Intern kontroll utgör en hörnsten för en stabil verksamhet, särskilt nu när förändringstakten i regelverk och den tekniska utvecklingen blir allt intensivare. Ovanpå allt detta ställs det högre krav från myndigheter på styrning, rapportering och transparens.
Vad är intern kontroll?
Intern kontroll handlar i grunden om att lyfta blicken och "se runt hörnet". Med en framåtblickande analys kan man fånga verksamhetens mest relevanta risker. Och att hantera "rätt" risker är centralt för effektiviteten och legitimiteten i internkontrollarbetet.
Den teknologiska utvecklingen sätter press på den interna kontrollen. Det räcker inte längre att stämma av rapporter och bokföring. Man måste även se på de underliggande systemen. Att till exempel implementera generella IT-kontroller är av stor vikt för att möta den växande risken för internetbedrägerier.
Committee of Sponsoring Organizations of the Treadway Commission ligger bakom COSO-kuben. Kuben är ett ramverk för att utvärdera och arbeta med en organisations interna styrning och kontroll kopplat till Operationella mål, Rapportering, och Efterlevnad av Lagar och Regler.
För att få en tydlig struktur i risk- och kontrollorganisationen brukar man använda begreppet "försvarslinjer".
Den första försvarslinjen är organisationen i den löpande verksamheten. Den arbetar med den dagliga interna kontrollen genom att identifiera, utvärdera och motverka risker, samt att se till att policys efterföljs. De sätter upp kontrollaktiviteter och ser till att dessa utförs på ett korrekt sätt.
Avgörande för effektiviteten beror på nyckelfaktorer som företagskultur och tydligheten i personalens ansvarområden. Här finns även tydliga riktlinjer för hur information om kontrollavvikelser skall rapporteras och hur uppföljning och förbättringsarbete skall ske.
Den andra försvarslinjen utgörs av organ som övervakar intern kontroll, såsom företagsledning, revisionskommitté, definierade riskhanteringsfunktioner eller motsvarande compliance-avdelningar. Deras uppgift är att säkerställa att styrelsens riskaptit efterlevs i första linjen.
Den tredje försvarslinjen utgörs av en internrevisionsfunktion eller motsvarande objektiv intern funktion. Syftet är att hjälpa organisationen att nå sina affärsmål genom att tillföra en oberoende, systematisk och disciplinerad ansats i arbetet att utvärdera och förbättra effektiviteten i verksamhetens riskhantering, interna kontroll och corporate governance-processer. Den tredje försvarslinjen skapar värde i stora bolag där det finns komplexa riskhanteringsstrukturer och i mindre bolag, där risk- och kontrollorganisationen är av en mer informell karaktär och svårare att utvärdera.
Den fjärde försvarslinjen utgörs av externa utvärderande organ, såsom externrevisorer, regulatorer, eller rådgivare. Dessa agerar oberoende i förhållande till hela den granskade verksamhetens organisation. Även om betydande trygghet och utveckling kan uppnås genom interna kvalitetssystem och processer, finns alltid ett inneboende hot kopplat till oberoendet i de interna organens utvärderingar. Den fjärde försvarslinjen erbjuder en högre nivå av tillförlitlighet och integritet och bidrar till att bygga större förtroende gentemot såväl externa intressenter, som gentemot ledning och styrelse inom företaget.
Att kombinera försvarslinjerna är en avgörande framgångsfaktor för en risk- och kontrollorganisation. Alla försvarslinjers uppgifter ska inkluderas: ett tydligt riskägandeskap i den löpande verksamheten som stöds av en riskhanteringsfunktion med löpande utvärderingar och utvecklingshjälp från internrevision och externrevision.
Att identifiera affärsrisker är en grundläggande förutsättning för ett effektivt internkontrollarbete. PwC:s Risk Assurance Framework (RAF) hanterar hur organisationen fördelar uppgifter och ansvar för att bemöta riskerna och vidareutvecklar kontrollaktiviteterna inom försvarslinjerna. Själva riskprocessen är en sexstegsmodell som identifierar och hanterar dina affärsrisker.
1. Riskstrategi
RAF börjar med att etablera en riskstrategi. Här definieras företagets riskaptit, som matchas mot styrelsens och ledningens affärsmål för organisationen. Detta är ett viktigt första steg för att få igång den kulturella förändring som krävs för att utveckla den interna kontrollen.
2. Riskanalys
Riskanalysen identifierar och prioriterar företagets risker utifrån riskstrategin. Här gäller det att förstå de risker som påverkar företaget. Vissa risker kan ha en katastrofal inverkan om de inte hanteras korrekt, medan andra innebär en direkt möjlighet för utveckling.
3. Design och implementering av rätt internkontroll
I design och implementeringssteget svarar de olika försvarslinjerna på de identifierade riskerna för att utveckla en effektiv risk- och kontrollorganisation. Den första försvarslinjen sätter upp lämpliga kontrollaktiviteter för att hantera risker. Den andra försvarslinjen anpassar policyer och riktlinjer till de nya riskerna och säkerställer efterlevnad av den nya kontrollstrukturen.
4. Utvärdera kontrollstrukturen
När riskerna är identifierade och värderade och kontroller finns på plats i olika försvarslinjer har du en gedigen kontrollstruktur. Nu blir det viktigt att löpande utvärdera kontrollstrukturen. Den tredje och fjärde försvarslinjen bidrar genom sina granskningsaktiviteter med att verifiera att den interna kontrollen fungerar. Felaktigheter och förbättringsområden rapporteras enligt en bestämd process. I detta skede hanteras riskerna och felaktigheter upptäcks i tid.
5. Värdeskapande rapportering
I arbetet med validering av risk- och intern kontroll-processernas resultat får styrelse, ledning och övriga intressenter också formell bekräftelse och trygghet att riskerna hanteras.
Valideringsaktiviteterna kan vara formella revisionsrapporter eller internt utformade rapporter och valideringsprogram. Formell validering av processernas effektivitet och avvikelser ger tilltro till organisationen och bidrar till ett fokus på framtid och utveckling snarare än att "släcka bränder".
En väl hanterad risk- och intern kontrollprocess skapar förtroende hos investerare, kunder, leverantörer, ägare och myndigheter.
6. Affärsvärde
Inför varje intern kontroll-process behöver du säkerställa att du förstår värdet av aktiviteten som skapas Intern kontroll-processer kan kategoriseras med tre syften utifrån det värde som skapas: