Skip to content Skip to footer
Sök
PwC

Visar resultat

Därför ska du satsa på en effektiv funktion för intern kontroll

män och kvinnor i kreativt möte på kontor

Intern kontroll utgör en hörnsten för en stabil verksamhet, särskilt nu när förändringstakten i regelverk och den tekniska utvecklingen blir allt intensivare. Ovanpå allt detta ställs det högre krav från myndigheter på styrning, rapportering och transparens. 

Vad är intern kontroll?

Intern kontroll handlar i grunden om att lyfta blicken och "se runt hörnet". Med en framåtblickande analys kan man fånga verksamhetens mest relevanta risker. Och att hantera "rätt" risker är centralt för effektiviteten och legitimiteten i internkontrollarbetet.

Den teknologiska utvecklingen sätter press på den interna kontrollen. Det räcker inte längre att stämma av rapporter och bokföring. Man måste även se på de underliggande systemen. Att till exempel implementera generella IT-kontroller är av stor vikt för att möta den växande risken för internetbedrägerier.

Så arbetar du effektivt med intern kontroll

  1. Vare sig det rör sig om ett lösenordsskydd på datorn eller ett omfattande internkontrollramverk implementerat i hela verksamheten, finns den interna kontrollen där i någon form. Det intressanta blir därför inte att fråga om intern kontroll existerar, utan till vilken grad. Detta blir det första steget i livscykeln för intern kontroll, en nulägesanalys. 
  2. Sätt en förväntan om vart man vill komma över framtiden, kanske redan nästa verksamhetsår. Allt kan inte vara lika kontrollerat i en effektiv organisation. Fokusera på att hantera relevanta risker med effektiva kontroller. 
  3. När man identifierat var man är idag och vart man vill komma, inleds utvecklingsresan; hur man tar sig från nuläget till det önskade läget. 
  4. Analysera var man är, stanna upp och fråga dig hur långt man kommit. Har företaget förändrats, har omvärlden förändrats? En ny nulägesanalys påbörjas och internkontrollhjulet är satt i rullning med en kontinuerlig utvärdering, utveckling och effektivisering.

COSO: den mest använda modellen för intern kontroll.

Committee of Sponsoring Organizations of the Treadway Commission ligger bakom COSO-kuben. Kuben är ett ramverk för att utvärdera och arbeta med en organisations interna styrning och kontroll kopplat till Operationella mål, Rapportering, och Efterlevnad av Lagar och Regler.

 

Hur ser dina försvarslinjer ut?

För att få en tydlig struktur i risk- och kontrollorganisationen brukar man använda begreppet "försvarslinjer".

Den första försvarslinjen är organisationen i den löpande verksamheten. Den arbetar med den dagliga interna kontrollen genom att identifiera, utvärdera och motverka risker, samt att se till att policys efterföljs. De sätter upp  kontrollaktiviteter och ser till att dessa utförs på ett korrekt sätt.

Avgörande för effektiviteten beror på nyckelfaktorer som företagskultur och tydligheten i personalens ansvarområden. Här finns även tydliga riktlinjer för hur information om kontrollavvikelser skall rapporteras och hur uppföljning och förbättringsarbete skall ske.

Den andra försvarslinjen utgörs av organ som övervakar intern kontroll, såsom företagsledning, revisionskommitté, definierade riskhanteringsfunktioner eller motsvarande compliance-avdelningar. Deras uppgift är att säkerställa att styrelsens riskaptit efterlevs i första linjen.

Den tredje försvarslinjen utgörs av en internrevisionsfunktion eller motsvarande objektiv intern funktion. Syftet är att hjälpa organisationen att nå sina affärsmål genom att tillföra en oberoende, systematisk och disciplinerad ansats i arbetet att utvärdera och förbättra effektiviteten i verksamhetens riskhantering, interna kontroll och corporate governance-processer. Den tredje försvarslinjen skapar värde i stora bolag där det finns komplexa riskhanteringsstrukturer och i mindre bolag, där risk- och kontrollorganisationen är av en mer informell karaktär och svårare att utvärdera.

Den fjärde försvarslinjen utgörs av externa utvärderande organ, såsom externrevisorer, regulatorer, eller rådgivare. Dessa agerar oberoende i förhållande till hela den granskade verksamhetens organisation. Även om betydande trygghet och utveckling kan uppnås genom interna kvalitetssystem och processer, finns alltid ett inneboende hot kopplat till oberoendet i de interna organens utvärderingar. Den fjärde försvarslinjen erbjuder en högre nivå av tillförlitlighet och integritet och bidrar till att bygga större förtroende gentemot såväl externa intressenter, som gentemot ledning och styrelse inom företaget.

Att kombinera försvarslinjerna är en avgörande framgångsfaktor för en risk- och kontrollorganisation. Alla försvarslinjers uppgifter ska inkluderas: ett tydligt riskägandeskap i den löpande verksamheten som stöds av en riskhanteringsfunktion med löpande utvärderingar och utvecklingshjälp från internrevision och externrevision.
 

PwC:s riskramverk

Att identifiera affärsrisker är en grundläggande förutsättning för ett effektivt internkontrollarbete. PwC:s  Risk Assurance Framework (RAF)  hanterar hur organisationen fördelar uppgifter och ansvar för att bemöta riskerna och vidareutvecklar kontrollaktiviteterna inom försvarslinjerna. Själva riskprocessen är en sexstegsmodell som identifierar och hanterar dina affärsrisker.

 

1. Riskstrategi

RAF börjar med att etablera en  riskstrategi. Här definieras företagets riskaptit, som matchas mot styrelsens och ledningens affärsmål för organisationen. Detta är ett viktigt första steg för att få igång den kulturella förändring som krävs för att utveckla den interna kontrollen.

2. Riskanalys

Riskanalysen identifierar och prioriterar företagets risker utifrån riskstrategin. Här gäller det att förstå de risker som påverkar företaget. Vissa risker kan ha en katastrofal inverkan om de inte hanteras korrekt, medan andra innebär en direkt möjlighet för utveckling. 

3. Design och implementering av rätt internkontroll

I design och implementeringssteget svarar de olika försvarslinjerna på de identifierade riskerna för att utveckla en effektiv risk- och kontrollorganisation. Den första försvarslinjen sätter upp lämpliga kontrollaktiviteter för att hantera risker. Den andra försvarslinjen anpassar policyer och riktlinjer till de nya riskerna och säkerställer efterlevnad av den nya kontrollstrukturen.

4. Utvärdera kontrollstrukturen

När riskerna är identifierade och värderade och kontroller finns på plats i olika försvarslinjer har du en gedigen kontrollstruktur. Nu blir det viktigt att löpande utvärdera kontrollstrukturen. Den tredje och fjärde försvarslinjen bidrar genom sina granskningsaktiviteter med att verifiera att den interna kontrollen fungerar. Felaktigheter och förbättringsområden rapporteras enligt en bestämd process. I detta skede hanteras riskerna och felaktigheter upptäcks i tid.

5. Värdeskapande rapportering

I arbetet med validering av risk- och intern kontroll-processernas resultat får styrelse, ledning och övriga intressenter också formell bekräftelse och trygghet att riskerna hanteras.

 Valideringsaktiviteterna kan vara formella revisionsrapporter eller internt utformade rapporter och valideringsprogram. Formell validering av processernas effektivitet och avvikelser ger tilltro till organisationen och bidrar till ett fokus på framtid och utveckling snarare än att "släcka bränder". 

En väl hanterad risk- och intern kontrollprocess skapar förtroende hos investerare, kunder, leverantörer, ägare och myndigheter.

6. Affärsvärde

Inför varje intern kontroll-process behöver du säkerställa att du förstår värdet av aktiviteten som skapas Intern kontroll-processer kan kategoriseras med tre syften utifrån det värde som skapas:

  1. Aktiviteter som skapar värde genom till exempel bättre konkurrenskraft och lönsamhet och förbättrade affärsprocesser
  2. Aktiviteter som skyddar värde, genom att ge trygghet i beslutsunderlag, säkerställa regelefterlevnad och skydda varumärket.
  3. Avkastning på investerade resurser, genom att utvärdera att de risk- och intern-kontrollprocesser som företaget investerar i, har ett väl motiverat syfte enligt verksamhetens affärsmål.
     

Kontakta oss

Gey Widengren

Gey Widengren

Partner, PwC Sverige

Tel 0709-29 28 08

Fredrik Hellström

Fredrik Hellström

Director / Rådgivare, PwC Sverige

Tel 0709-29 37 65

Följ oss i sociala medier
Hide