INTERNOPTIMERASTYRNINGOCHKONTROLLOLOFARWINGETRISTANDAVAINE
2E
KOPIERINGSFÖRBUD Detta verk är skyddat av upphovsrättslagen. Kopiering, utöver lärares och studenters begränsade rätt att kopiera för undervisningsändamål enligt Bonus Copyright Access kopieringsavtal, är förbjuden. För information om avtalet hänvisas till utbildningsanordnarens huvudman eller Bonus Copyright Access.
Vid utgivning av detta verk som e-bok, är e-boken kopieringsskyddad.
Den som bryter mot lagen om upphovsrätt kan åtalas av allmän åklagare och dömas till böter eller fängelse i upp till två år samt bli skyldig att erlägga ersättning till upphovsman eller rättsinnehavare. Studentlitteratur har både digital och traditionell bokutgivning. Studentlitteraturs trycksaker är miljöanpassade, både när det gäller papper och tryckprocess. Art.nr 45332 ISBN ©FörfattarnaUpplaga978-91-44-15987-41:1ochStudentlitteratur 2022 Studentlitteraturstudentlitteratur.seAB, Lund Formgivning inlaga: Jesper Sjöstrand/Metamorf Design Group Ombrytning inlaga: Siv Rudholm Formgivning omslag: Francisco Ortega Omslagsbild: Shutterstock.com Printed by Latgales Druka, Latvia 2022
Innehåll Förord 11 1 Utmaningen 13 Komplexitet i företagande 14 Ökande intressentkrav 14 Nya och förändrade risker 15 Ökande kostnader 17 Bristande kunskaper 18 Arkitekten saknas 18 Tonen på toppen avgörande 20 Om boken 20 Struktur och upplägg 21 Läsanvisningar och bärande idéer 21 En del av styrmixen 22 Det handlar om tillämpningen 23 Ingen universallösning 23 Det börjar och slutar med ledarskapet 24 Sammanfattning av kapitlet 25 2 Tonen på toppen 27 Drivkrafter 28 Tonen på toppen får konsekvenser 28 Behovet av ledarskap 29 En medveten riskkultur 30 Intern kontroll behöver mål och ramar 32 Att tänka på 32 Var en förebild 33
6 Innehåll Kommunicera förväntningar och kriterier 36 Adressera avvikelser 38 Belöna integritet 41 Ta fram vision och mål för den interna styrningen och kontrollen 42 Sammanfattning av kapitlet 43 3 Företagsövergripande intern styrning och kontroll 45 Drivkrafter 45 Inga ramar, ingen effektiv intern kontroll 45 Inga system medför ökade risker 46 God struktur möjliggör resurseffektivitet 47 Företagsövergripande kontroller är genomgripande 47 Att tänka på 48 Vägleda och tydliggöra förhållningssätt 52 Följa upp och rapportera 55 Definiera roller och dela upp ansvar 57 Beskriv mandat och befogenheter 59 Kommunicera krav på kompetens 61 Hantera succession 65 Använd teknologi för verksamhetens interna kontroll 67 Organisationsövergripande process för intern styrning och kontroll 68 Sammanfattning av kapitlet 73 4 Använda ramverk 75 Drivkrafter 75 Ett strukturerat angreppssätt 76 Ramverk har betydelse för styrelser och ledare 76 Ramverk har betydelse för externa intressenter 77 Vem är arkitekten? 78 Att tänka på 79 Någon bör vara arkitekten! 79 Anpassa utifrån verksamhetens behov 80 Nya affärsmodeller utökar organisationens gränser 82
Innehåll 7 Styrning och kontroll av IT utgör fundamentet 83 Organisationsövergripande styrning och kontroll är avgörande 84 Bli inspirerad av COSO:s ramverk 85 Intern styrning och kontroll måste vara proportionerlig 89 Intern styrning och kontroll måste vara kostnadseffektiv 90 Intern styrning och kontroll måste vara praktisk och användarvänlig 92 Intern styrning och kontroll måste vara dynamisk och integrerad 93 Följ upp och utkräv ansvar 93 Sammanfattning av kapitlet 94 5 Träffsäker riskbedömning 95 Drivkrafter 95 Fokus på rätt risker ger utdelning 95 Kostnader för riskhanteringsåtgärder 96 Missbedömningar får konsekvenser 97 Att tänka på 98 Täck in väsentliga risker 98 Det krävs en taxonomi 104 Integrera riskbedömningen i affärsplaneringsarbetet 105 Skapa en dynamisk riskbedömningsprocess 107 Ta ett bredare perspektiv på riskkonsekvenser! 108 Riskbedöm förändringsinitiativ! 111 Ta höjd för det osannolika, men inte omöjliga 112 Använd flera parametrar för att bedöma risken 113 Hur gör man? – Några käpphästar 116 Genomför risk- och kontrollbedömningar 124 Illustrera riskprofilen 133 Fokus på inneboende risk 133 Besluta om och följa upp riskbehandling 134 Följ företagets riskbedömningsförmåga 134 Sammanfattning av kapitlet 139
8 Innehåll 6 Ändamålsenlig design av intern styrning och kontroll 141 Drivkrafter 141 Dålig utformning, dålig hantering av risk 141 Dålig utformning förbrukar resurser 142 Design är viktigast 143 Att tänka på 144 Inledande kommentar om design 144 Definiera ansvaret för att utforma intern kontroll 146 Övergripande designprinciper 148 Täck in samtliga tre dimensioner: compliance, verksamhet och rapportering 155 Definiera nyckelkontroller 158 Upprätta risk- och kontrollmatriser 161 Elva kontrolloptimerande principer 165 Sammanfattning av kapitlet 184 7 Skydda mot oegentligheter 185 DrivkrafterKostnader187för oegentligheter är väsentliga 187 Tillfället gör tjuven 188 Oegentligheter kan förbruka förtroende och anseende 189 Ökande krav från lagstiftare och normgivare 190 Att tänka på 190 Förstå varför oegentligheter uppstår 191 Ha koll på riskerna 196 Lär dig varningsflaggorna 200 Bygg riskhanteringsförmågan 205 Lär dig nyckelkontrollerna 208 Sammanfattning av kapitlet 216 8 Kontroll av informations- och kommunikationssystem 217 DrivkrafterInformations-217 och kommunikationssystemen är genomgripande 218
Innehåll 9 Kvalitet i data är grunden till det mesta 218 Outsourcing en allt större del av affärsmodeller 219 Bristande styrning över IT får konsekvenser 221 Att tänka på 222 Integrera IT i riskanalysen 222 Några centrala processer att styra och kontrollera 224 Applikationskontroller i verksamhetsprocesserna 228 Kontrollera outsourcing och tredjeparter 229 Ha koll på end-user computing 234 Intern styrning och kontroll av informationssäkerhet – några reflektioner 235 Sammanfattning av kapitlet 241 9 Kvalitet i information och rapportering 243 Vikten av hög kvalitet i rapportering 244 Komplexitet i hanteringen av data och information 245 Olika typer av information och rapportering bör beaktas 246 Att säkerställa kvalitet i data och information 247 Säkerställa kvalitet i redovisning och finansiell rapportering 249 Sju komponenter som bör optimeras enskilt och ihop 250 Sex typiska kontrollbrister rörande redovisning och finansiell rapportering 253 Ha koll på portföljen av nyckelkontroller 257 Åtta centrala nyckelkontroller för kvalitet i redovisning och rapportering 258 Kalibrera direkta och indirekta företagsövergripande kontroller 262 Vet vi om kontrollerna fungerar? Även om de inte testas? 264 Optimera uppföljning och testning 265 Rationalisera riskanalysen 267 Rationalisera och optimera finansiella nyckelkontroller 269 Sammanfattning av kapitlet 270
10 Innehåll 10 Följa upp effektiviteten i intern styrning och kontroll 273 Drivkrafter 274 En plan är bara en plan – behovet av uppföljning 274 Intressenter och normgivning ställer krav på effektiv intern styrning och kontroll 275 Uppföljning av intern kontroll och kvalitet i bolagsstyrning hänger ihop 276 Att tänka på 277 Det krävs en design – en baseline 277 Organisationens tre ansvarslinjer för uppföljning 278 Rätt omfattning, frekvens och karaktär på uppföljning 281 Tre bra optimeringsmöjligheter 283 Använd kontrollindikatorer för uppföljning 285 Glöm ej utkontrakterad verksamhet 288 Identifiera, värdera och adressera kontrollbrister 291 Lär av kontrollbrister – fem vanligaste rotorsaker och typiska lösningar 295 Följ upp mognaden i intern styrning och kontroll 305 Sammanfattning av kapitlet 316 11 Avslutande reflektioner 317 En del av styrmixen i organisationer 317 Tillämpning är utmaningen 318 Ingen universallösning 319 Tonen på toppen och ledarskapet avgör 320 Arkitekten är central 320 Referenslista 323 Register 329
11 Förord
För att åstadkomma en hållbar verksamhet krävs effektiv en intern styrning och kontroll som bidrar till att risker hanteras och mål kan nås. Under de senaste hundra åren har den interna kontrollens teori och praktik utvecklas som en del av revisionens område, och numera finns ramverk som sammanfattar vedertagna principer och metoder på ett rikligt sätt. Likväl är det många företag och organisationer som har svårigheter med att åstadkomma effektiv intern styrning och kontroll. Oönskade avvikelser, incidenter och förluster är vanliga och synliga resultat av en ineffektiv intern styrning och kontroll. Denna bok är en sammanställning av vår gemensamma förståelse av vilka pusselbitar som är viktiga för att optimera intern styrning och kontroll i företag och organisationer. Över elva kapitel redogör vi för förhållningsätt och principer samt lämnar tips och råd om vad som är viktigt att tänka på. Det som präglar bokens resonemang kretsar kring ordet optimering. Som styrningsform reduceras intern kontroll ibland till frågor som rör ordning och reda, men i själva verket är den avgörande i riskhanteringsarbetet och bidrar därmed till huruvida organisationer kan nå sina mål eller misslyckas. Rätt utformad är intern kontroll ekonomisk, dynamisk och värdeskapande. Rätt utformad blir den till en integrerad del av den totala styr mixen i företag och organisationer. Den utmaning som vi nämnde ovan rör primärt tillämpning. Även om det teoretiska ramverket runt intern kontroll inte är färdigutvecklat är det likväl tillämpningen som oftast brister. Konse kvenser blir antingen överdriven formalisering, stelbenthet och ängslighet eller omedvetet risktagande, med incidenter och förluster som följd. Vår
förhoppning är att boken ska bidra till att öka kunskapen om hur man optimerar intern kontroll, i syfte att maximera värdet åt organisationer, företag samt deras intressenter. Stockholm, juni 2022 Olof Arwinge Tristan Davaine
I avsnitten nedan delar vi upp utmaningen i sju drivkrafter som sammantagna bidrar till att ställa höga krav på den interna styrningen och kontrollen i organisationer. Vi börjar med det externa perspektivet, där vi först tar upp och diskuterar tre drivkrafter som härstammar från företagens omgivning, och som mer eller mindre direkt påverkar hur ledare behöver styra och kontrollera sina organisationer. Därefter tar vi upp fyra drivkrafter vilka är mer företagsinterna till sin karaktär, och som har stor betydelse för hur man måste arbeta med att utforma, använda och följa upp den interna styrningen och kontrollen. Låt oss börja med den ökande komplexiteten i organisationer och företagande.
I detta kapitel diskuterar vi den utmaning som företag och organisationer står inför vad gäller intern styrning och kontroll. Denna utmaning är på många sätt betydande. Vid sidan av en överlägsen strategi har kvaliteten i riskhantering och den interna styrningen och kontrollen en allt större påverkan på huruvida företag och organisationer kan utveckla och bibe hålla konkurrenskraft. Till syvende och sist är detta också den huvudsakliga anledningen till varför ledare och specialister i företag och organi sationer måste arbeta aktivt och medvetet med att optimera riskhantering och intern styrning och kontroll. Det handlar inte bara om överlevnad, utan även om en hållbar verksamhet och konkurrensfördelar (Funston & Wagner, 2010).
Utmaningen
13 Kapitel 1
STUDENTLITTERATUROCH©FÖRFATTARNA 14 Kapitel 1 Utmaningen
Detta ser vi exempel på löpande. För det andra, och som en förlängning av det ovan nämnda, blir teknologi en allt viktigare dimension i relation till styrning, processer och med arbetare. Systemintegration och automatisering av intern styrning och kontroll blir allt viktigare aspekter av den totala styrningen och kontrollen.
Då alltmer av styrning och kontroll blir ”osynlig” när manuella uppgifter automatiseras måste styrningen över detta fungera, samtidigt som detta måste kombineras med väl definierade roller, ansvar och mandat. Ytterligare en dimension av teknologi och komplexitet är emellertid viktig att ta upp. Nya informations och kommunikationsteknologier möjliggör alltmer avancerade affärsmodeller som allt oftare inbegriper tredjeparter, outsourcing och virtuella gränsöverskridande processer. Som ett resultat av detta blir verksamheter och processer i sig alltmer komplexa. Samman taget ställer detta allt högre krav på en optimerad riskhantering och intern kontroll, som även inbegriper hur organisationer styr och följer upp tredjeparter och outsourcingpartner (Carlsson, 2004; Kallinikos, 2005).
Ökande intressentkrav Tveklöst ökar kraven från intressenter på företag och organisationer. Intressenter, såsom ägare, investerare, politiker, kunder, brukare och skatte
Samtidigt ökar kraven på att processer kopplat till styrning och kontroll av informations och kommunikationssystem är ändamålsenligt utformade.
Det är uppenbart att organisationer och företagande blir alltmer komplexa som ett resultat av en alltmer sammanflätad värld. Egentligen är detta inget nytt, utan rör en utveckling som pågått länge, men som tycks eskalera i för längningen av enorma innovationer i informations och kommunikationsteknologier, som nu för tiden genomsyrar de flesta verksamheter, och är fullständigt centrala. Vad som följer av detta är flera resultat. För det första beror organisationers framgång alltmer av att dessa teknologier fungerar och dessutom fungerar på rätt sätt. Kontinuitetsproblem, eller fel i funk tionalitet, kan på ett väsentligt sätt inverka negativt på hur företag och organisationer lyckas möta krav från kunder, brukare och intressenter.
Komplexitet i företagande
STUDENTLITTERATUROCH©FÖRFATTARNA
Kapitel 1 Utmaningen 15
betalare, kräver alltmer av organisationer vad gäller dessas förmåga att bedriva en hållbar verksamhet och upprätthålla en effektiv intern styrning och kontroll. Det handlar om att förebygga och hantera incidenter, göra träffsäkra riskbedömningar samt att agera på ett sätt som de flesta av oss uppfattar som lämpligt, rättvist och korrekt. Företag har blivit ”sociala fenomen” på ett nytt sätt: vi förväntar oss att organisationer ska agera både företagsekonomiskt och moraliskt, och vi förväntar oss ofta mer av företag än att de bara förhåller sig till lagens miniminivåer. Vad som förvisso kan vara lagligt behöver inte alltid vara lämpligt, och det är skillnaden mellan dessa två variabler som blir allt väsentligare för ledare att förhålla sig till. Anlägger vi ett företagsinternt perspektiv på detta, får styrelser och verkställande direktörer (hädanefter: vd) eller generaldirektörer (hädan efter: gd) allt fler och högre krav att hantera, som bland annat avser den interna styrningen och kontrollen. Företagens ledare blir allt angelägnare om att utforma en intern styrning och kontroll som ett resultat av ovan nämnda drivkrafter. Kraven ökar på rätt utformning och på att styrning och kontroll dessutom ska fungera i praktiken (Spira & Page, 2003; 2010).
Risker flätas i högre grad samman. Medan risker tidigare var mer iso lerade, hänger de numera ihop både på ett nationellt och internationellt plan. I skrivande stund, vintern 2022, har vi en pågående global pandemi (covid 19) som nationer och organisationer runt om i världen försöker för hålla sig till på bästa sätt. Även politiska och regulatoriska agendor är känn bara för samhället, organisationer och medborgare, och ett nytt krig har just utbrutit i Europa. Att risker är sammanflätade på ett nytt sätt är ett resultat av en globaliserad värld och ekonomi: det mesta vi gör i Sverige är beroende
Nya och förändrade risker De risker som företag i dag möter ser helt annorlunda ut, om vi blickar tillbaka 10–20 år. Man behöver egentligen inte gå långt tillbaka alls för att vid en jämförelse kunna konstatera att karaktären på riskerna har för ändrats på ett dramatiskt sätt. Karaktären på de risker som nationer och organisationer möter i dag förändras som ett resultat av det allt den alltmer komplexa omvärlden. Låt oss lyfta fram några fenomen som ställer krav på företagens riskhanteringsförmåga.
STUDENTLITTERATUROCH©FÖRFATTARNA
En förlängning av detta innebär att anseenderisker – reputational risk på engelska – blir allt viktigare att hantera. Anseenderisker, eller ryktesrisker (som det ofta kallas i detta sammanhang), är knappast en egen risk kategori, utan snarare ett resultat av att strategiska, operativa, regulatoriska eller finansiella risker materialiseras.
16 Kapitel 1 Utmaningen och påverkas av den globala utvecklingen och hur marknader utvecklas. Sammantaget ställer detta ökande krav på företagens riskhanteringsförmåga vad gäller att kunna värdera hur risker är sammankopplade och hur risker kan utvecklas, givet olika scenarier (Smith & Fischbacher, 2009).
Riskerna i sig tycks få ökad betydelse och som en följd även företagens riskhanteringsförmåga. Organisationer och företag implementerar före tagsövergripande riskhantering (ERM, enterprise risk management), bland annat som en följd av detta (Lundqvist, 2015). God eller dålig riskhantering får allt större konsekvenser, något vi regelbundet kan ta del av i media. God eller dålig riskhantering tycks allt oftare avgöra huruvida organisationer lyckas eller misslyckas. I själva verket är kopplingen mellan performance och riskhanteringsförmågan stark, varför dålig performance i en verk samhet ofta kan skyllas på en dålig eller ineffektiv riskhanteringsförmåga.
Anseenderisker kan ur ett finansiellt perspektiv ofta initialt värderas som mindre väsentliga, men likväl kan de få organisationer att krackelera och gå omkull. Anseenderisker blir också allt väsentligare eftersom organisationer i allt högre utsträckning betraktas som sociala fenomen där vi kunder och medborgare ställer högre krav. Vad som följer av detta är att anseenderisker nogsamt måste värderas och adresseras, för att säkerställa att en av organi sationens allra viktigaste tillgångar – ryktet och renomméet – inte förstörs för alltid (Dolphin, 2004; Scott & Walsham, 2005; Power m.fl., 2009).
Risker blir mer volatila i den meningen att deras förlopp kan gå snabb are. Vi ser gott om exempel hur risker får näst intill explosionsartade för lopp, något som tidigare nog var mindre förekommande. De har dessutom förmåga att sprida sig oanat, på grund av hur sammanflätade riskprofiler är i dag mellan organisationer och samhällen. Företagens riskhanterings förmåga måste kombineras med en effektiv krishanterings och konti nuitetsförmåga som möjliggör att de snabbt kan agera när krisen nalkas och snabbt kan ”studsa” tillbaka och reparera sig efter det att riskerna har materialiserats (Westman, 2011).
STUDENTLITTERATUROCH©FÖRFATTARNA
Kapitel 1 Utmaningen 17
Ökande kostnader
Mycket tyder på att kostnader för styrning och kontroll ökar. Kraven på företag och organisationer från lagstiftare, tillsynsmyndigheter, ägare, investerare och medborgare ökar, och begreppet regelefterlevnad får allt större betydelse i kölvattnet av den regulatoriska tsunamin. Nya och mer komplexa risker kräver alltmer i termer av riskhantering. Resultatet har blivit att organisationer lägger mer resurser än tidigare på att ordna en styrning och kontroll som möter kraven från en alltmer krävande omvärld. Vad som härvidlag blir enormt viktigt är att företag och organisationer utformar en intern styrning och kontroll som är ekonomiskt hållbar. I detta ligger att den måste vara ändamålsenligt utformad, effektiv och göras så smart och ekonomisk som möjligt. Den interna kontrollen måste byggas in som en del i den totala styrmixen, där även mjuka kontroller spelar stor roll och där vi tar höjd för den tillit som måste finnas i och mellan organisationer och individer (Skinner & Spira, 2003; Malmi & Brown, 2008).
Företagens resurser är begränsade, och hjärtat av företagsekonomin rör effektiv hushållning av resurser, vilket även omfattar effektiv hushållning vad gäller resursallokering för företagens riskhantering och interna styr ning och kontroll. I själva verket kan detta bidra till konkurrensfördelar eller nackdelar för företag och organisationer eftersom få saker kan vara så kostsamma för en organisation som dålig, byråkratisk och överforma liserad styrning och kontroll som mest leder till ängslighet och resurskrävande administration. Utmaningen är således väsentlig, och det behövs ”arkitekter” i företag och organisationer som arbetar med att utforma styr ning och kontroll på ett smart och ekonomiskt sätt. Att jobba smartare med intern styrning och kontroll kommer alltid vara mer förmånligt än att jobba mer eller hårdare. Detta är även en av våra bärande idéer i denna bok. Viktigt att notera i detta sammanhang är att avsaknad av en ändamål senlig och medveten design av intern kontroll bidrar till att kostnader för styrning och kontroll ökar. Kostnaderna ökar dessutom, om inte intern styrning och kontroll löpande ses över, förbättras och rationaliseras för att undvika överlappningar, gap och redundans. Ett återkommande problem är att ingen sådan löpande förbättring och rationalisering sker, varför styr ning och kontroll tenderar att överlagras i organisationer. Därvid bildas
Arkitekten saknas För att utforma en ändamålsenlig och effektiv intern styrning och kon troll krävs en genomtänkt arkitektur. För att åstadkomma en genomtänkt arkitektur krävs arkitekter. Frågan som uppstår är: Vem är arkitekten för intern kontroll i företag och organisationer? Detta är en fråga som sedan lång tid tillbaka ställts, men som alltjämt är lika aktuell. Få gånger klargörs
18 Kapitel 1 Utmaningen alltså lager på lager av kontroller som ofta är mer eller mindre dåliga och inte sällan utförs av oklara anledningar. Över tid blir detta enormt resurs krävande och leder dessutom till stelbenthet som tynger ner organisationer. Sammantaget understryker det ovan nämnda vikten av en medveten och optimerad styrning och kontroll som är hållbar för organisationer och företag (Power, 2007; Doyle, 2007; Eklund & Falkenhall, 2011).
Bristande kunskaper
Kunskaper om intern styrning och kontroll är ofta otillräckliga hos många ledare. Egentligen är detta inte förvånande. Få kurser på universitet och högskolor innehåller litteratur inom intern styrning och kontroll, även om detta under senare år börjar förändras. Intern styrning och kontroll – eller intern kontroll, som är historiskt sett den vanliga benämningen och som vi ibland använder (vi avser emellertid samma sak) – ryms inom ramen för redovisnings och revisionslitteratur, med ett särskilt fokus på kvalitet i finansiell rapportering. Revisorer och redovisare har således av tradition rikliga kunskaper om hur man bör etablera en effektiv intern kontroll i organisationer – men i övrigt är det ofta klent med kännedomen (Haun, 1955; Heier m.fl., 2005).
Därför saknas ofta kunskaper om betydelsen av intern kontroll samt vad som krävs för att utforma ett effektivt system för intern styrning och kontroll. Resultat av detta kan bli bristfälliga eller otympliga system för intern kontroll som blir alltför resurskrävande och som inte håller måttet. Otillräckliga kunskaper hos ledare och chefer kan dessutom leda till att man helt och hållet förlitar sig på specialister och konsulter och inte tar fullt ägarskap för dessa frågor.
STUDENTLITTERATUROCH©FÖRFATTARNA
Ur ett designperspektiv föreligger minst två stora utmaningar, tillika dilemman, som inte sällan också innebär konkreta problem för företag och organisationer. Dessa problem får konsekvenser i termer av kontroll brister, oönskade avvikelser och incidenter som måste hanteras. Det första dilemmat handlar om att företag och organisationer inte sällan väntar med att explicit designa intern kontroll tills incidenten uppstår. Det handlar om ett reaktivt förhållningssätt. Det andra dilemmat handlar om att företag och organisationer ofta låter kontroller bli obsoleta på grund av att personer, organisationen, processer och IT förändras baserat på förändringar i omgivningen. Leitch (2008:51–52) formulerar detta på ett talande sätt: A disturbingly high proportion of work to design and implement internal controls is done to correct weaknesses that already exist. An unknown but quite possibly lower proportion is done in advance of being needs so that a weakness will never exist (…) We could call this the remediation syndrome (…) In some ways the situation is still worse for gradual change because it often goes unnoticed. I själva verket är detta reaktiva förhållningsätt något enormt viktigt för ledare att adressera eftersom det bidrar till en process för intern kontroll som håller låg kvalitet och inte ger styrelser och ledningar rimlig försäkran om att verksamheten bedrivs på ett betryggande sätt. I kapitel 10 mot slutet av vår bok tar vi upp den interna styrningens och kontrollens mognads
STUDENTLITTERATUROCH©FÖRFATTARNA
Inom några företag kan titlar som head of internal control eller chief internal control officer återfinnas, ofta som ett resultat av regulatoriska krav kopplade till den finansiella rapporteringen. Inom reglerade branscher finns även risk managers, compliance officers och risk control officers. Alla dessa arbetar självfallet med att utforma olika typer av riskåtgärder. Men frågan är fortsatt relevant, och i slutändan handlar den om vem som ansvarar för att organisationsövergripande kontroller ska hänga ihop med preventiva och detektiva kontroller på process och transaktionsnivå (Oliviero, 2002).
vem i organisationer och företag som de facto ska utforma denna interna kontroll, utan ansvaret förefaller vara fördelat på olika områden och specialister som ofta arbetar med detta efter bästa förmåga och inom begränsade områden. Vad som numera är klart för de flesta är att ledare är ansvariga, men emeller tid sällan är själva arkitekterna.
Kapitel 1 Utmaningen 19
Litteratur inom redovisning och revision gör klart att tonen på toppen är avgörande. Praktiker kan bekräfta detta. Inga system och processer i världen kan i slutändan kompensera för ledare som tummar på regler, förbiser kontroller, eller som inte betonar vikten av intern styrning och kontroll. Resultaten av detta kan bli en dålig riskkultur som över tid leder till överträdelser, oönskade avvikelser och andra missförhållanden (FSB, 2014).
Tonen på toppen är ett revisions och redovisningsbegrepp som fått stor spridning. Det handlar om ledningens inställning till risk och kontroll, och huruvida denna inställning innefattar respekt för regler, kontroller, risk hanteringsåtgärder och etiskt agerande. I praktiken ser vi gott om exempel från skandaler och uppmärksammade problem där ledare uppenbart inte förmedlat en sund ton från toppen. Det kan vara värt att notera att tonen på toppen hos ledare även förefaller bli allt viktigare. Detta beror av den ökande komplexiteten, och vad fel eller överträdelser i dag kan leda till i organisationer. Organisationers rykte blir en allt viktigare tillgång. För ledare handlar det alltså om att skapa en sund riskkultur – attityder, inställ ningar och beteenden rörande risk och kontroll där ledare och medarbetare på alla nivåer förstår vikten av att agera etiskt, respektera regler, behandla kunder rättvist och hantera risker på ett medvetet och transparent sätt (Arwinge, Olve & Magnusson, 2017). Om boken Denna bok fördjupar en del av de resonemang som är grundläggande vad gäller intern styrning och kontroll i organisationer. Boken är skriven för både studenter och praktiker. Den har även beaktat behov hos ledare och specia lister som söker mer vägledning beträffande vad man praktiskt bör tänka på för att optimera den interna styrningen och kontrollen som en del av det totala styrpaketet i en organisation. Boken bygger på etablerad kunskap samt våra egna erfarenheter under senaste 20 åren som rådgivare i organi
20 Kapitel 1 Utmaningen trappa, där det framgår att ett reaktivt förhållningsätt ofta präglar en omogen intern kontroll.
STUDENTLITTERATUROCH©FÖRFATTARNA
Tonen på toppen avgörande
Kapitel 1 Utmaningen 21
Boken utgörs av 11 kapitel. Efter det inledande kapitlet som du snart läst färdigt börjar vi naturligt nog med ett kapitel om den interna kontrollens ledarskap: tonen på toppen. Därefter tar upp vi upp hur man etablerar en organisationsövergripande styrning och kontroll, varefter vi beskriver ramverkets betydelse och vad man generellt bör tänka på när man designar och optimerar intern styrning och kontroll. Därefter följer några kapitel där vi djupdyker i specifika områden. Vi börjar med riskbedömning, som ju utgör en grundläggande del i den interna styrningen och kontrollen. Vi tar sedan upp hur man bäst skyddar sig mot oegentligheter, varefter ett kapitel om styrning och kontroll av IT följer. Därefter går vi in på styrning och kontroll av redovisning och rapportering, varefter vi avlutar med hur man som styrelse och ledning följer upp effektiviteten i den interna styrningen och kontrollen. Boken avslutas med några sammanfattande reflektioner. Läsanvisningar och bärande idéer Det finns ett antal förutsättningar som man bör ha med sig när man läser boken. För det första förhåller sig inte boken strikt till något enskilt ram verk, även om vi är inspirerade av ramverket från COSO (2013), och många av resonemangen förhåller sig till principer och fokusområdena från detta ramverk. Det mesta som tas upp i boken går att relatera till principer och fokusområden i COSO:s ramverk. Vi följer emellertid vår egen snitslade bana och har byggt upp innehållet utifrån hur vi själva tänker som rådgivare om hur man praktiskt bör arbeta med att utforma och optimera intern styrning och kontroll. Boken tar upp och diskuterar utformning, användning och uppföljning av intern kontroll på avancerad nivå, vilket
Struktur och upplägg
STUDENTLITTERATUROCH©FÖRFATTARNA
sationer i alla branscher. Boken är tänkt att kunna fungera som litteratur på kurser på universitet och högskola inom redovisning, ekonomistyrning och management, och även som stöd till praktiker inom ekonomi och verksam hetsstyrning, intern kontroll, riskhantering, regelefterlevnad (compliance), internrevision, externrevision samt skydd mot oegentligheter och korruption.
Boken är inte fullständigt uttömmande utan innehåller pusselbitar som vi bedömer som mest väsentliga utifrån vår förståelse för befintlig litteratur, etablerade ramverk och nuvarande praktik i företag och organisationer. Vidare har vi över lag förhållit oss sektorneutrala, varför vi inte tagit höjd för eventuella egenheter som kan finnas i exempelvis offentlig sektor, finansiell sektor eller inom den tillverkande industrin. Vi är medvetna om att vägledning, föreskrifter och annan normgivning finns i reglerade sektorer och som med avseende på intern styrning och kontroll kan inne bära särskilda unikheter för den berörda branschen. Läsare bör ha detta i åtanke. Likväl menar vi att resonemangen i denna bok är allmängiltiga och således relevanta för företag och organisationer oavsett bransch och sektor, och oavsett storlek eller komplexitet. Låt oss avsluta detta kapitel med att ta upp några bärande idéer som ligger till grund för denna bok. Dessa genomsyrar även många av våra resonemang. En del av styrmixen Det är viktigt att understryka att den interna styrningen och kontrollen endast är en komponent av det totala styrningspaketet, eller styrmixen, i företag och organisationer. Vår bok präglas genomgående av detta perspek tiv, där den interna kontrollen bör utformas, användas och följas upp som en del av övrig styrning och där denna även kompletterar övrig styrning. Ledare och specialister bör således hela tiden beakta vad som krävs i form av styrning och kontroll ur ett helhetsperspektiv. Hela styrmixen måste fungera ihop, och detta gäller på företagsövergripande nivå, affärsområdesnivå, enhetsnivå och processnivå. Intern kontroll löser inte alla styrningsutmaningar utan främst de som rör rätt
STUDENTLITTERATUROCH©FÖRFATTARNA
22 Kapitel 1 Utmaningen förutsätter viss kännedom och förståelse för relevanta begrepp. För en grundläggande introduktion till intern styrning och kontroll hänvisas till Arwinge (2013) som även mer rikligt tar upp teoretiska samband och definierar och diskuterar grundläggande begrepp. För ett bredare perspek tiv på intern kontroll som en del av den företagsövergripande riskhante ringen (Enterprise Risk Management, ERM) hänvisar vi till Arwinge, Olve & Magnusson (2017).
Kapitel 1 Utmaningen 23
något som bidrar till att organisationer presterar och når mål – eller inte. Kvalitet i riskhantering blir alltså utslagsgivande.
Det handlar om tillämpningen
Det finns ett flertal dysfunktionella effekter som kan uppstå som ett resultat av felaktig tillämpning av riskhantering och intern kontroll. Detta innebär
visande redovisning, god efterlevnad av lagar och regler samt hur man bedriver en hållbar verksamhet där risker hanteras på ett medvetet sätt. Vad som följer av detta är att bokens fokus ligger på hur man ska optimera den interna kontrollen för att göra den så resurseffektiv och nyttig som möjligt, givet att alla företag och organisationer behöver hantera risker och använda intern styrning kontroll (Malmi & Brown, 2008).
Detta har med tillämpning att göra, menar vi. En ändamålsenlig och effektiv tillämpning av organisationsövergripande riskhantering, inklusive intern kontroll, kan bidra till att man parerar hot och risker smidigt, har pålitliga processer som fungerar även under press samt till att man som styrelse och ledning känner trygghet att organisationen kan prestera även under komplexa eller motiga förhållanden (Funston & Wagner, 2010).
Ingen universallösning
Vi har anammat ett synsätt som även ligger till grund för ledande ram verk inom området, nämligen att den interna styrningen och kontrollen bör anpassas och dimensioneras utifrån vad omgivningen och den egna
STUDENTLITTERATUROCH©FÖRFATTARNA
inte att det är något fel på underliggande ramverk, processer och begrepp. Våra erfarenheter handlar mycket om just detta, vilket även lett oss till att skriva denna bok. En dålig tillämpning av intern styrning och kontroll kan leda till byråkrati, ängslighet, administration och långsamma processer som sammantaget kan tynga ner organisationer (Power, 1997; 2007). En dålig tillämpning kan även leda till omedvetet eller orimligt risktagande som över tid leder till incidenter, missförhållanden och förluster. Båda dessa ytterligheter är resultat av felaktig tillämpning. Emellertid ser vi även exempel på raka motsatsen. Det är viktigt att återigen understryka att vid sidan av överlägsna strategier är kvaliteten i riskhanteringsprocesser
OPTIMERA INTERN STYRNING OCH KONTROLL
STUDENTLITTERATUROCH©FÖRFATTARNA 24 Kapitel 1 Utmaningen Art.nr 45332
Olof Arwinge är ekonomie doktor från Uppsala universitet och verksam som rådgivare vid KPMG. Han har över 20 års erfarenhet som rådgivare, lärare och författare inom Governance, Risk & Compliance (GRC) och har skrivit flera böcker inom detta område. Hans senaste bok, även den utgiven på Studentlitteratur, handlar om hur man som internrevisor och rådgivare kan kommunicera och agera för att åstadkomma förändring i organisationer.
Men hur ska man som ledare balansera risktagande och kostnad för kontroll, och vad bör man tänka på för att optimera den interna kontrollen i sin organisation? Kraven på intern styrning och kontroll ökar ständigt. Men ofta hör man om organisationer präglade antingen av formalisering, stelbenthet och ängslighet, eller omedvetet risktagande med incidenter som följd. Men rätt utformad är intern kontroll eko nomisk, dynamisk och värdeskapande. Rätt utformad är den en integrerad del av styrmixen i företag och organisationer.
I denna bok redogör författarna för vilka pusselbitar som är viktiga för att optimera intern styrning och kontroll i företag och orga nisationer. Boken passar studenter på högskolenivå, ledare av organisationer samt specialister inom compliance, riskhantering, revision, governance samt intern styrning och kontroll.
Tristan Davaine är ekonom och verksam som rådgivare inom GRC vid KPMG. Tristan är ämnesområdesexpert inom riskhantering och intern kontroll och har 20 års erfarenhet från stora konsultbolag och finansiell sektor. Tristan arbetar med optimering av intern kontroll inom alla sektorer med fokus på kvalitet i redovisning och finansiell rapportering, skydd mot mutor och korruption samt motverkande av penningtvätt.
För att skapa en hållbar verksamhet krävs effektiv intern styrning och kontroll som bidrar till att risker hanteras och mål kan nås.
studentlitteratur.se