Internkontroll: Har du oversikt?
Internkontroll handler om å kontrollere at virksomheten når målene sine og gjør det den skal på en effektiv måte, at den finansielle rapporteringen er pålitelig og at lover og regler følges. Internkontroll er en del av virksomhetens styring og innebærer oftest risikovurderinger og det å arbeide fram og følge opp arbeidsrutiner. Målet er at ledelsen skal få bedre oversikt over virksomheten.
Fra myndighetens side stilles det ofte krav til overholdelse av regler i form av styring, rapportering og åpenhet. I en raskt omskiftende verden er det derfor godt å ha en god situasjonsanalyse og vite hvor du befinner deg, for siden å kunne se hva virksomheten bør fokusere på fremover og gjøre for å nå dit.
De som jobber med internkontroll i virksomheten må ses på som en objektiv frittstående enhet med friheten til å vurdere organisasjonen systematisk. Sluttmålet er å i høyere grad nå forretningsmålene. Veien dit handler ofte om bevisst risikostyringsarbeid.
Internkontrollarbeidet ses i blant som et ubekvemt krav (koblet til rapportering) og de som arbeider med internkontroll kan derfor ha en kommunikativ oppoverbakke der mandat, tydelighet, informasjonsinnhenting og informasjonsspredning er viktig.
Grunnen til at du bør tenke over hvordan dere jobber med internkontroll, kan illustreres med eksempler på bedrifter som mislykkes i å skape en god intern styring og kontroll. Du husker kanskje Enron (2001), Skandia (2003), Försäkringskassan (2008) og HQ Bank (2010)? I den senere tid har svenske banker, som har blitt fanget i hvitvaskingsskandaler, og Covid-19 aktualisert behovet for internkontroll.
GRC – DET INTERNASJONALE BEGREPET FOR INTERNKONTROLL
Governance, Risk and Compliance (GRC) er et internasjonalt begrep som bør ses som den internasjonale og bredere benevnelsen på internkontroll. Et internasjonalt selskap kan komme til å kalle internkontrollarbeidet eller det systematiske forbedringsarbeidet for GRC-arbeid, mens IBM for eksempel sier at GRC har med IT å gjøre, noe som sikkert stemmer sett fra deres synsvinkel.
Det er en tendens til å fokusere mer på risiko for dem som arbeider med GRC i Sverige. Dette kan skyldes at begrepet er internasjonalt og at etterlevelsen er ulik for forskjellige land.
Det som i dag er en risiko, er ikke alltid lett å tolke; rapporter, bokføring og IT-sikkerhet er ikke det eneste som må kontrolleres i dag. Ofte kan man se på internkontroll som et systematisk forbedringsarbeid, men også som systematisk kontroll.
Egenkontroll
I enkelte bransjer er det vanlig å kalle internkontroll for egenkontroll. Egenkontroll har mer å gjøre med etterlevelse og spesifikke lover. Egenkontrollen kan for disse selskapene ses på som en del av internkontrollen. For næringsmiddelbransjen og pleie- og omsorgsbedrifter er egenkontroll et vanlig begrep.
INTERNKONTROLLPLAN OG COSO
Committee of Sponsoring Organizations of the Treadway Commissions (COSO)-rammeverket er den mest brukte modellen for internkontroll og består av 17 utarbeidede prinsipper fordelt på fem områder.
Internkontroll som arbeidsmåte kan til og med kobles til videre begrep som bærekraftig utvikling, målstyring og Corporate Performance Management.
1. Kontrollmiljø
Kontrollmiljø er prosesser og struktur som omhandler hvordan den interne kontrollen bør gjennomføres og hva som bør kontrolleres. Dette pleier å omfatte visjon, vurderinger, bedriftskultur, ansvarsfordeling, arbeidsgiverens faktiske attraksjonskraft, motivasjon og hvor godt mål oppfylles.
2. Risikobedømming
Gjennom å se på intern og ekstern risiko kan du blottlegge risikoer i organisasjonen, og på den måten ta virksomheten nærmere målene. Risikobedømmelsen gir deg også et grunnlag for å jobbe med risikoene.
Det er viktig å først spesifisere målene så tydelig at man kan vise risikoene i relasjon til målene og på den måten måloppfyllelsen. Kategoriser risikoene i en risikomatrise etter hvor viktige de er i forhold til måloppfyllelse og etterlevelse.
Eksempel på mål:Virksomhetsmål, rapporteringsmål og mål for etterlevelse.
Eksempel på risiko:Endringer i virksomheten, endringer i ledelsen, bedrageri og press, holdning og rasjonaliseringer, økonomiske og finansielle risikoer og endringer i det eksterne miljøet.
3. Kontrollaktiviteter
Når du kjenner risikoene, bør du utforme handlinger for å minske, forebygge eller fjerne dem helt. Visse aktiviteter må bygges inn i rutinepregede prosesser og andre handlinger vil være mer indirekte, for eksempel dem som er knyttet til omverden (og ikke har med etterlevelse å gjøre).
Det kan hende du må bygge opp nye prosesser gjennom kompetanseutvikling og kommunikasjonsinnsats. Selv i risikominimeringsarbeidet kan man arbeide med resultatmåling og mål.
4. Informasjon og kommunikasjon
Ettersom mange misforståelser kan knyttes til kommunikasjonsproblemer, er kommunikasjon en ekstra viktig del av internkontrollen. Ofte kommuniseres det for mye til ledelsen og ofte er det vanskelig å vite hva ledelsen vil ha for å kunne ta beslutninger. Dette forenkles på en gjennomgående og grundig måte av programvare som Hypergene.
Her kan beslutningstakere selv hente den informasjonen de vil ha, og på samme måte kan du som utfører internkontrollen enkelt samle informasjonen i årshjul (planleggingsoversikt), rapporter og dashbord. Systemet gjør til og med innrapportering enklere ettersom det finnes systemstøtte der data fra bedriftssystemer, personalsystemer, Excel-filer og annet kan kategoriseres og visualiseres. Hypergene har til og med støtte for din målstyring.
5. Overvåking
Oppfølging er viktig for å kunne ta analysen videre til et overvåkings- og kontrollstadium. Er de ulike momentene utført på riktig måte? Er målene nådd? Hva kan gjøres bedre til neste gang? Har fullmakter, oppdrag, ansvar og kunnskap blitt fordelt riktig i organisasjonen?
EKSEMPEL – KOBLING TIL INTERNREVISJON OG LOVOVERHOLDELSE
Kinnevik-konsernet har valgt å offentligjøre hvordan de arbeider med internkontroll i internkontrollrapporter. Fokuset ligger på finansiell rapportering og de henviser til at styret har et ansvar når det gjelder aksjeselskapet og "Koden for den interne kontrollen". Kinnevik har brukt COSO-rammeverket.
Collector er en bank og de har tatt i bruk en spesiell funksjon for internrevisjon. Collector Bank sin tanke med den interne kontrollen er i høy grad å lette internrevisjonen: "Internrevisjonen hjelper organisasjonen med å nå målene sine ved å systematisk og strukturert vurdere risikohåndtering, styring og kontroll samt ledelsesprosesser og foreslå endringer der disse kan bidra til økt effektivitet."
Selv Collector Bank understreker at det er styrets ansvar og nevner ansvaret i forbindelse med aksjeloven, svensk lov for bedriftsstyring og finansregnskapsloven. Finansregnskapsloven stiller krav til at et selskap årlig skal beskrive selskapets system for internkontroll og risikohåndtering knyttet til den finansielle rapporteringer. Andre regelverk er Sarbanes-Oxley Act og Förordningen om intern styrning och kontroll.
PÅLITELIG RAPPORTERING – INTERNKONTROLLENS BONUS OG MÅL
Når du jobber med internkontroll, bruker du ofte et system som Hypergene for å få frem rapporter. Det å kunne få frem riktige data i rapportform i forbindelse med internkontrollarbeidet kan ses som et mål i seg selv, eller som en bonus.
Ekstern finansiell rapportering
- Finansregnskap
- Delårsrapport
- Myndighetsrapportering
Ekstern ikke-finansiell rapportering
- Forvaltningsberetning
- Ledelsesrapport
- Bærekraftsrapport
Intern finansiell rapportering
- Resultatrapporter per forretningsområde
- Budsjett
- Kontantstrømanalyser
Intern ikke-finansiell rapportering
- Styrerapportering
- Kundeundersøkelser
- Medarbeiderindeks
Med Hypergenes programvare får du helt nye muligheter i det strategiske arbeidet ditt. Systemet gir deg grunnlag for beslutninger ved å samle inn og presentere data fra virksomheten for sjefer og andre beslutningstakere.
Oppdag hvordan Hypergene kan hjelpe organisasjonen deres med å effektivisere budsjett- og prognoseprosessen, følge opp virksomheten med avanserte analyse- og rapporteringsmuligheter samt arbeide med målstyring på en måte som bryter ned overgripende planer til mål, nøkkeltall og aktiviteter i hele organisasjonen!
Se en 10 minutters video demo her: