Internkontroll: Har du koll?

Internkontroll handlar om att kontrollera att verksamhetens når sina mål och gör vad den ska på ett effektivt sätt, att den finansiella rapporteringen är pålitlig och att lagar och regler följs. Internkontroll är en del av verksamhetens styrning och innebär oftast riskbedömningar och att arbeta fram och följa upp arbetsrutiner. Målet är att ledningen ska få bättre koll på verksamheten.

Internkontroll

Från myndigheters håll ställs ofta krav på regelefterlevnad i form av styrning, rapportering och transparens. I en snabbrörlig omvärld är det därför bra att ha en bra nulägesanalys och veta vart du befinner dig, för att sen kunna se vad verksamheten bör fokusera på framåt och arbeta för att nå dit.

De som arbetar med internkontroll i din verksamhet ska ses som en objektiv frikopplad enhet med friheten att systematiskt utvärdera organisationen. Slutmålet är att i högre grad nå affärsmålen. Vägen dit handlar ofta om målmedvetet riskhanteringsarbete.

Internkontrollarbetet ses ibland som ett obekvämt måste (kopplat till rapportering) och de som arbetar med internkontroll kan därför ha en kommunikativ uppförsbacke där mandat, tydlighet, informationsinhämtning och informationsspridning är viktig.

Anledningen till att du bör fundera över hur ni jobbar med internkontroll kan illustreras av de exempel på företag som misslyckats med att skapa en god intern styrning och kontroll: Du minns kanske Enron (2001), Skandia (2003), Försäkringskassan (2008) och HQ Bank (2010)? På senare tid har svenska banker, som fastnat i penningtvättskandaler, och covid-19 aktualiserat behovet av internkontroll.

GRC – det internationella begreppet för internkontroll

Governance, Risk och Compliance (GRC) är ett internationellt begrepp som bör ses som den internationella och bredare benämningen på internkontroll. Ett internationellt företag kan komma att kalla internkontrollarbetet eller det systematiska förbättringsarbetet för GRC-arbete, medan exempelvis IBM säger att GRC har att göra med IT, vilket säkert är rätt ur deras synvinkel.

Det finns en tendens till mer fokus på risk för de som arbetar med GRC i Sverige. Detta kan ha att göra med att begreppet är internationellt och att regelefterlevnaden därför skiljer sig mellan olika länder.

Vad som är en risk är inte alltid lätt att utläsa; rapporter, bokföring och IT-säkerhet är inte det enda som behöver kontrolleras idag. Ofta går det att se internkontroll som ett systematiskt förbättringsarbete, men också som systematisk kontroll.

Egenkontroll

I vissa branscher är det vanligt att benämna internkontroll som egenkontroll. Egenkontroll har mer att göra med regelefterlevnad och specifika lagar. Egenkontrollen kan för dessa företag ses som en del av internkontrollen. För livsmedelsbranschen och vård- och omsorgsföretag är egenkontroll ett vanligt begrepp. Hypergens partner PwC har tagit fram en lösning för små- och medelstora företag där kunderna kan arbeta med sin riskanalys och uppföljning.

Internkontrollplan och COSO

Committee of Sponsoring Organizations of the Treadway Commissions (COSO) ramverk är den mest vedertagna modellen för internkontroll och består av 17 utarbetade principer fördelade på fem områden.

Det finns andra ramverk och PwC har exempelvis utarbetat Risk Assurance Framework (RAF).

Internkontroll som arbetssätt kan även enkelt kopplas till bredare begrepp som hållbar utveckling, målstyrning och Corporate Performance Management.

1. Kontrollmiljö

Kontrollmiljö är processer och strukturer som har att göra med hur den interna kontrollen bör genomföras och vad som bör kontrolleras. Detta brukar innefatta vision, värderingar, företagskultur, ansvarsfördelning, arbetsgivarvarumärkets faktiska attraktionskraft, motivation och hur väl mål uppfylls.

2. Riskbedömning

Genom att se till interna och externa risker kan du blottlägga risker i din organisation, och på så sätt ta verksamheten närmare målen. Riskbedömningen ger dig också ett underlag för att jobba bort riskerna.

Det är viktigt att först specificera mål tillräckligt tydligt för att kunna ställa riskerna i relation till målen och därigenom måluppfyllelsen. Kategorisera riskerna i en riskmatris efter hur väsentliga de är i relation till måluppfyllelse och regelefterlevnad.

Exempel på mål: Verksamhetsmål, rapporeringsmål och regelefterlevnadsmål.

Exempel på risker: Förändringar i verksamheten, förändringar i ledarskapet, bedrägeri och påtryckningsrisker, attityder och rationaliseringar, ekonomiska och finansiella risker och förändringar i den externa miljön.

3. Kontrollaktiviteter

När du känner till riskerna bör du utforma åtgärder för att minska, förebygga eller få bort dem helt. Vissa aktiviteter kommer behöva byggas in i rutinartade processer och andra åtgärder kommer vara mer indirekta, exempelvis de som kopplar mot omvärlden (och inte har att göra med regelefterlevnad).

Det kan hända att du måste bygga upp nya processer genom kompetensutveckling och kommunikationsinsatser. Även i riskminimeringsarbetet går det att arbeta med resultatmätning och mål.

4. Information och kommunikation

Eftersom många missuppfattningar kan härledas till kommunikationsproblem är just kommunikation en extra viktig del av internkontroll. Ofta kommuniceras för mycket till ledningen och ofta är det svårt att veta vad ledningen vill ha för att kunna fatta beslut. Detta förenklas, på ett genomgående och grundligt sätt, av mjukvaror som Hypergene.

Här kan beslutsfattare själva hämta den information de vill och på samma sätt kan du som utför internkontrollen enkelt sammanfatta information i årshjul (planeringsöversikt), rapporter och dashboards. Systemet gör även inrapportering enklare eftersom det finns ett systemstöd där data från affärssystem, personalsystem, Excel-filer och annat kan kategoriseras och visualiseras. Hypergene har även stöd för din målstyrning.

5. Övervakning

Uppföljning är viktigt för att kunna ta analysen vidare till ett övervaknings- och kontrollstadium. Har de olika momenten utförts på rätt sätt? Har målen nåtts? Vad kan göras bättre till nästa gång? Har befogenheter, uppdrag, ansvar och kunskap fördelats rätt i organisationen?

Exempel – koppling till internrevision och regelefterlevnad

Kinnevik-koncernen har valt att offentliggöra hur de arbetar med internkontroll i internkontrollrapporter. Fokus ligger på finansiell rapportering och de hänvisar till att styrelsen har ett ansvar gällande aktiebolagslagen och ”Koden för den interna kontrollen”. Kinnevik har använt sig av COSO-ramverket.

Collector är en bank och har inrättat en särskild funktion för internrevision. Collector Banks tanke med den interna kontrollen är i hög grad att underlätta internrevisionen: ”Internrevisionen hjälper organisationen att nå sina mål genom att systematiskt och strukturerat värdera riskhantering, styrning och kontroll samt ledningsprocesser och föreslå förändringar där dessa kan bidra till ökad effektivitet.”

Även Collector Bank understryker att det är styrelsens ansvar och nämner ansvaret i samband med aktiebolagslagen, Svensk kod för bolagsstyrning och årsredovisningslagen. Årsredovisningslagen ställer krav på att bolag årligen ska beskriva bolagets system för intern kontroll och riskhantering avseende den finansiella rapporteringen. Andra regelverk är Sarbanes-Oxley Act och Förordningen om intern styrning och kontroll.

Tillförlitlig rapportering – internkontrollens bonus och mål

När du arbetar med internkontroll använder du ofta ett system som Hypergene för att få fram rapporter. Att kunna få fram rätt data i rapportform i samband med ditt internkontrollarbete kan ses som ett mål i sig, eller som en bonus.

Extern finansiell rapportering

  • Årsredovisning
  • Delårsrapport
  • Myndighetsrapportering

Extern icke-finansiell rapportering

  • Förvaltningsberättelse
  • Bolagsstyrningsrapport
  • Hållbarhetsredovisning

Intern finansiell rapportering

  • Resultatrapporter per affärsområde
  • Budget
  • Kassaflödesanalyser

Intern icke-finansiell rapportering

  • Styrelserapportering
  • Kundundersökningar
  • Medarbetarindex

Hypergenes mjukvara ger dig underlag för beslut genom att samla in och presentera data från verksamheten för ledningen, chefer och för dig som behöver ha koll på verksamhetsstyrningen. Hypergene hjälper dig fatta beslut, styra mot mål och nå en högre nivå av prestation och effektivitet. Ta en snabbtitt på en kort videodemo här!

Verktyg för internkontroll