmelser om internkontroll på forsikringsområdet. Forsikringsselskaper er i dag ikke underlagt kapitalkravsforskriften, selv om den generelle bestemmelsen finansieringsvirksomhetsloven § 2-9 også får anvendelse på forsikringsselskaper. Som kjent er EU i ferd med å utarbeide nye soliditetsregler for forsikringsselskaper. Regelverket vil sannsynligvis også innebefatte regler om styring og kontroll, etter modell av Basel II reglene. FNH antar at det ved implementering av Solvency II vil oppstå samme type dupliseringsproblemer, og forutsetter at Kredittilsynet da velger tilsvarende løsning. For bransjen er det viktig at Kredittilsynet i en slik situasjon vurderer tilpasninger til bestemmelsene om risikostyring og internkontroll, etter modell av den samordning som foreslås i ny forskrift, jf. omtalen ovenfor.

4. Manglende konsernperspektiv

Gjeldende internkontrollforskrift er i liten grad utformet med tanke på konsernperspektiv. FNH har tidligere tatt opp denne problemstillingen med Kredittilsynet, senest i forbindelse med forskriftsendringen i 2002 vedrørende innføring av bestemmelsene om internrevisjon. Kredittilsynet har i Rundskriv 16/2003 gitt noen presiseringer med tanke på etterlevelsen av kravene i konsern, men noen utfyllende veiledning fremkommer heller ikke her. 


Høringsnotatet omtaler ikke denne grensedragning som er så viktig i praksis for norsk finansnæring. I særmotivene til forskriftsutkastets § 1-1 (høringsnotatet s. 20 fjerde avsnitt) heter det at: ”betydningen av at forskriften gjøres gjeldende for morselskapet vil være at forskriften vil gjelde for risikostyringen og internkontrollen på konsernnivå. (…) Konsernspissen vil måtte forholde seg til de risikovurderinger som gjøres i de datterselskap som er omfattet av forskriften og gjennomføre de tiltak som er nødvendig for å påse at virksomheten i konsernet drives på en forsvarlig måte”.


FNH bemerker at Kredittilsynet med ovennevnte uttalelser har valgt en svært indirekte tilnærming til spørsmålet om hvilket ansvar morselskapet og dets ledelse har for risikostyring og internkontroll på datterselskapsnivå. Vi antar at dette spørsmålet vil inngå som en naturlig del av Banklovkommisjonens arbeid med nærmere utformingen av regelverket om internkontroll (som en del av arbeidet med en ny samlelov for finansforetak), jf. Kredittilsynets omtale av dette i høringsnotatet pkt. 3.11 (s. 19 siste avsnitt). I påvente av en slik bred lovbehandling bør Kredittilsynet vurdere å ta inn en bestemmelse i forskriften om risikostyring og internkontroll i konsern (forholdet mellom konsernspiss og døtre). Alternativt kan det gis (utfyllende) veiledning om tilsynets syn i rundskriv.


5. Øvrige endringer mv.

Etter forslaget til ny forskrift utvides virkeområdet til nye grupper av foretak under tilsyn av Kredittilsynet. FNH gjør oppmerksom på at ingen av de nye foretaksgruppene - eiendomsmeglingsforetak, inkassoforetak og regnskapsførerselskaper - faller inn under de grupper av foretak som pr. i dag er medlemmer av FNH. Det synes imidlertid hensiktsmessig å innføre krav til risikostyring og internkontroll også for de nevnte grupper av foretak, forutsatt at det samtidig innføres et prinsipp om forholdsmessighet i forskriften. Sistnevnte prinsipp vil for øvrig også være av betydning for foretaksgrupper som allerede er omfattet av gjeldende forskrift. I lys av utviklingen hvor det stilles stadig utvidede krav til foretakenes internkontroll, representerer dette en viktig presisering. 


FNH konstaterer at det fortsatt er et stort behov for informasjon om hvordan kravene i internkontrollforskriften skal implementeres. Særlig gjelder dette for mindre finansbedrifter. FNH er enig i at det bør være et mål at foretaket selv utformer internkontrollen på bakgrunn av en konkret risikogjennomgang, og at internkontrollen historisk nok har båret preg av å være en øvelse som har vært utført for å tilfredstille internkontrollforskriften, og ikke som et verktøy i risikostyringsprosessen. Det bemerkes likevel at dette kan skyldes at foretakene i liten grad har fått konkret veiledning om hvordan forskriftskravene skal etterleves i praksis, f.eks når det gjelder hvilken dokumentasjon foretaket skal utarbeide.


FNH vil på denne bakgrunn henstille Kredittilsynet om å utarbeide mer utfyllende veiledning på dette området, gjerne ledsaget av en type ”best practice” dokument.


6. Noen konkrete merknader til enkeltbestemmelser i utkastet til ny forskrift


Nedenfor følger noen merknader til enkeltbestemmelser i forskriftsutkastet:


§ 1-2 
Etter ny § 1-2 annet pkt kan foretakets styre ”etter en konkret vurdering benytte de ulike metoder som passer best i forhold til ulike risikoområder”. I kravet til at man ved valg av metode skal benytte de som passer best i forhold til foretakets ulike risikoområder ligger det implisitt et krav om et skjønn eller en konkret vurdering fra foretakets side. Etter FNHs vurdering er da kravet om at dette skal skje ”etter en konkret vurdering” en unødvendig presisering.


§ 2-1

I ny § 2-1 reguleres styrets ansvar for risikostyring og internkontroll.


Pkt 3 setter krav til utarbeidelse av overordnede retningslinjer for virksomheten. I annet punktum heter det at ”Det bør fremgå hvilken risikoprofil foretaket skal ha, samt hvilke risikorammer som gjelder der hvor dette er relevant.” Slik annet punktum er formulert fremstår bestemmelsen mer som en anbefaling enn som en regulering. Etter FNHs vurdering er det mer hensiktsmessig å gi anbefalinger om etterlevelse av bestemmelsen i en veiledning/rundskriv, enn i selve forskriftsteksten.


Pkt 4 setter krav til at styret fastsetter prinsipper for risikostyring og internkontroll. Etter forslaget skal prinsippene fastsettes ”for foretaket som helhet og innenfor de ulike virksomhetsområder.” Etter FNHs vurdering må det sentrale her være foretakets prinsipper for foretaket som helhet. Vi kan ikke se at det her er nødvendig at dette i tillegg gjøres for hvert enkelt forretningsområde.


Pkt 8 setter krav til at styret skal ”evaluere sitt arbeid og sin kompetanse knyttet til foretakets risikostyring og internkontroll minimum årlig.”  FNH gjør oppmerksom på at det i ”Norsk Anbefaling om Eierstyring og selskapsledelse”, heter (i nr. 9 om styrets arbeid) at styret skal evaluere sitt arbeid og kompetanse årlig. I dette ligger et krav til evaluering av styrets arbeid og kompetanse innenfor de fagområder som selskapets virksomhet omfatter, herunder risikostyring og internkontroll. FNH er usikre på om det er nødvendig med et forskriftskrav som pålegger styret å evaluere kompetansen spesifikt knyttet til risikostyring og internkontroll ved siden av det krav som allerede følger av den generelle anbefalingen.


§ 2-2

I utkastet til ny § 2-2 om daglig leder er det i pkt 1 og 2 formuleringer om "etter retningslinjer fastsatt av styret" og " i samsvar med styrets retningslinjer". Henvisningen til styret innebærer indirekte et krav om at styret fastsetter slike retningslinjer, jf. ny § 2-1 pkt. 3 og 4. Styrets plikter følger imidlertid allerede av § 2-1 og det er da ikke nødvendig å henvise til annet enn ”foretakets retningslinjer ”.


§ 4-1

Kravet til internrevisjon reguleres av ny § 4-1. Etter annet ledd skal leder av internrevisjonen ”avgi rapport om internkontrollen" minimum en gang pr. år. FNH bemerker at det synes som man ved utforming av bestemmelsen har hatt i tankene parallellen til den vurdering av internkontrollen som foretaket og dets ledere skal gjennomføre etter ny § 3-2. Bestemmelsen har imidlertid ingen henvisning til kravet til risikostyring som er omtalt i ny § 3-1. Det vises for øvrig til FNHs generelle merknader til begrepsbruken i forskriftsutkastet ovenfor, herunder behovet for klare definisjoner.



Med vennlig hilsen
Finansnæringens Hovedorganisasjon


Arne Skauge            Carl Flock
adm. direktør            fagsjef


Levert av ITverket EPiServer