Vad är intern styrning och kontroll? Svaret är varken enkelt eller särskilt kortfattat. Allt för ofta reduceras intern kontroll, eller intern styrning och kontroll som möjligen är den mer korrekta svenska översättningen, till frågor av karaktären ordning och reda. Inget vore längre från sanningen. Intern styrning och kontroll bör betraktas som en viktig bolagsstyrningsmekanism och fundamentet i varje organisations riskhantering.
Men vari består intern styrning och kontroll? Sedan 1992 finns en etablerad standard att förhålla sig till – COSO:s ramverk för Internal Control. COSO är en livaktig organisation skapad av fem nordamerikanska intresseorganisationer – ursprungligen med uppgiften att mota bort hotet om lagstiftning efter börsanknutna företagsskandaler på 1980-talet. COSO:s ramverk utgör i dag en de facto-norm för att utforma och upprätthålla effektiv intern styrning och kontroll, vilket även syns tydligt i såväl svensk som utländsk normgivning. Det tillämpas inte bara i börsnoterade aktiebolag utan även i andra bolag, offentliga myndigheter och frivilliga organisationer. I maj 2013 släpptes en uppdaterad utgåva av ramverket. Sammantaget är den nya utgåvan betydligt mer lättillgänglig och texterna har utvecklats för att möta ökande intressentkrav och komplexitet i företagande och affärsmodeller.
Viktiga kännetecken
Det finns ett antal kännetecken som är grundläggande för intern styrning och kontroll och som särskiljer begreppet från övriga styrnings- och kontrollorienterade begrepp. För det första finns en direkt koppling till organisationers riskhanteringsprocesser och som i sin tur är kopplade till verksamhetsmålen. Kopplingen till mål och bristande måluppfyllnad är absolut och utgör viktiga kriterier för vad som innefattar intern styrning och kontroll. För det andra finns historiskt sett en nära koppling till företagets bokföring och redovisning, samt skydd av bolagets tillgångar. Även om detta kvarstår har omfattningen av intern styrning och kontroll väsentligt breddats, till att omfatta delar som rör regelefterlevnad, ändamålsenlighet och effektivitet i verksamhet. För det tredje är intern styrning och kontroll ett regulatoriskt objekt med en stark koppling till ägar- och bolagsstyrning. Begreppet är kodifierat i normgivning och utgör en viktig mekanism och som ägare och styrelser bör ha god koll på. För det fjärde menar vi att intern styrning och kontroll utgör grunden för all kontroll- och styrningsverksamhet i företag och organisationer. Det är därför även en förutsättning för att ledningen ska kunna förlita sig på data och information i system och processer, och bidrar således till beslutskvalitet i företag och andra organisationer. Dessa särdrag bidrar även till att förklara varför det uppdaterade ramverket från COSO våren 2013 borde uppmärksammas av fler än dedikerade assurance-specialister.
Det nya med COSO:s ramverk 2013
Den som grundligt studerar COSO:s ramverk från 1992 kan konstatera att mycket är detsamma även i den uppdaterade utgåvan från 2013. Det som dock tidigare var inbäddat i långa och bitvis dåligt strukturerade textavsnitt, har med den nya utgåvan fått en bättre struktur där principer och fokuspunkter beskrivs på ett smakfullt sätt. I jämförelse framstår det uppdaterade ramverket som mer lättillgängligt och pedagogiskt, om än relativt omfattande volymmässigt.
Inledningsvis slås fast att det handlar om 17 principer för intern styrning och kontroll. Dessa principer fanns även i den ursprungliga utgåvan, men inte lika tydligt utmärkta. Samtliga principer är relevanta för alla typer av verksamheter och måste vara både närvarande och fungerande för att effektiv intern styrning och kontroll ska kunna föreligga.
De 17 principerna är fördelade över fem komponenter som fortsatt kvarstår i sin ursprungliga form: kontrollmiljö (egentligen styr- och kontrollmiljö), riskbedömning, kontrollaktiviteter, information och kommunikation och övervakning/uppföljning. Dessa komponenter är ömsesidiga och måste alltså utformas och fungera ihop, både inom organisationens olika delar och inom organisationen som helhet. Ser man till remissvaren som föranledde den nya utgåvan framfördes två huvudsakliga invändningar gällande dessa principer. Den första rör huruvida samtliga principer nödvändigtvis måste fungera för att god intern styrning och kontroll ska föreligga. Den andra rörde en rädsla för att principerna ska resultera i en ”checkliste-utvärdering” av intern styrning och kontroll, något som självklart måste undvikas. Vidare utvidgar COSO begreppet rapportering, till att omfatta såväl intern som extern icke-finansiell rapportering. Av naturliga skäl läggs alltså större vikt vid att skapa en god styrning och kontroll över företagens externa rapportering och kommunikation som exempelvis rör bolagsstyrningsfrågor och det som ryms inom ramen för begreppet CSR. Den nya releasen fäster även större vikt vid informations- och kommunikationsteknologier, risker rörande oegentligheter samt olika former för utkontrakteringsförhållanden. Låt oss kika lite närmare på några av principerna.
Etiska frågor, ansvar och uppföljning
Av de fem komponenterna är kontrollmiljön avgörande då den handlar om ledningens styrsignaler. Utan ledningens aktiva styrsignaler faller de mest utstuderade kontrollrutiner platt till marken. I den nya utgåvan av ramverket är det tre aspekter av kontrollmiljön som ges ökad betydelse: etikfrågor (det vill säga tonen vid toppen och skapandet av en sund riskkultur), att ledningen ordnar strukturer och ansvar för intern styrning och kontroll samt frågor som rör uppföljning och ansvarsutkrävande.
Rörande organisationens etiska spörsmål handlar det om att ledningen skapar riktlinjer och även i handling visar att dessa är viktiga. Styrelsen måste också engagera sig i arbetet med att övervaka huruvida etablerade etiska riktlinjer de facto följs, och därför även etablera strukturer och processer för uppföljning av effektiviteten i intern styrning och kontroll. I detta ligger även att utifrån ägarnas preferenser och styrelsepolicyer utforma tydliga roller och ansvar, samt delegera och begränsa ansvar inom organisationen vilket bland annat sker via fullmakter, mandat och systemåtkomst.
Något som får större utrymme i den nya utgåvan rör det som ibland kallas ansvarsutkrävande. Styrelse och ledning bör nämligen inte enbart fördela ansvar utan även aktivt följa upp och utkräva ansvar inom olika områden. Det handlar alltså om att från ledningshåll begära bevis för huruvida organisationen inom olika delar de facto har en effektiv intern styrning och kontroll. För organisationens medlemmar handlar det på motsvarande sätt om att förse ledningen med underlag som kan motivera bedömningar om intern styrning och kontroll.
Oegentligheter och risktolerans
Inom komponenten riskbedömning har risker rörande oegentligheter fått större utrymme. Det är kanske förvånande med tanke på att COSO redan från början betraktat intern styrning och kontroll som ett medel mot oegentligheter. Nu lyfts risker för oegentligheter fram ytterligare vilket tyvärr är helt logiskt. COSO har i tre rapporter för perioden 1992 till 2007 visat att beloppen för upptäckta oegentligheter i amerikanska börsföretag steg för steg har ökat. Samtidigt kan konstateras att kostnaderna för oegentligheter i allt större utsträckning handlar om förlorat förtroendekapital hos allmänhet och kapitalmarknad. Denna markering av COSO innebär dock inte att andra risker skulle minska i betydelse.
Riskbedömning är enligt COSO ej enbart knuten till målen och önskade prestationer inom olika områden utan även till den viktiga frågan om risktolerans. I de flesta fall kan risker inte elimineras utan att verksamheten upphör. I stället handlar det om att transferera/överföra risk till annan part, alternativt att acceptera eller reducera risken. I alla tre fall handlar det om att bestämma var nivån för tolererad risk ska ligga. Inom finansiell rapportering avser risktolerans till stor del materialitetsbegreppet, medan det inom traditionella finansiella risker handlar mycket om det kapital bolaget kan komma att behöva som skydd för materialiserad risk. Rörande operativa risker måste styrelse och ledning på samma sätt fastställa gränser, exempelvis rörande HR-risker. Tolerans för exempelvis personalomsättning beror på hur bolaget bedömer låg (risk för brist på innovationskraft) respektive hög (risk för höga personalkostnader) personalomsättning och vad som anses vara kritiskt för verksamheten.
Kontroll över IT viktigare
Tveklöst har IT en genomgripande påverkan på verksamheten i de flesta företag. Det mesta av företagens affärsverksamhet är numera importerad i informationssystem som identifierar, genererar och distribuerar information till berörda beslutsfattare. Ramverket ställer större krav på generella kontroller som rör IT, kontroller över infrastrukturen samt kontroller över hur system införskaffas, utvecklas och avvecklas. Det ställs även krav på att ledningen på ett adekvat sätt knyter ihop generella IT-kontroller men den kontroll som finns i respektive affärsprocess. I övrigt fästes särskild vikt vid uppdelning av ansvar inom olika processer, samt att viktiga kontroller både är rätt utformande samt fungerar effektivt.
Kommunicera både internt och externt
Överlag tycks det fästas större vikt vid ändamålsenlig och effektiv kommunikation, både till interna och externa intressenter. Detta torde vara ett resultat av att värdet av information relativt sätt ökar och att organisationer i allt högre grad måste samtala med kapitalmarknad och allmänhet för att överleva på sikt. Det handlar om både bolagsstyrningsfrågor och spörsmål som rör CSR-området. Denna rapportering måste skräddarsys utifrån informationsbehovet och utgå ifrån gällande normgivning och ramverk som finns etablerade för denna.
Kommunikation sker naturligtvis även internt i syfte att organisationen ska kunna ta sitt ansvar för intern styrning och kontroll. Detta utgör även en viktig grund för att styrelse och ledning sedermera ska kunna utkräva ansvar. För ledningen handlar det alltså om att informellt kommunicera förhållningssätt, men även formellt via policyer samt träning och utbildning. Medarbetare ska känna till vad som gäller och vad som förväntas av dem inom ramen för bolagets riskhanteringsprocesser. Kontrollen över information och kommunikation handlar alltså sammantaget om att säkerställa att övriga komponenter kan fungera effektiv.
Övervakning och uppföljning
Den avslutande principen rör komponenten uppföljning, eller övervakning. Detta handlar i sin helhet om att styrelse och ledning måste, både som en del av det reguljära arbetet och genom separata insatser, följa upp huruvida organisationens interna styrning och kontroll de facto fungerar. Detta för att i sin tur kunna underbygga bedömningar samt göra eventuella publika uttalanden om sakers tillstånd. Här utgör oberoende så kallade assurance-providers viktiga komponenter där både interna och externa revisorer omnämns som värdefulla rådgivare. Det läggs vidare vikt vid att avvikelser och överträdelser både identifieras och adresseras av organisation och ledning. Detta sker dels genom effektiva uppföljande aktiviteter men även genom att det finns system för incidentrapportering och så kallade whistle-blowing system. Avvikelser ska rapporteras till de närmast sörjande, det vill säga de som ansvarar för utförandet av själva kontrollaktiviteten, samt vid behov även till de ansvariga i ledning och styrelse. De sistnämnda måste informeras då de i slutändan är formellt ansvariga för effektiviteten i intern styrning och kontroll, och alltså måste informeras om eventuella brister.
För att bedöma intern styrning och kontroll har COSO publicerat en utförlig intervju- och frågeguide utifrån de 17 principerna, med utförliga kommentarer och exempel. Även om en intern eller extern granskare av ett företags interna styrning och kontroll inte slaviskt följer denna guide, så är de utmärkta illustrationer av nödvändigheten att vara systematisk i sin bedömning för att kunna uttala sig om helheten1. För specialister som är vana vid att utvärdera intern styrning och kontroll i företag och organisationer är just avsnitten om uppföljning samt intervju- och frågeguiden utmärkta stöd i arbetet, och utgör även ett fullgott stöd för att förklara behovet av ett helhetsbegrepp i synen på arbetet med intern styrning och kontroll för ledningen.
Avslutningsvis
Ramverket ger en sammanhållen struktur som underlättar arbetet med att utforma och upprätthålla intern styning och kontroll i företag och organisationer. Det ger ett fullgott stöd vid inventering av viktiga komponenter och kontrollattribut som lämpligen bör finnas i en organisation. I den mån man inte utgår ifrån detta ramverk i arbetet med att utforma och upprätthålla organisationens interna styrning och kontroll rekommenderar vi att detta sker. I en kort artikel som denna kan bara det viktigaste lyftas fram men för den som vill gå djupare finns flera möjligheter. COSO:s ramverk på engelska kan införskaffas via www.coso.org och en kort sammanfattning kan dessutom laddas ner gratis. Den kommer också översättas till svenska under hösten av Internrevisorerna, bland annat för att klargöra vad som bör vara en korrekt översättning till svenska. Jämfört med originalversionen från 1992 är uppdateringen 2013 mer lättillgänglig och pedagogiskt uppställd. FAR arrangerar tillsammans med Internrevisorerna sedan flera år kurser om intern styrning och kontroll, och från och med ii höst kommer de att baseras på den nya utgåvan.
Fotnot
1) I just detta avseende skiljer sig COSO:s ramverk väsentligt från ISO: s standard för riskhantering – som annars har många förtjänster. Ramverket från COSO har både struktur och hjälpmedel för att göra en helhetsbedömning, något som ISO:s standard saknar.
Olof Arwinge arbetar på Group Internal Audit på Swedbank och är ledamot i FAR:s och IIA:s arbetsgrupp för intern styrning och kontroll samt ordförande för IIAs kommittee för yrkestekniska frågor.
Torbjörn Wikland är civilekonom och har arbetat i statlig verksamhet större delen av sitt yrkesverksamma liv, han har bland annat arbetat med effektivitetsrevision och statlig ekonomistyrning.