olof arwinge
E
n introduktion till intern styrning och kontroll introducerar ett stadigt växande område inom företagsekonomin. Intern styrning och kontroll är ett styr- och kontrollsystem som bidrar till att företag och organisationer har en rättvisande redovisning och rapportering, följer lagar och regler samt uppnår sina mål om effektivitet och produktivitet.
| en introduktion till intern styrning och kontroll
Inte sällan reduceras intern styrning och kontroll till frågor av karaktären ordning och reda. Detta är ett misstag då intern styrning och kontroll utgör ett fundament i företags och organisationers riskhantering. Att utforma, använda och följa upp intern styrning och kontroll är en utmaning för vilken organisation som helst. Att ha kunskaper inom området är därför viktigt. Denna bok är en grundläggande introduktion till intern styrning och kontroll. Boken är tänkt som en kursbok för studenter i revision, redovisning, ekonomistyrning och organisation, men den passar även för reflekterande praktiker. Olof Arwinge är ekonomie doktor och lärare vid Uppsala universitet på masterprogrammet i redovisning, revision och företagsanalys. Olof har praktiserat revision och rådgivning i över 15 år.
ISBN: 978-91-523-3135-4
(523-3135-4)
olof arwinge en introduktion till
intern styrning och kontroll
Sanoma Utbildning Postadress: Box 30091, 104 25 Stockholm Besöksadress: Alströmergatan 12, Stockholm Hemsida: www.sanomautbildning.se E-post: info@sanomautbildning.se Order/Läromedelsinformation Telefon: 08-587 642 10 Telefax: 08-587 642 02 Redaktör/Projektledare: Kristoffer Edshage Omslag: Jens Magnusson Inlaga och illustrationer: Fresh Design En introduktion till intern styrning och kontroll ISBN 978-91-523-3135-4 © 2015 Olof Arwinge och Sanoma Utbildning AB, Stockholm Första upplagan Första tryckningen
Kopieringsförbud! Detta verk är skyddat av lagen om upphovsrätt. Kopiering utöver lärares rätt att kopiera för Undervisningsbruk enligt Bonus-Presskopias avtal, är förbjuden. Sådant avtal tecknas mellan Upphovsrättsorganisationer och huvudman för utbildningsanordnare, t.ex. kommuner/universitet. För information om avtalet hänvisas till utbildningsanordnares huvudman eller BonusPresskopia. Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman/rättsinnehavare.
Printed in Latvia by Livonia Print Riga 2015
Förord Inte sällan reduceras intern styrning och kontroll till frågor av karaktären ordning och reda. Detta är ett misstag då intern styrning och kontroll utgör ett fundament i företags och organisationers riskhantering. Att utforma, använda och följa upp intern styrning och kontroll är emellertid en utmaning för vilken organisation som helst. Kunskaper inom området är därför viktigt. Denna bok är tänkt som en grundläggande introduktionsbok om intern styrning och kontroll vid akademiska studier inom företagsekonomi, eller andra program där man studerar styrning av organisationer och företag. Boken är således skriven för studenter, men även reflekterande praktiker som söker kunskap inom området torde kunna finna den användbar. Jag vill tacka vänner och kollegor som ständigt bidrar till min utveckling inom detta område, ni är alltför många för att nämna var och en. Jag vill även tacka Uppsala universitet och i synnerhet Fredrik Nilsson och Nils-Göran Olve. Tack slutligen till förläggare Kristoffer Edshage vid förlaget för ett gott samarbete kring boken, vilket ledde till en rad förbättringar både vad gäller struktur och text. Stockholm i november 2014 Olof Arwinge
5
Innehållsförteckning 1. Introduktion Varför en bok om intern styrning och kontroll? 11 Vad är intern kontroll?
13
Behovet av intern kontroll i företag
30
Människor har olika uppfattningar
31
Principal-agent-teori
31
Utmaningar med kontrollsystem
32
Definition
13
Kapacitet och förmåga
Risk måste relateras till mål
14
Kontroll kostar pengar
33
Allmängiltiga komponenter och principer
15
Ouppmärksamhet försvagar kontroll
33
Kontroll kan vara frikopplad verksamheten
34
Vem är arkitekten?
34
Ut ur revisionens skugga
15
Ett regulatoriskt objekt
16
Utvecklingen av ämnet
17
Intern styrning och kontroll ökar i betydelse
18
Styrning av risk
18
Organisationer har utvecklats
18
Bokens syfte och innehåll
19
Syfte och avgränsningar
20
Bokens struktur
20
Lästips
22
23
Orsaker till ökade krav
24
Fokus från lagstiftare och tillsyn
24
Framväxten av revisionssamhället
26
En ny ansvarsmekanism
Ökande storlek och komplexitet i företag
Intern kontroll växer i omfattning
27
27
Processer med hög säkerhet
28
Ökad turbulens, komplexitet och konkurrens
29
35
Olika begreppsutvecklingar
35
En bredare ansats blir accepterad
35
Lästips
37
3. Intern kontroll och risk En del av företagets riskbehandling
39
Från utvärdering mot utformning och styrning
40
Närmare koppling till riskhantering
41
Riskbehandlingssystemet
2. Bakgrund och utveckling Ökade krav på bolagsstyrning
32
41
Ett formellt riskbehandlingssystem växer fram
41
Olika syn på riskbegreppet
42
Riskbehandlingstyperna
43
Osäkerhet, risk och beslut
44
Riskpreferenser och beslutsprocesser
44
Beslutsprocesser är viktiga
46
Beslutsprocesser är inte perfekta
46
Information reducerar osäkerhet vid beslut
47
Riskbedömning och riskbehandling
48
Lästips 51
6
Företagets unika förutsättningar
4. Innehåll och kännetecken Vad är intern styrning och kontroll?
53
100 år av diskussion
53
Begreppets innehåll och gränser
54
Koppling till finansiell rapportering
55
Nära koppling till revisorns uppgifter
56
Företagsövergripande kontroller påverkar redovisning 58
Skydd av tillgångar Oegentligheter i företag och organisationer
58 59
77
Strategi och intern kontroll
77
Organisationen och intern kontroll
78
Ömsesidiga komponenter
79
Principer som behöver anpassas
82
Observera att processen har ett mål
83
Lästips
86
6. Styr- och kontrollmiljön
Intern kontroll reducerar utrymmet för oegentligheter 61
Den viktigaste komponenten
Motiv, möjlighet och attityd
Betydelsen av integritet och etiska värderingar 87
Risk är utgångspunkten Relation till riskbedömning och målsättningar
63
64 65
Med rimlig säkerhet
67
En bolagsstyrningsmekanism
68
Styrelsens och utskottets fokus på intern styrning och kontroll
69
Områdets kännetecken
72
Lästips
72
87
En sund riskkultur
88
Etiska förhållningssätt
89
Följa upp efterlevnad av etiska koder
90
Företagsövergripande ansvar för intern kontroll 91 Styrelsen har ansvaret
91
Flera och mer komplexa frågor
92
Assuranceproviders lämnar information
93
Struktur, ansvar och mandat
94
Fördela och begränsa mandat
94
Know-your-structure 95
5. Ett situationsanpassat synsätt
Attrahera, utveckla och behålla rätt kompetens 9 6
Contingencyteori som grund
73
Företagets omgivning
73
Faktorer i omgivningen påverkar
74
Grad av osäkerhet i omgivningen påverkar
75
Reglering och tillsyn påverkar
75
Turbulens, komplexitet och konkurrens
76
Kompetens allt viktigare
96
Prestationsutvärdering och successionsplanering 98
Utkräva ansvar för intern kontroll Större ansvarsutkrävande i organisationer
98 99
Viktiga lärdomar
101
Lästips
102
7
Formalisering 129
7. Riskbedömning
130
Kärnan i intern styrning och kontroll
103
Mix av kontroller
132
Riskbedömning av IT och oegentligheter
104
Viktiga lärdomar
133
Händelser som påverkar måluppfyllnad
106
Lästips
134
Mål om rapportering
107
Mål för regelefterlevnad
107
Verksamhetsmål
109
Tolerans både uppåt och neråt Indikatorer
Identifiera och analysera risker
9. Information och kommunikation En stödjande komponent
135
110
Skaffa och använd information
136
113
Kvalitetssäkra data
137
Kommunicera internt
138
Kommunicera externt
140
Viktiga lärdomar
144
Lästips
145
110
Risker som har betydelse
113
Företagsövergripande riskmål
114
Sannolikhet och konsekvens
114
Ytterligare kriterier
115
Hantera ändringar
116
Besluta om riskbehandling
117
Viktiga lärdomar
119
10. Uppföljning
Lästips
120
En komponent med förbättringspotential
147
Verktyg för att bedöma effektiviteten
148
Bärande delar i uppföljning
149
Roller och ansvar för uppföljning
150
8. Kontrollaktiviteter En del av organisationers riskbehandling
121
Kontrollaktiviteter som samverkar
122
Inte bara försvar
150
Företagsövergripande kontroll
123
Roller och ansvar måste anpassas
153
Processorienterad kontroll
124
Mot combined assurance
154
Koordinera och förlita
155
Inbyggda mekanismer
156
Följa upp utvecklingen av intern styrning och kontroll
157
Kontroller som föreskriver, hindrar och mildrar 125
Utformning och användning
8
Kostnader och nytta
126
Önskad nettorisknivå
126
Utformning och effektivitet
127
Följa upp effektiviteten
158
En bedömningsaktivitet
158
Infrastruktur nödvändig
159
Identifiera, adressera och lära
160
En riskkulturfråga
160
Åtgärda och lära
161
Typ av kontrollbrister
162
Viktiga lärdomar
165
Lästips
166
11. Processägarskap och infrastruktur Inledning 167 Nya roller utvecklas
168
Ett starkt processägarskap
170
Processdesign 170 Användarna i processen
172
Processägare 173 Infrastruktur
173
Mätetal 174
Lästips 175
12. Avslutande reflektioner Ut ur revisionens skugga
177
Frågor för styrelser
178
Frågor för ledare
179
Kapitalmarknad och allmänhet
180
Framtida forskning
180
Referenser 183 Sökordsregister 193
9
10
1.
Introduktion
Varför en bok om intern styrning och kontroll? För inte länge sedan var intern styrning och kontroll ett relativt okänt begrepp för folk utanför revisionsbranschen. Så är inte längre fallet. Problem i privat och offentlig verksamhet rapporteras löpande, där brister i den interna styrningen och kontrollen tycks vara den gemensamma nämnaren. Men vad består den interna styrningen och kontrollen egentligen av? Intern kontroll är ett styr- och kontrollsystem som, rätt utformat och använt, bidrar till att företag och organisationer med rimlig säkerhet har en rättvisande redovisning och rapportering, följer lagar och regler samt uppnår sina mål om effektivitet och produktivitet. Intern styrning och kontroll möjliggör ett hållbart risktagande där risker adresseras genom medvetna beslut och vägval. Intern styrning och kontroll innefattar kontrollaktiviteter som bidrar till att data kvalitetssäkras och informationshantering är tillförlitlig. Genom att löpande följa upp effektiviten i den interna styrningen och kontrollen kan styrelser och ledningar säkerställa att verksamheten bedrivs på ett betryggande sätt. Det finns flera skäl till att skriva en bok om intern kontroll. Intern kontroll utgör en viktig riskbehandling som företag och organisationer förfogar över. Genom att utforma, använda och följa upp intern kontroll kan företag och organisationer öka eller minska risker, baserat på över väganden om risktagande och riskkontroll. Ett andra skäl är att intressenter i företagens omgivning i allt högre utsträckning är beroende av att företags och organisationers system för intern kontroll fungerar effektivt. I en allt mer turbulent och komplex företagsmiljö blir effektiva system för intern kontroll viktiga – något som lagstiftare, tillsynsmyndigheter, ägare och investerare även tycks notera. Mot bakgrund av uppmärksammade problem i såväl privata som offentliga verksamheter har det dock visat sig att tilltron till den interna kontrollen i företag ibland varit för stor.
11
KAPITEL 1
Som ett resultat av kända företagsproblem har kvalitet i bolagsstyrning fått ökad betydelse under 2000-talet. Ny lagstiftning har tillsammans med bolagsstyrningskoder kodifierat begreppet intern kontroll, vilket bidragit till en så kallad explosion av intern kontroll. Idag förväntas både styrelser och ledningar ha kännedom om hur den interna kontrollen fungerar i företaget. Detta utgör ett tredje viktigt skäl till varför en bok om intern kontroll är motiverad (Maijoor, 2000). Trots att intern kontroll är ett välkänt begrepp för assurance-experter är det fortfarande relativt obekant bland många företagsledare. De flesta känner förvisso till begreppet men färre har djupare insikt om dess kompo nenter och principer. Revisorer och riskexperter såsom aktuarier är väl bekanta med begreppet risk och har dessutom utbildats och tränats i riskhantering. Detta gäller till viss del även jurister och säkerhetsspecialister. I övrigt sker dock ingen omfattande utbildning i riskhantering för den bredare massan. Ekonomutbildningar innehåller ofta begränsad utbildning i intern styrning och kontroll. Detta har bidragit till att det inte sällan florerar missuppfattningar beträffande riskhantering i allmänhet och intern kontroll i synnerhet. En del tror att intern kontroll enbart handlar om skydd av tillgångar och risk minimering. Andra menar att detta primärt är något som är av intresse för revisorer. Ytterligare några har uppfattningen att detta är något som krävs regulatoriskt, och att det handlar om att nå upp till lagens miniminivå rörande krav på ordning och reda i företag. Man ser intern kontroll som mer eller mindre frikopplat verksamheten och företagets performance. Få saker är längre ifrån sanningen (Sarens & De Beelde, 2006). Avslutningsvis det kanske viktigaste skälet till varför en bok om intern kontroll är motiverad. Intern styrning och kontroll är ingen lätt sak. Ju mer man jobbar med dessa frågor desto mer ödmjuk blir man inför frågeställningarna. Frågan som investeraren, styrelseledamoten, verkställande direktören eller revisorn ställer sig är dock oftast densamma, men ur olika perspektiv: kan jag förlita mig på företagets interna kontroll? Frågan är ytterst relevant och av högsta betydelse. Att utforma, använda och upprätthålla intern styrning och kontroll är en utmaning för vilken organisation som helst.
12
INTRODUKTION
Vad är intern kontroll? Den här boken handlar om intern kontroll, eller intern styrning och kontroll, som är den mer rättvisande svenska översättningen av det engelska internal control. I boken används båda benämningar även om den längre versionen är mer riktig sett ur ett svenskt lingvistiskt perspektiv. Intern kontroll reduceras ofta till frågor av karaktären ordning och reda. Tyvärr är det långt ifrån sanningen. Intern kontroll är ett styr- och kontrollsystem som bidrar till att företag och organisationer med rimlig säkerhet når sina målsättningar inom olika områden. Intern kontroll är sammankopplat med begreppet risk som i sin tur handlar om osäkerhet och en oviss framtid. Det handlar om variation i potentiella utfall utifrån en given målsättning – utfall som både kan vara positiva och negativa beroende av preferenser.
Definition Traditionellt sett har intern kontroll haft en relativt snäv innebörd med direkt koppling till företagens bokföring och externa finansiella rapportering. Idag har begreppet en långt vidare innebörd och syftar till att organisationer följer lagar och regler, har en tillförlitlig redovisning och rapportering samt når sina verksamhetsmål beträffande produktivitet och effektivitet. Som man märker är detta en bred ansats som sträcker sig långt bortom kamerala sysslor. Så här lyder den mest använda och accepterade definitionen av intern kontroll (Internrevisorerna, 2014): Intern styrning och kontroll är en process utförd av en organisations styrelse, ledning och annan personal, utformad för att ge en rimlig försäkran om uppnåendet av mål som rör verksamheten, rapporteringen och följsamhet gentemot lagar och regler. Intern kontroll har på detta sätt kodifierats av COSO-organisationen via det nu över 20 år gamla ramverket: Internal Control – Integrated Framework. Ramverket är relativt omfattande volymmässigt. Tar man del av det inser man snabbt att intern styrning och kontroll knappast avser frågor av karaktären ordning och reda. Intern kontroll är ingen enkel sak och senare års uppmärksammade incidenter i både privat och offentlig sektor har gjort det tydligt att intern kontroll ej får utformas, användas och följas upp på ett slentrianmässigt sätt.
13
KAPITEL 1
Intern kontroll, precis som all styrning och kontroll, kostar dock företagen pengar och kan i sämsta fall hämma innovation och kreativitet samt leda till stagnerande processer, vilket i slutändan hindrar företagen att nå uppsatta mål. Man kan lätt kontrastera en sådan situation med dess motsats. Ett kostnadseffektivt system för intern kontroll bidrar nämligen till företagens framgång genom att risker identifieras, värderas och hanteras på ett medvetet och konsekvent sätt. Kontroll måste allokeras dit den behövs och för att göra detta krävs att man tar utgångspunkt i företagets mål, strategier och inneboende risker. En effektiv intern styrning och kontroll bidrar till ett hållbart risktagande inom organisationer och företag.
Risk måste relateras till mål Risk som isolerat begrepp förefaller meningslöst. Det blir frikopplat och utan egentlig betydelse. Risk får betydelse först i relation till en konkret målsättning och önskemål om prestanda. Både i arbetsliv och i vardagliga situationer finns otaliga risker som man varken kan eller bör bry sig om. Livet skulle annars bli odrägligt på grund av ständiga ställningstaganden och riskhanterande åtgärder. Vi behöver således bry oss om risker som har betydelse. Vilka dessa är har att göra med vart vi vill – och hur vi vill ta oss dit. Som nämnts är intern kontroll kodifierat via ramverk och standarder. Det mest kända och globalt accepterade ramverket är det vilket COSOorganisationen står bakom. COSO står för The Sponsoring Organizations of the Treadway Committee och ett antal branschföreningar står bakom denna organisation. Organisationens ramverk lanserades för första gången i början av 1990-talet och uppdaterades nyligen under 2013. Det är ett sammahållet ramverk vilket beskriver komponenter och principer som är relevanta för alla företag och organisationer.
The Sponsoring Organizations of the Treadway Committee (COSO) organiserades 1985 och stöds av fem branschorganisationer: The American Accounting Association, The American Institute of Certified Public Accountants, Financial Executives International, The Institute of Internal Auditors samt Natitional Association of Accountants. Organisationen arbetar med att ta fram ramverk och vägledningar kring riskhantering, intern styrning och kontroll samt motverkande av oegentligheter. Källa: www.coso.org
14
INTRODUKTION
Allmängiltiga komponenter och principer Intern kontroll består av fem komponenter vilka är styr- och kontrollmiljö, riskbedömning, information och kommunikation, kontrollaktiviteter samt uppföljning. Dessa komponenter är ömsesidiga vilket innebär att de måste utformas och användas ihop då de påverkar varandra. Kontrollmiljön får exempelvis betydelse för hur man värderar och hanterar risker, och kvaliteten i uppföljningen får påverkan på hur kontrollaktiviteter utformas och används i organisationen. Inom varje komponent finns ett antal principer som både måste vara närvarande och fungera för att hela företagets system för intern kontroll ska kunna sägas vara effektivt. Vem bedömer om systemet är effektivt? Det gör styrelse och ledning. En viktig poäng är att denna bedömning sker på grundlag av information. Bedömningen kan således vara mer eller mindre underbyggd och baserad på information som är mer eller mindre tillförlitlig. Detta förhållande är viktigt att notera. Styrelsen har det yttersta ansvaret för intern styrning och kontroll i företaget och måste därför vara i stånd till att kunna göra bedömningar. Detta följer av den svenska modellen för bolagsstyrning där styrelsen har ett formellt ansvar enligt Aktiebolagslagen 2005:551. Således måste styrelsen få information om väsentliga brister i intern kontroll för att kunna göra bedömningar, och vissa fall även för att kunna göra publika uttalanden om huruvida den interna kontrollen i organisationen är väl utformad och fungerar effektivt. Informationen bör därmed vara tillräckligt övertygande för att kunna underbygga dylika bedöm ningar.
Ut ur revisionens skugga Traditionellt sätt har intern kontroll utvecklats i nära relation till revisionens teori och praktik. Intern kontroll dök först upp i litteraturen mot slutet av 1800-talet då den engelska revisions-specialisten Lawrence Dicksee använde termen system of internal check. Han menade att revisorn, för att öka effektiviten i revisionen, borde fokusera på bolagets interna processer och redovisningssystem som låg till grund för bokföringen. Detta i syfte att utvärdera eventuella risker och bedöma styrkan i de kontroller som fanns inbyggda i processer och system. Resultatet av denna utvärdering skulle därefter påverka revisorns behov av substansgranskning av resultat- och balansräkningsposter (Heier et al., 2005).
15
KAPITEL 1
Innebörden av intern kontroll användes dock långt innan dess. Lee (1971) beskriver utvecklingen av intern kontroll och hänvisar till referenser 100-tals år tillbaka, där dokument indikerar att det gjorts nogsamma avstämningar för att säkerställa att information och redovisning är rättvisande. Det tycks alltså vara så att affärsmän och affärskvinnor redan för mycket länge sedan fäste vikt vid intern kontroll för att uppnå verksamhetens mål. I sin diskussion av utvecklingen av revisionens mål och tekniker, beskriver Brown (1962) på vilket sätt revisorer historiskt beaktat intern kontroll. Enligt Brown var det först från 1930-talet som revisorn på allvar börjar fästa vikt vid intern kontroll i företag. Dessförinnan fästes mindre vikt vid intern kontroll, och fokus var fortfarande på omfattande substansgranskning av resultat- och balansräkningsposter och underliggande transaktioner.
Ett regulatoriskt objekt Idag ser situationen annorlunda ut och det förefaller knappast som att det endast är revisionsbranschen som driver utvecklingen av intern kontroll. Förvisso är revisionsbranschen, genom branschorganisationer för både externa och interna revisorer samt IT-revisorer och IT-specialister, i högsta grad delaktiga i att utforma viktiga ramverk och standarder inom området. Men idag står begreppet intern kontroll på egna ben. Genom uppmärksammade företagsproblem har intern kontroll blivit ett regulatoriskt objekt, kodifierat via offentlig reglering och koder. Intressenter efterfrågar bättre och mer effektiv intern kontroll i företag och organisationer. Ett resultat av detta har blivit att intern kontroll även blivit ett föremål att beakta för styrelser och ledningar. På sätt och vis är detta en reaktiv utveckling som i mångt och mycket skett på grund av uppmärsammade problem i näringsliv och offentlig verksamhet. Paradoxalt nog tycks efterfrågan på intern styrning och kontroll således öka på grund av dess misslyckanden. Misslyckanden bör dock ej skyllas på intern styrning och kontroll per se utan snarare på brister i dess tillämpningar. Praktiken har emellertid gått före teoriutveckling inom området. Den inflytelserike brittiska forskaren Power (2007) menar att intern kontroll, som akademiskt ämnesområde, minst sagt varit styvmoderligt behandlat. Detta har sannolikt med dess undanskymda placering att göra, någonstans inom den revisionsorienterade litteraturen.
16
INTRODUKTION
Utvecklingen av ämnet Idag bör man betrakta intern kontroll som ett område lika besläktat med ekonomistyrning och management som redovisning och finansiell rapportering. Intern kontroll har blivit en tvärvetenskaplig disciplin som utvecklats till en metod för riskbehandling inom ramen för den företags övergripande riskhanteringen. Tekniskt orienterad litteratur som beskriver intern kontroll är numera omfattande inom vissa områden, och allt fler akademiska rapporter undersöker begrepp och praktik kopplad till intern kontroll. Trots detta finns fortfarande ett kunskapsgap som behöver adresseras av både praktiker och akademiker. Tittar man på fenomenet intern kontroll kan man se begreppets framväxt och utveckling i tre faser. Den första fasen avser den snäva innebörden av intern kontroll, där utveckling skett i relation till externrevisionens teori och praktik. Den andra fasen handlar om hur intern kontroll vuxit fram ut ur skuggan ur revisionen, till att bli ett självständigt begrepp som såväl lagstiftare som tillsynsmyndigheter och investerare fått upp ögonen för. Intern kontroll har blivit publikt. Detta är drivet av företagsskandaler och den efterfråga som därmed uppstått från skattebetalare, lagstiftare, ägare och investerare. Den tredje fasen i utvecklingen handlar om den interna kontrollens betydelse inom ramen för företagsövergripande riskhantering i företag och organisationer. Formella processer för riskhantering växer inom företag, i synnerhet i finansiell sektor. I kölvattnet av begrepp som Enterprise Risk Management (ERM) och Governance, Risk and Compliance (GRC) finns intern kontroll med som en viktig komponent.
GRC är ett paraplybegrepp som varierar något till både innehåll och innebörd. Vanligtvis står begreppet för Governance, Risk och Compliance men ibland ersätts Compliance med Control. The Open Compliance & Ethics Group (OCEG) definierar GRC så här: “a capability that enables an organization to reliably achieve objectives while addressing uncertainty and acting with integrity”. Källa: www.oceg.org
17
KAPITEL 1
Intern styrning och kontroll ökar i betydelse Som nämnts tycks efterfrågan på intern kontroll öka på grund av dess misslyckanden. Det tåls att reflektera kring detta påstående. Varför misslyckas företag och organisationer med sin interna kontroll och vad får detta för effekter? Idag menar många att utvecklingen av styrning och kontroll i många företag och organisationer släpar efter den utveckling som skett i affärsmodeller och företagande. Moderna informations- och kommunikationsteknologier har möjliggjort komplexa affärsmodeller där information transporteras runt globen i ljusets hastighet. Affärer har blivit globala och marknader sammanflätade. Det som händer i Kina eller Indien berör lokala marknader och lokala företag i Sverige. Tidigare var dessa frågor mer lokala. Detta får som resultat att begreppen systembetingad risk och operativ risk har utvecklats och fått en ny betydelse.
Styrning av risk I boken av Renn (2008) diskuteras betydelsen av riskstyrning ur ett nationellt och globalt perspektiv, och sedan denna bok publicerades har vi erfarit den första finansiella kredit- och likviditetskrisen med till synes nästan explosiva förlopp. När det mesta i samhälle och näringsliv är sammanflätat får risker systembetingad betydelse. Detta bör även ses ihop med att den finansiella sektorn gått från att vara en stödjande sektor till något större. Problem i finansiell sektor kan få väsentlig påverkan på den reala ekonomin (Westman, 2011). Sammantaget tycks många frågor bli allt svårare att överblicka och det blir vanskligare för styrelser och ledningar att agera på ett proaktivt sätt. När händelser uppstår, vars effekter kan sprida sig blixtsnabbt, blir det emellertid än viktigare med effektiva och smarta riskresponser. Styrningen måste därför vara framåtblickande och innefatta scenarioanalys och test av risktålighet. Lika viktigt blir det att företag och organisationer har en förmåga till att snabbt kunna hantera uppkomna risker på ett effektivt sätt. Riskhanteringsuppgiften är idag stor.
Organisationer har utvecklats Även hur storleken på företag har utvecklats under senaste 100 åren påverkar framväxten av intern kontroll. Brown (1962) beskrev i sin nu över 50 år gamla artikel ett antal orsaker till varför företag och organisatio18
INTRODUKTION
ner i allt större utsträckning måste förlita sig på intern kontroll. En av orsakerna berör det faktum att allt mer av affärsverksamheten lyfts in i informations- och kommunikationsteknologier. Det som är manuellt blir maskinellt vilket bidrar till att synlig kontroll blir allt mer osynlig men likväl måste fungera effektivt. Operativa risker sprungna ur komplexa teknologier och processer ger upphov till styrningsutmaningar. I en äldre artikel av Haun (1955) diskuteras utvecklingen och betydelsen av intern kontroll. Författaren menar att behovet av intern kontroll även är nära besläktat med företagens storlek, och hur ägandet förändrats över tid. Tidigare var företagen mindre och ägarna var mer närvarande. Inte sällan var dessutom ägare och tjänstemän desamma. Över tid har det skett en skilsmässa mellan ägare och ledningen för företag och många menar att ägarna blivit mer frånvarande. Detta hänger direkt ihop med att storleken på företag har vuxit till att i vissa fall bli enorma – fenomenet too big to fail har dykt upp, i synnerhet när man pratar om banker (och andra finansiella institut) som har systembetingad betydelse. Möjligen kan man även nästan prata om too big to govern när det gäller globala företag med komplexa affärsmodeller som genomsyras av avancerade informations- och kommunikationsteknologier. Företagens ökande storlek har således även bidragit till ett ökat gap mellan ledning och anställda. Som ett resultat av detta har det blivit en ökad efterfrågan av att säkerställa att koncernens bolag, enheter, avdel ningar, processer och system de facto fungerar som det är tänkt. Som en följd av detta har intern kontroll blivit viktigare i koncerner, där intern kontroll appliceras som ett sätt att säkerställa att tillgångar förvaltas och skyddas på ett effektivt sätt (Kirkpatrick, 1962). Denna utveckling berör så kallad principal-agent-teori. Enligt denna teori överlåter principalen en aktivitet till en agent. Av olika anledningar finns dock skäl att tro att agenten inte alltid kommer att handla för principalens bästa. Därför uppstår behovet av olika former för styrning och kontroll vilket är något vi återkommer till redan i nästa kapitel.
Bokens syfte och innehåll Denna bok baseras på tidigare forskning men också på de erfarenheter jag skaffat mig som revisor och rådgivare i olika sammahang. Det senare innefattar även de diskussioner jag har med kollegor och vänner som ständigt bidrar till min egna teoretiska och praktiska utveckling.
19
KAPITEL 1
Syfte och avgränsningar Syftet med boken är att öka kännedomen om hur och varför intern kontroll ska utformas, användas och följas upp. Boken är tänkt som en grundläggande introduktion i ämnet och är främst skriven för studenter, men även reflekterande praktiker bör ha nytta av boken. Intern kontroll diskuteras utifrån globalt accepterade komponenter och principer men utan att detaljerade anvisningar om tillvägagångssätt ges. Detta ligger i linje med den principbaserade hållning som man bör ha till intern kontroll. Skickliga praktiker som letar stöd för specifika kontrollrutiner bör välja mer tekniskt orienterad litteratur. Boken berör bolagsstyrning, något som är ofrånkomligt när man diskuterar intern styrning och kontroll. Detta är dock ingen bok om formell svensk bolagsstyrning utan läsare som är intresserade av bolagsstyrningsfrågor bör söka annan litteratur. Det finns även referenser i denna bok. Även området riskhantering berörs men främst på det sätt att intern kontroll är en del av ett riskbehandlingssystem i företag och organisationer. Föreliggande bok är dock ingen bok om riskhantering, men för läsare intresserade av riskhantering lämnas ett flertal relevanta referenser. Avslutningsvis, då föreliggande bok handlar om intern styrning och kontroll är det ofrånkomligt att vissa grundläggande begrepp som återfinns i traditionell revisionslitteratur berörs. Detta är dock ej en revisions bok varför dylika begrepp enbart diskuteras i sammanhang av att utforma, använda och följa upp intern styrning och kontroll. För djupare kunskaper om revisionsprocessen och granskningsmetoder hänvisas till renodlade böcker om revision.
Bokens struktur I detta första kapitel har den övergripande innerbörden av intern kontroll beskrivits samt vad som gjort att intern kontroll vuxit fram ur revisionens skugga till ett självständigt objekt. Även varför betydelsen av intern kontroll ökat och vad som driver denna utveckling har tagits upp. Kapitel 2 diskuterar bakgrunden till den interna kontrollens framväxt och betydelse i samhälle och näringsliv. Denna framväxt är förknippad med hur företag och organisationer utvecklats, men också utvecklingen av bolagsstyrning och styrning av företag överlag. Kapitel 3 beskriver därefter intern kontroll i perspektiv av företagens och organisationers riskhantering. Intern kontroll utgör en betydande
20
INTRODUKTION
riskbehandling i företag och organisationer, som i sin tur utgör en komponent i den företagsövergripande riskhanteringen. Kapitel 4 går djupare in på begreppet intern kontroll. Kapitlet beskriver dess kännetecken och diskuterar även gränsdragningar som tas upp i teoretisk och praktisk orienterad litteratur. Kapitel 5 beskriver därefter utgångspunkten för utformning och användning av intern kontroll. Denna utgångspunkt baseras på så kallade contingencyteoretiska argu ment vilka anger att bolagens kontrollsystem måste anpassas till omgivningen och företagets unika förutsättningar. Därefter beskrivs grundläggande komponeter och principer för intern kontroll. Detta blir en inledning till följande kapitel som mer specifikt avhandlar enskilda komponenter. Kapitlen 6-10 handlar således specifikt om olika komponenter och tillhörande principer för intern styrning och kontroll. En komponent per kapitel beskrivs. I dessa kapitel diskuteras alltså några av de principer som är viktiga när företag och organisationer utformar, använder och följer upp olika komponenter inom intern kontroll. Kapitel 11 reflekterar kring det processägarskap och den infrastruktur som är nödvändig för att skapa struktur kring intern styrning och kontroll i organisationer. I kapitel 12 görs sammanfattande iakttagelser och avslutar med att beskriva vad som är viktigt för olika aktörer framöver, beträffande intern styrning och kontroll.
21
olof arwinge
E
n introduktion till intern styrning och kontroll introducerar ett stadigt växande område inom företagsekonomin. Intern styrning och kontroll är ett styr- och kontrollsystem som bidrar till att företag och organisationer har en rättvisande redovisning och rapportering, följer lagar och regler samt uppnår sina mål om effektivitet och produktivitet.
| en introduktion till intern styrning och kontroll
Inte sällan reduceras intern styrning och kontroll till frågor av karaktären ordning och reda. Detta är ett misstag då intern styrning och kontroll utgör ett fundament i företags och organisationers riskhantering. Att utforma, använda och följa upp intern styrning och kontroll är en utmaning för vilken organisation som helst. Att ha kunskaper inom området är därför viktigt. Denna bok är en grundläggande introduktion till intern styrning och kontroll. Boken är tänkt som en kursbok för studenter i revision, redovisning, ekonomistyrning och organisation, men den passar även för reflekterande praktiker. Olof Arwinge är ekonomie doktor och lärare vid Uppsala universitet på masterprogrammet i redovisning, revision och företagsanalys. Olof har praktiserat revision och rådgivning i över 15 år.
ISBN: 978-91-523-3135-4
(523-3135-4)
olof arwinge en introduktion till
intern styrning och kontroll