Vad är värdet av intern kontroll?

Transkript

1 Vad är värdet av intern kontroll? Gey Widengren och Jonas Wendt PwC 2014

2 Vad är värdet av intern kontroll? Intern kontroll är ett av själva grundämnena för en stabil och tillförlitlig verksamhet. Varje verksamhet har intern kontroll. Alternativet, en verksamhet utan intern kontroll, involverar risker och osäkerhet som sunt förnuft instinktivt inte vill acceptera: Har vi fått betalt från våra kunder? Har vi fått leveranser från våra leverantörer innan vi betalar? Har vi pengar på banken? Kan vi bestämma våra egna löner? Riskerar vi livet på våra kunder eller medarbetare? Trots att en verksamhet inte har tänkt på intern kontroll ur ett strukturerat perspektiv, är det därför så att att varje verksamhet mer eller mindre automatiskt inrättar en intern kontroll som följer en ägares eller företagslednings minimbehov av trygghet. Denna kompletteras typiskt sett med en nivå på kontrollaktiviteter som är personanpassade till företagsledningens erfarenhet av verksamheten, och som ofta utövas genom mer eller mindre definierade aktiviteter. Ofta är dessa aktiviteter av informell karaktär, det vill säga de är inte alltid klart uttalade, dokumenterade eller standardiserade i sin utformning. Från allt fler regelverk och företagsintressenter ställs nu kraven att företagen ska öka graden av mognad, struktur och formalisering när det gäller den interna kontrollen. Omfattande och återkommande företagsskandaler under många år i alla delar av världen har ställt frågan på sin spets, och en av orsakerna till att dessa skandaler kunnat ske anses bero på bristfällig och informell intern kontroll. Men handlar svaret på frågan bara om att leva upp till regelverk och att kräva att företagen därför ska investera mer pengar för att formalisera och dokumentera sin interna kontroll ytterligare? Eller finns det konkreta fördelar och företasgsvärde också att tjäna på en mer strukturerad intern kontroll? Över de kommande sidorna kommer vi att sätta företagets internkontroll i ett större perspektiv, för att ty dliggöra hur den bidrar till att skapa, skydda och bibehålla en verksamhets värde. Vi kommer att illustrera med ett antal globala trender, s.k. Megatrender, som påverkar sättet vi gör affärer på OCH som samtidigt driver på företagens behov av verksamhetsövergripande riskhantering och kontroll. Vi kommer att titta närmare på hur man kan göra en övergripande nulägesanalys för att få en aktuell bild över var man står när det gäller den interna kontrollen, och i följande delar kommer vi att ge tips på hur man utifrån den analysen kan åstadkomma en plan och vision för intern kontroll i företaget. I det arbetet är det viktigt att definiera målsättningar med intern kontroll. Avslutningsvis kommer vi att beröra en guide i hur man kan gå från ett nuläge till ett önskat läge enligt uppsatta målsättningar. Det kan vara en utmanande väg, men när vi lyssnar till erfarenheterna från de större företagen i Sverige, lär vi oss att en acceptans för arbetet med att utveckla den interna kontrollen håller på att etableras. Ansvariga vid ett av Sveriges större företag representerar den inställningen i vår senaste marknadsanalys av intern kontroll: Det [intern kontroll] verkar vara på väg att ändra sig från ett nödvändigt ont till något som kan bidra till att vi når verksamhetsmålen. Det är just denna tanke vi vill väcka med denna artikel. PwC 2014 Vad är värdet av intern kontroll? 2

3 Vad händer i världen? My cket har hänt de senaste åren, inkluderat en ekonomisk kris som skakat världsekonomin. Saker fortsätter att hända, marknader blir större och nationella marknader blir internationella handelsplatser. Affärsmodeller förändras i takt med att man använder sig av Shared Service Centers i allt större utsträckning. Komplexiteten och hastigheten på förändringen i nationella och internationella lagar och förordningar blir allt intensivare. Samtidigt behöver företagen hänga med i den tekniska utvecklingen, såväl i sitt produktsortiment som i tillverkning, affärssystem, kommunikation och marknadsföring. Ovanpå allt detta ställs det högre krav från myndigheter på styrning, rapportering och transparens. Företagen ska dessutom se till att motverka bedrägeri och korruption i alla dess former. Och detta är bara saker som hänt under de senaste åren och händer dagligen. Tittar vi framåt ser vi en hel del utvecklingar som skakar om världen. PwC har sammanfattat dessa i 5 Megatrender som fundamentalt kommer att påverka sättet vi gör affärer. Demografiska skiftningar En central del i dessa globala Megatrender är åldrandet av världens befolkning. Över hela världen förväntas livslängden öka och befolkningsandelen över 60 ökar drastiskt. Detta innebär komplikationer då den arbetande massan ska försörja en större andel äldre. Detta sker i takt med att befolkningen ökar, vilket i sin tur sätter ökad press på tillgång på mat och vatten, utbildning, boende, jobb etc. Hur påverkar det ditt företag? Vilka risker innebär det? Förflyttning av global ekonomisk kraft En stor förflyttning av Economic Power håller på att ske och förväntas accelerera inom de närmaste decennierna. Det spås att E7 -länderna, vars BNP idag motsvarar ca 2/3 av G7 -ländernas, kommer att gå om och förbi med hästlängder och om knappa 40 år ha dubbelt så hög BNP som G7-länderna. Detta förändrar sättet vi gör affärer, vem vi gör affärer med, var våra kunder finns, var leverantörnerna finns etc. Detta är speciellt relevant för oss i Norden då det förväntas att den sedan länge etablerade Nord-Syd-handelsmodellen mer och mer kommer att skifta mot en Syd-Syd-handelsmodell. Vilka risker innebär det för din verksamhet? Var finns dina kunder och leverantörer? Acceleredande urbanisering I takt med åldrande befolkning och ökad BNP kommer även urbaniseringsgraden att öka. Den utveckling som skedde i Sverige under första hälften av 1900-talet håller nu på att ta fart i andra delar av världen. Befolkningen lämnar landsbygden och söker sig till städerna för jobb, sjukvård, skola etc. Den högsta urbaniserings-graden ser man för tillfället i Asien och afrikanska länder söder om Sahara. Med urbanisering kommer fördelar såsom effektivisering och bättre utnyttjande av resurser, men det krävs också stora insatser vad gäller infrastruktur och stadsplanering. Vilka länder finns ni i? Har ni utvärderat vilka risker effekter av urbanisering kan få för er verksamhet? PwC 2014 Vad är värdet av intern kontroll? 3

4 Teknologiska genombrott Klimatförändring och brist på resurser Under de senaste 20 åren har den genomsnittliga världstemperaturen stigit ca 0,5 C. Med en ökande befolkning och ökad urbanisering kommer också ökad förbrukning av energi. Det spås därav en ökad användning av fossila bränslen vilket gör att världstemperaturen de närmsta 20 åren förväntas öka med ytterligare 0,5 1,5 C. Samtidigt krävs det större tillgång på mat och rent vatten, något som redan idag är ett stort problem. Hur arbetar din verksamhet med att optimera resurs-förbrukning? Vilka risker kopplat till detta behöver ni hantera? Under tiden du läser denna artikel hinner det dyka upp nya tekniska genombrott på olika delar i världen. Det kan handla om allt från nya appar till ny robot-teknologi. Dessa sprids inom loppet av sekunder till miljontals människor och kan snabbt förändra fasta mönster och marknader. De förändrar även flödet av kapital och investeringar då dessa klassiskt följer innovationer och utveckling. Utvecklingen leder även till ny a möjligheter inom andra områden. Genombrott inom nanoteknologi hjälper till att skapa möjlighet för de enorma datamängder som krävs för att skapa Artificiell Intelligence och billigare mobila plattformar leder till att fler människor kan få löpande realtidsuppdateringar av data. Detta sätter ny a regler för hur företag jobbar med marknadsföring, kommunikation och information, men även säkerhet och sky dd mot bedrägeri. Vilka risker innebär den tekniska utvecklingen för din verksamhet? Vilka outnyttjade potentialer kan du exploatera? Megatrender och Intern Kontroll Så, varför tar vi upp Megatrenderna här i en artikel om värdet av intern kontroll? Megtrenderna händer just nu, och vi vill illustrera med dessa att de är något varje organisation måste ta i beaktande också när de arbetar med sin interna kontroll. För att skapa en effektiv intern kontroll behöver förtagen lyfta blicken och försöka se runt hörnet. Den framåtblickande analysen ger möjlighet att fånga många av verksamhetens mest relevanta risker. Och att hantera rätt risker är centralt för effektiviteten och legimiteten i internkontrollarbetet. Några konkreta exempel av detta är t.ex att den teknologiska utvecklingen sätter press på den interna kontrollen i den mån att det för tillförlitlig ekonomisk rapportering inte räcker att stämma av rapporter och bokföring, utan man måste även se på de underliggande systemen och förändringar av dessa. Att implementera generella IT kontroller är av stor vikt för att exempelvis möta den växande risken för bedrägeri kopplat till teknik och internet. Att vara medveten om de globala skiftningarna i köpkraft är viktigt för att utvärdera sina leverantörer och kunder och säkerställa att man inte är i för stor beroendeställning gentemot någon som kanske inte kommer att finnas om ett par år. Den ökade urbaniseringen och folkförflyttningen kan innebära att personal försvinner och man måste kunna säkerställa att processerna fly ter på väl även med nya personer. Detta ställer nya krav på dokumentation och formalitet i processer, kontrollaktiviteter, roller etc. Megatrenderna är med andra ord omvärldsförändringar som konkret påverkar alla företags risker, i alla branscher. De, liksom andra relevanta omvärldsförändringar på makro- och mikronivå, bör därför finnas med i varje företags riskanalys. De blir förutsättningar för företagets affärsmål och därmed kommer de även att vara en viktig faktor för vår interna kontroll. Det är alltså en idé att vara medveten om och följa utvecklingen av dessa, och att fundera på; Vilken kontroll har vi idag över hur detta påverkar våra affärsmål? PwC 2014 Vad är värdet av intern kontroll? 4

5 Intern Kontroll en livscykel Inledningsvis talar vi i denna artikel om att alla företag på ett eller annat sätt har någon form av intern kontroll. Vare sig det rör sig om ett enkelt lösenordsskydd på datorn eller ett omfattande internkontrollramverk implementerat i hela verksamheten, finns den interna kontrollen där i någon form. Det intressanta blir därför inte att fråga om intern kontroll existerar, utan till vilken grad. Detta blir det första steget i livscykeln för intern kontroll, en nulägesanalys. Steg två handlar om att sätta en förväntan om vart man vill komma. Allt kan och bör inte vara lika kontrollerat i en effektiv organisation, utan det handlar om att hantera relevanta risker med effektiva kontroller för att på så sätt göra tillräckligt mycket. När man identifierat var man är idag och vart man vill komma, blir det tredje steget naturligt: utvecklingsresan, hur tar man sig från nuläget till det önskade läget. Det är också grundläggande att förstå att när steg tre är slutfört, är resan inte över, man har snarare kommit en bra bit på vägen. Då bör man börja om och på nytt analysera var man är, stanna upp och fråga sig hur långt har man kommit, har företaget förändrats, har omgivningen blivit annorlunda, hur har omvärldsförändringar inklusive de fem Megatrenderna framskridit etc. En ny nulägesanalys påbörjas och internkontrollhjulet är satt i rullning med en kontinuerlig utvärdering, om-strukturering, utveckling, effektivisering. Helt enkelt en effektiv, värdefull intern kontroll för bolaget. Steg 1 Nulägesanalys Låt oss titta närmare på steg ett, hur man kan göra en effektiv nulägesanalys av den interna kontrollen. Intern kontroll är för många ett relativt odefinierat begrepp och svårt att utvärdera och arbeta med. Vad innebär egentligen en god intern kontroll och hur vet jag att detta finns på plats? Vid frågeställningar som denna är det vanligt att man använder sig av COSO-modellen, den mest använda modellen för intern kontroll och en naturlig guide. Sedan 1992 har COSOs 5 internkontroll-komponenter spridits över världen: Control Environment, Risk Assessment, Control Activities, Information & Communication, och Monitoring Activities. Dessa har präglat den interna kontrollen och legat till grund för såväl internkontrollramverk som för revisionsinsatser. I fjol (2013) lanserades en uppdaterad version av ramverket, då COSO introducerade 17 principer kopplade till de fem komponenterna med avsikten att göra modellen mer förståelig och lättanvänd. Dessa 17 principer är en bra utgångspunkt i en nulägesanalys av den interna kontrollen i ett bolag. Genom att gå igenom dessa principer, en i taget, kan företagsledning skapa sig en bild över var man står idag och identifiera eventuella gap i företgates existerande intern-kontroll-struktur. Som en hjälp för företag och ledning har COSO också dokumenterat så kallade Points of Focus kopplade till varje princip. Dessa fokuspunkter syftar till att illustrera på en detaljerad nivå konkreta exempel på styrande aktiviteter som bygger upp var och en av de 17 principerna. Ramverket har därmed sedan uppgraderingen blivit ett mer handfast och konkret hjälpmedel i varje verksamhets utveckling av sin interna styrning och kontroll. PwC 2014 Vad är värdet av intern kontroll? 5

6 Fakta om COSO COSO är en förkortning av Committee of Sponsoring Organizations of the Treadway Commission och är den organisation som ligger bakom COSO-kuben. Kuben är ett ramverk för att utvärdera och arbeta med en organisations interna styrning & kontroll kopplat till Operationella mål, Rapportering, och Efterlevnad av Lagar och Regler. Den används ofta som ett svar på den amerikanska lagstiftningen Sarbanes-Oxley Act, men är lämplig för varje verksamhet som vill arbeta med att utvärdera och utveckla sin interna styrning och kontroll. Steg 2 Sätt förväntan Nu har vi klarat av den första delen i intern-kontroll-hjulet. Efter en övergripande nulägesanalys har vi koll på var vi står idag och vi vet var våra brister finns. Nu kommer nästa steg, att sätta en förväntan över var vi vill vara i framtiden, kanske redan nästa verksamhetsår. För att underlätta denna framtidssyn, tar vi med fördel hjälp av dels mognadsmodellen, som består av 5 steg som illustrerar mognadsnivåer kopplat till hur formaliserad den interna kontrollen behöver vara. Graden av mognad speglar företsgledningens ambitionsnivå på intern kontroll. Ökad grad av mognad enligt denna modell innebär ökad tillförlitlighet för ledningen att existerande internkontroll-struktur i tid identifierar väsentliga brister och avvikelser mot de verksamhetsmål som kontrollsystemet definierats att övervaka. Notera dock, att högre nivå på mognad inte automatiskt behöver innebära ökad effektivitet. Bild - Pw C:s mognadsskala för intern kontroll Skalan i mognadsmodellen börjar på en otillförlitlig nivå av intern kontroll med mycket stor risk för avvikelser i kontrollstrukturen eller total avsaknad av kontrollstruktur. Skalan går sedan stegvis via informell, standardiserad och övervakad intern kontroll till en optimal nivå. Allt efter ökad skala blir den interna kontrollen en mer integrerad del i verksamheten och bidrar till att skapa värde, genom att t.ex proaktivt åtgärda brister och genom strömlinjeformning av processer i verksamheten. Frågan man bör ställa sig i detta skede, baserat på den information man samlade i nulägesanalysen, är vart man vill komma på kort och lång sikt. För vissa organisationer är målet att utveckla en hög nivå av mognad i intern kontroll, t.ex. därför att de arbetar aktivt med ständig förbättring av verksamheten och/eller vill säkerställa att de med hög säkerhet identifierar avvikelser som kan påverka verksamheten negativt. I andra fall kan det vara tillräckligt för ledningen att grundläggande normer möts, t.ex. inom områden där effekter av brister i kontrollramverket endast innebär mindre inverkan på affärsverksamheten. Eftersom ambitionsnivån när det gäller mognad på intern kontroll typiskt sett får konsekvenser för vilka insatser och resurser som behöver avsättas är det angeläget att noga tänka igenom risknivå och målsättning med varje del i internkontrollarbetet. För att skapa en mer anpassad utveckling av den interna kontrollens mognadsnivåer till företagets förutsättningar, länkar man lämpligt samman mognadsmodellen med de 17 principerna i COSO-2013 och den nulägesanalys som utfördes under Fas 1. Med andra ord, för var och en av principerna kan man ställa sig frågor som: Hur väl uppfyller vi denna princip? Är våra aktiviteter av informell/ad-hoc-karaktär? Har vi utvecklat standardiserade dokument, eller är vi redan på en optimal nivå? Företaget får då en tydlig nulägesanalys av hur mogen den interna kontrollen är i olika avseenden. Denna detaljerade nulägesanalys kan sedan kompletteras med en lika detaljerad målbildsanalys för varje princip, d.v.s. kopplat till varje princip svara på frågan: Var vill vi vara? PwC 2014 Vad är värdet av intern kontroll? 6

7 Resultatet av dessa två analyser, nulägesanalysen och målbilden, kan sättas samman och skapa en summering över nuläge/ önskat läge, som samtidigt också blir en aktivitetsplan för företagsledningen vidare arbete och fokus. En sådan bild kan se ut ungefär som intill där det röda fältet representerar nuvarande situation och orange motsvarar vårt önskade läge. Det fiktiva bolaget på bilden skulle exempelvis behöva lägga resurser på att utveckla riskbedömningen (princip 6-9) i den interna kontrollen för att uppnå sin ambitionsnivå. Vem tar ansvar för den interna kontrollen? Vid planering av framtid och strukturering av förväntan är det viktigt att inte glömma bort att definiera vem som bör driva förändringen och vem som bör ta ansvar för den interna kontrollen. Detta för att inte något skall falla mellan stolarna och för att kunna följa utvecklingen. En sådan uppdelning kan göras på personbasis, men det kan bli komplext att skilja mellan olika roller som t.ex risk manager, enterprise risk specialist, internrevisor, compliance officer, bedrägeriövervakare, kvalitetssäkrare och liknande vanligt förekommande roller. För att få en tydlig struktur i risk- och kontrollorganisationen brukar man därför komplettera med att prata om olika försvarslinjer, Lines of Defense. Typiskt sett pratar man om 3-4 försvarslinjer där var och en befinner sig på olika nivåer i organisationen och har olika ansvar. Den första försvarslinjen i arbetet att hantera verksamhetens risker är organisationen i den löpande verksamheten. Den äger sina respektive risker, och ansvarar för att arbeta med den dagliga interna kontrollen genom att identifiera, utvärdera, kontrollera och motverka risker, samt att se till att policys och sty rande dokument är förstådda och efterföljs. De sätter upp lämpliga kontrollaktiviteter och ser till att dessa utförs på ett korrekt sätt. Avgörande för effektiviteten beror på nyckelfaktorer som företagskultur och den känsla för rätt och fel ( tone at the top ) som ledningen etablerar i verksamheten, samt tydligheten i personalens ansvar för sitt arbete. Att den första försvarslinjen finns just i den löpande verksamheten framstår som naturligt eftersom kontrollaktiviteter behöver kopplas till system och processer som just utgör den löpande verksamheten. I anslutning till denna försvarslinje bör det finnas tydliga riktlinjer för h ur information om kontrollavvikelser skall rapporteras och hur uppföljning och förbättringsarbete skall ske. PwC 2014 Vad är värdet av intern kontroll? 7

8 Den andra försvarslinjen utgörs av organ som övervakar intern kontroll, såsom revisions-kommitté, definierade riskhanteringsfunktioner eller motsvarande compliance-avdelningar. Deras uppgift är säkerställa att styrelsens riskaptit efterlevs i första linjen, genom att ställa krav, upprätta instruktioner och policyer, samt övervaka efterlevnad. Den tredje försvarslinjen utgörs normalt av en internrevisionsfunktion eller motsvarande intern funktion, som agerar med en objektiv syn på organisationens riskhantering och interna kontroll. Internrevisionen har som syfte att hjälpa organisationen att nå sina affärsmål genom att tillföra en oberoende, systematisk och disciplinerad ansats i arbetet att utvärdera och förbättra effektiviteten i verksamhetens riskhantering, interna kontroll och corporate governance-processer. Den tredje försvarslinjen kan bidra med betydande värde i stora bolag där det finns komplexa riskhanteringsstrukturer att överblicka och utveckla för företagets ledning och styrelse, men även i mindre bolag, där risk- och kontrollorganisationen är av en mer informell karaktär och således svårare att utvärdera. Den fjärde försvarslinjen utgörs av externa utvärderande organ, såsom externrevisorer, regulatorer, eller rådgivare, vilka är oberoende i förhållande till hela den granskade verksamhetens organisation. Även om betydande trygghet och utveckling kan uppnås genom interna kvalitetssystem och processer, finns alltid ett inneboende hot kopplat till oberoendet i de interna organens utvärderingar. Den fjärde, externa försvarslinjen bidrar med en högre nivå av tillförlitlighet och integritet i slutsatser från granskningar och utvärderingar. Den fjärde försvarslinjen räknas ibland inte in bland försvarslinjerna eftersom den återfinns utanför själva företaget, men de spelar likväl en stor roll i företagets risk- och kontrollsturktur. Den externa utvärderingen bidrar till att bygga förtroende gentemot såväl externa intressenter, som gentemot ledning och styrelse inom företaget. Att kombinera försvarslinjerna är en avgörande framgångfaktor för en effektiv risk- och kontrollorganisation. Även om ingen organisation är den andra lik när gäller storlek, komplexitet, risker etc. bör alla försvarslinjers uppgifter finnas representerade; ett tydligt riskägandeskap i den löpande verksamheten som stöds av en riskhanteringsfunktion med löpande utvärderingar och utvecklingshjälp från internrevision och externrevision. Steg 3 Utveckla Nu har vi analyserat nuläget och satt en klar målbild för var vi vill vara. Vi har utsett vem som bör driva utvecklingen av de olika delarna och nu återstår bara frågan, hur? På denna fråga finns säkerligen lika många svar och varianter som det finns organisationer. Den gemensamma nämnaren för verkligt fungerande och effektiv intern styrning och kontroll är emellertid att sätta en tydlig struktur, en process, för sitt internkontrollarbete. PwC har utvecklat ett ramverk, Risk Assurance Framework (RAF), som kan illustrera en mer handfast modell i risk- och kontrollorganisationens förändringsresa. Ramverket utgår från tre delar: risk, tillvägagångssätt och riskbemötande. Ramverket kan ses som en hjälp för företaget att lägga samman de pusselbitar i internkontrollarbetet som vi hittills berört i denna artikel. PwC 2014 Vad är värdet av intern kontroll? 8

9 Bild - Pw C:s Risk Assurance Framework Risk. Att definiera sitt risklandskap och identifiera alla relevanta affärsrisker är den första och grundläggande förutsättningen för att effektivt kunna utnyttja företagets resurser för internkontrollarbete. Det är inte ovanligt att risker identifieras och hanteras genom många olika och helt osynkroniserade processer i ett företag, med betydande ineffektiviteter som följd. I tillägg innebär detta att ledningen inte har en klar och transparent bild över vilka risker som faktiskt identifieras och hanteras och vilka potentiellt väsentliga risker som inte är tillfredsställande omhändertagna. Response. I den nedersta sektionen av Risk Assurance Framework, riskbemötandet, hanterar hur vi i organisationen fördelar uppgifter och ansvar för att bemöta riskerna, samt följa upp och vidareutveckla kontrollaktiviteterna, inom de försvarslinjer vi tidigare redogjort för. Approach. Själva riskprocessen är en 6-stegsmodell för tillvägagångssättet och utgör en modell för att strukturerat arbeta med att identifiera och på effektivaste sätt hantera företagets affärsrisker. Modellen är uppbyggd som en process och börjar med att etablera en generell riskstrategi (1. Risk Strategy). Här definieras företagets riskaptit, som matchas mot styrelsens och ledningens affärsmål för organisationen. Detta är ett viktigt första steg för att få igång den kulturella förändring som kan krävas för att utveckla den interna kontrollen. I nästa steg, riskbedömning (2. Risk Assessment), identifieras, värderas och prioriteras risker. Här är det av central betydelse att man förstår de risker som påverkar företaget. Vissa risker kan ha en direkt katastrofal inverkan om de inte hanteras korrekt, medan andra innebär en direkt möjlighet för utveckling. I detta steg bör väldigt många olika aspekter vägas in. I PwC:s RAF delas risker in i 4 kategorier i enlighet risksektionen i bilden ovan, vilket visar på bredden i riskutvärderingsfasen. Här bör man t.ex även fundera över hur de 5 Megatrenderna vi nämnde inledningsvis kan påverka ens företag i framtiden. Finns det möjligheter att generera affärer utifrån dessa förändringar eller är de snarare områden som bör undvikas i så stor utsträckning som möjligt? I det så kallade design och implementeringssteget (3. Design Implementation Management) svarar de olika försvarslinjerna på de identifierade riskerna på sina respektive sätt för att tillsammans utveckla en effektiv risk- och kontrollorganisation. Den första försvarslinjen sätter upp lämpliga kontrollaktiviteter för att hantera risker. Den andra försvarslinjen anpassar policyer och riktlinjer till de nya riskerna och säkerställer efterlevnad av den nya kontrollstrukturen. Den tredje och fjärde försvarslinjen anpassar sina granskningsprogram för att kunna verifiera att den interna kontrollen är effektiv och fungerar på ett korrekt sätt. PwC 2014 Vad är värdet av intern kontroll? 9

10 När riskerna är identifierade och värderade och kontroller finns på plats i olika försvarslinjer har vi en arbetande och väl designad kontrollstruktur. Nu blir det viktigt att löpande övervaka och utvärdera kontrollstrukturen (4. Monitoring) för att säkerställa att de identifierade riskerna täcks av kontrollerna och att hela riskorganisationen fungerar, och fortsätter fungera, som förväntat. Felaktigheter liksom kontrollbrister som identifieras och behöver rapporteras enligt definierad process för att säkerställa att åtgärder vidtas och att den löpande verksamheten inte utsätts för mer risk än acceptabelt. I detta skede hanteras de identifierade riskerna på ett tillfredsställande och effektivt sätt och felaktigheter upptäcks i tid och kan således motverkas. I arbetet med validering av risk- och intern kontroll-processernas resultat (5. Assurance) får styrelse, ledning och övriga interna respektive externa intressenter också formell bekräftelse och trygghet att risker hanteras i enlighet med den förväntan de har. Valideringsaktiviteterna kan vara formella revisionsrapporter i enlighet med internationella regelverk, likaväl som internt utformade rapporter och valideringsprogram. Varje organisation behöver utforma sitt behov av bekräftelse och trygghet, utifrån de specifika risker och förutsättningar man verkar under. Formell validering av processernas effektivitet och avvikelser ger ledning och intressenter trygghet att ta väl informerade beslut. Det ger tilltro till organisationen och bidrar till ett fokus på framtid och utveckling snarare än att släcka bränder. En väl hanterad risk- och intern kontroll-process skapar förtroende hos externa intressenter såsom investerare, kunder, leverantörer, ägare och myndigheter. Och den tillför ett värde till företaget. För utan ett konkret värde skulle naturligtvis riskhantering och intern kontroll inte existera i företaget. För varje intern kontroll-process vi inför behöver vi därför säkerställa att vi förstår värdet (6. Outcomes) av aktiviteten vi skapar. Intern kontroll-processer, vilka naturligvis är specifika för varje verksamhets risker och förutsättningar, kan kategoriseras för att bidra till verksamheten med tre syften utifrån det värde som skapas: 1. Aktiviteter som skapar värde, genom att öka värdet på organisationen genom bättre konkurrenskraft och lönsamhet, och genom att förbättra affärsprocesser genom effektivitetsutveckling och bättre anpassningsförmåga. 2. Aktiviteter som skyddar värde, genom att ge trygghet i beslutsunderlag, säkerställa efterlevnad av lagar och regler, och skydda varumärke och rykte. 3. Avkastning på investerade resurser, genom att utvärdera att de risk- och intern-kontrollprocesser som företaget investerar i alla har ett väl motiverat syfte med avseende på verksamhetens affärsmål. Så, vad är värdet av intern kontroll? Vi har i denna artikel gått igenom hur man lämpligen kan gå från var man är idag till var man vill vara när det gäller intern kontroll inom sin verksamhet. Vi har redogjort för erfarenheter, metodik och verktyg som bidrar till att vi kan skaffa oss en bra medvetenhet om våra risker och hur vi kan effektivt hanterar dem. Vi förstår att risker utvecklas löpande och att företagen går mer och mer mot en mogen kontrollmiljö på fler fronter än finansiell rapportering. Vi har visat hur man kan skapa en tydlig bild över var i organisationen risker hanteras och vem som är ansvarig för utveckling, uppföljning och utvärdering. Det är i detta skede den interna kontrollen går från att preservera värde till att kunna skapa värde. Detta värde kommer från en välskyddad, flexibel organisation med möjligheter och ett strukturerat angreppssätt för att kunna skapa nya konkurrensfördelar, effektivare processer, ökat förtroende från intressenter, nya affärsmöjligheter och ett bevarat/ökat anseende. Denna utvecklade form av intern kontroll handlar inte bara om att hantera de risker man möter dagligen, utan den innebär också att vidga vyerna och hitta såväl risker som affärsmöjligheter där man inte tidigare letat. Detta skapar ökat förtroende samtidigt som man upptäcker nya marknadspotentialer. PwC 2014 Vad är värdet av intern kontroll? 10

11 Som en bekräftelse på detta resonemang har vi till 25 av Sveriges större företag/organisationer frågat hur deras respektive företags ledning uttrycker vilket/vilka specifika syften och värden de uttalat pekar på kopplat till deras eget internkontrollarbete. Nedan återges de 8 konkreta värden som förekom i flest av svaren: 1. Bedrägerikontroll 2. Try gghet i korrekt och fullständig finansiell rapportering. 3. Try gghet för individer och organisation i form av klara regler och tydliga ansvarsområden. 4. Efterlevnad av lagar och regler (minimerar kostnader för böter, lagöverträdelser och juridiska processer). 5. Bekräftelse av efterlevnad av strategiska planer och mål 6. Färre negativa överraskningar i form av avvikelser från finansiella och operationella mål 7. Möjlighet att agera proaktivt istället för reaktivt, genom identifiering av risker innan faktiska brister. 8. Mer enhetliga och ändamålsenliga processer i verksamheten (dvs effektivitet). Det finns, med detta i bakgrunden och enligt vår erfarenhet, mycket att vinna på att fundera igenom sitt nuvarande intern kontrollarbete. Det finns å andra sidan också mycket att förlora genom att undlåta att upprätta en ändamålsenlig struktur för sin internkontroll. Ser ni att ni utifrån denna artikel hittar några pusselbitar som passar bra in i ert nuvarande arbete gör det enkelt för er och börja med det. Låt bara inte processen stanna där. Det finns allt för mycket att förlora på att inte göra arbetet färdigt. PwC 2014 Vad är värdet av intern kontroll? 11

12 Författare: Gey Widengren, PwC Gey har arbetat i mer än 20 år inom PwC som rådgivare, projektledare och revisor med särskilt fokus på riskhantering och intern kontroll. Han är Certified Information System Auditor (CISA) och Certified in Risk and Information Systems Control (CRISC), och har arbetat som rådgivare till många av Sveriges största företag. gey.widengren@se.pwc.com Medförfattare: Jonas Wendt, PwC Jonas arbetar på PwC som specialist inom området Risk Assurance Services. jonas.wendt@se.pwc.com 2015 PricewaterhouseCoopers i Sverige AB. All rights reserved. In this document, PwC refers to PricewaterhouseCoopers i Sverige AB which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.