Därför ska du satsa på en effektiv funktion för intern kontroll

män och kvinnor i kreativt möte på kontor

Intern kontroll utgör en hörnsten för en stabil verksamhet, särskilt nu när komplexiteten och förändringstakten i nationella och internationella lagar och förordningar blir allt intensivare. Samtidigt behöver företagen hänga med i den tekniska utvecklingen. Ovanpå allt detta ställs det högre krav från myndigheter på styrning, rapportering och transparens. Företagen ska dessutom se till att motverka bedrägeri och korruption i alla dess former.

Lyft blicken

För att skapa en effektiv intern kontroll behöver företagen lyfta blicken och "se runt hörnet". Med en framåtblickande analys kan man fånga verksamhetens mest relevanta risker. Och att hantera "rätt" risker är centralt för effektiviteten och legitimiteten i internkontrollarbetet.

Den teknologiska utvecklingen sätter press på den interna kontrollen. Det räcker inte längre att stämma av rapporter och bokföring. Man måste även se på de underliggande systemen och förändringar av dessa. Att till exempel implementera generella IT-kontroller är av stor vikt för att möta den växande risken för internetbedrägerier.

Fyra steg mot en effektiv intern kontroll

  1. Vare sig det rör sig om ett lösenordsskydd på datorn eller ett omfattande internkontrollramverk implementerat i hela verksamheten, finns den interna kontrollen där i någon form. Det intressanta blir därför inte att fråga om intern kontroll existerar, utan till vilken grad. Detta blir det första steget i livscykeln för intern kontroll, en nulägesanalys. 
  2. Sätt en förväntan om vart man vill komma över framtiden, kanske redan nästa verksamhetsår. Allt kan och bör inte vara lika kontrollerat i en effektiv organisation. I stället bör man fokusera på att hantera relevanta risker med effektiva kontroller. 
  3. När man identifierat var man är idag och vart man vill komma, inleds utvecklingsresan; hur man tar sig från nuläget till det önskade läget. Observera att när steg tre är slutfört, är resan inte över, man har snarare kommit en bra bit på vägen. 
  4. Analysera var man är, stanna upp och fråga sig hur långt har man kommit. Har företaget förändrats, har omvärlden förändrats? En ny nulägesanalys påbörjas och internkontrollhjulet är satt i rullning med en kontinuerlig utvärdering, utveckling och effektivisering.
     

Fakta om COSO

Vad innebär egentligen en god intern kontroll och hur vet jag att detta finns på plats? Vid frågeställningar som denna kan man arbeta med COSO-modellen, den mest använda modellen för intern kontroll.

COSO är en förkortning av Committee of Sponsoring Organizations of the Treadway Commission och är den organisation som ligger bakom COSO-kuben. Kuben är ett ramverk för att utvärdera och arbeta med en organisations interna styrning och kontroll kopplat till Operationella mål, Rapportering, och Efterlevnad av Lagar och Regler.
 

Hur ser dina försvarslinjer ut?

För att få en tydlig struktur i risk- och kontrollorganisationen brukar man använda begreppet "försvarslinjer".

Den första försvarslinjen är organisationen i den löpande verksamheten. Den äger sina respektive risker och arbetar med den dagliga interna kontrollen genom att identifiera, utvärdera, kontrollera och motverka risker, samt att se till att policys och styrande dokument efterföljs. De sätter upp lämpliga kontrollaktiviteter och ser till att dessa utförs på ett korrekt sätt.

Avgörande för effektiviteten beror på nyckelfaktorer som företagskultur som ledningen etablerar i verksamheten, samt tydligheten i personalens ansvarområden. Här finns även tydliga riktlinjer för hur information om kontrollavvikelser skall rapporteras och hur uppföljning och förbättringsarbete skall ske.

Den andra försvarslinjen utgörs av organ som övervakar intern kontroll, såsom företagsledning, revisionskommitté, definierade riskhanteringsfunktioner eller motsvarande compliance-avdelningar. Deras uppgift är att säkerställa att styrelsens riskaptit efterlevs i första linjen.

Den tredje försvarslinjen utgörs av en internrevisionsfunktion eller motsvarande objektiv intern funktion. Syftet att hjälpa organisationen att nå sina affärsmål genom att tillföra en oberoende, systematisk och disciplinerad ansats i arbetet att utvärdera och förbättra effektiviteten i verksamhetens riskhantering, interna kontroll och corporate governance-processer. Den tredje försvarslinjen skapar värde i stora bolag där det finns komplexa riskhanteringsstrukturer och i mindre bolag, där risk- och kontrollorganisationen är av en mer informell karaktär och svårare att utvärdera.

Den fjärde försvarslinjen utgörs av externa utvärderande organ, såsom externrevisorer, regulatorer, eller rådgivare. Dessa agerar oberoende i förhållande till hela den granskade verksamhetens organisation. Även om betydande trygghet och utveckling kan uppnås genom interna kvalitetssystem och processer, finns alltid ett inneboende hot kopplat till oberoendet i de interna organens utvärderingar.

Den fjärde, externa försvarslinjen bidrar med en högre nivå av tillförlitlighet och integritet och bidrar till att bygga större förtroende gentemot såväl externa intressenter, som gentemot ledning och styrelse inom företaget.

Att kombinera försvarslinjerna är en avgörande framgångsfaktor för en risk- och kontrollorganisation. Alla försvarslinjers uppgifter ska inkluderas: ett tydligt riskägandeskap i den löpande verksamheten som stöds av en riskhanteringsfunktion med löpande utvärderingar och utvecklingshjälp från internrevision och externrevision.
 

PwC:s riskramverk

Att definiera sitt risklandskap och identifiera affärsrisker är en grundläggande förutsättning för ett effektivt internkontrollarbete. PwC har utvecklat ett riskramverk, Risk Assurance Framework (RAF), som kan illustrera en mer handfast modell i risk-och kontrollorganisationens förändringsresa. Ramverket utgår från tre delar: risk, riskprocess och riskbemötande.

RAF hanterar hur organisationen fördelar uppgifter och ansvar för att bemöta riskerna, samt följa upp och vidareutveckla kontrollaktiviteterna, inom försvarslinjerna. Själva riskprocessen är en 6-stegsmodell som identifierar och hantera företagets affärsrisker i en logisk sekvens:

1. Riskstrategi

RAF är uppbyggd som en process och börjar med att etablera en generell riskstrategi. Här definieras företagets riskaptit, som matchas mot styrelsens och ledningens affärsmål för organisationen. Detta är ett viktigt första steg för att få igång den kulturella förändring som kan krävas för att utveckla den interna kontrollen.

2. Riskanalys

Riskanalysen identifierar, värderar och prioriterar företagets risker utifrån riskstrategien. Här är det av central betydelse att man förstår de risker som påverkar företaget. Vissa risker kan ha en katastrofal inverkan om de inte hanteras korrekt, medan andra innebär en direkt möjlighet för utveckling. I detta steg bör olika aspekter vägas in, inklusive hur megatrenderna kan påverka ens företag i framtiden. Finns det möjligheter att generera affärer utifrån dessa förändringar eller är de snarare områden som bör undvikas i så stor utsträckning som möjligt?

3. Design och implementering av rätt internkontroll

I design och implementeringssteget svarar de olika försvarslinjerna på de identifierade riskerna på sina respektive sätt för att tillsammans utveckla en effektiv risk- och kontrollorganisation. Den första försvarslinjen sätter upp lämpliga kontrollaktiviteter för att hantera risker. Den andra försvarslinjen anpassar policyer och riktlinjer till de nya riskerna och säkerställer efterlevnad av den nya kontrollstrukturen.

4. Utvärdera kontrollstrukturen

När riskerna är identifierade och värderade och kontroller finns på plats i olika försvarslinjer har vi en gedigen kontrollstruktur. Nu blir det viktigt att löpande övervaka och utvärdera kontrollstrukturen för att säkerställa att de identifierade riskerna täcks av kontrollerna och att hela riskorganisationen fungerar. Den tredje och fjärde försvarslinjen bidrar här genom sina granskningsaktiviteter med att verifiera att den interna kontrollen är effektiv och fungerar på ett korrekt sätt.

Felaktigheter och förbättringsområden rapporteras enligt en bestämd process för att säkerställa att åtgärder vidtas och att den löpande verksamheten inte utsätts för mer risk än acceptabelt. I detta skede hanteras de identifierade riskerna på ett effektivt sätt och felaktigheter upptäcks i tid.

5. Värdeskapande rapportering

I arbetet med validering av risk- och intern kontroll-processernas resultat får styrelse, ledning och övriga intressenter också formell bekräftelse och trygghet att risker hanteras i enlighet med den förväntan de har. Valideringsaktiviteterna kan vara formella revisionsrapporter eller internt utformade rapporter och valideringsprogram. Formell validering av processernas effektivitet och avvikelser ger tilltro till organisationen och bidrar till ett fokus på framtid och utveckling snarare än att "släcka bränder". En väl hanterad risk- och intern kontroll-process skapar förtroende hos externa intressenter såsom investerare, kunder, leverantörer, ägare och myndigheter.

6. Affärsvärde

Inför varje intern kontroll-process behöver vi säkerställa att vi förstår värdet av aktiviteten vi skapar. Intern kontroll-processer kan kategoriseras för att bidra till verksamheten med tre syften utifrån det värde som skapas:

  1. Aktiviteter som skapar värde genom till exempel bättre konkurrenskraft och lönsamhet och förbättra affärsprocesser
  2. Aktiviteter som skyddar värde, genom att ge trygghet i beslutsunderlag, säkerställa regelefterlevnad och skydda varumärket.
  3. Avkastning på investerade resurser, genom att utvärdera att de risk- och intern-kontrollprocesser som företaget investerar i, har ett väl motiverat syfte med avseende på verksamhetens affärsmål.
     

Kontakta oss

Gey Widengren

Partner, PwC Sverige

Tel 0709-29 28 08

Följ oss i sociala medier