Crash course i
intern kontroll
Automatisering av rutiner och processer
Intern kontroll är en av grundförutsättningarna för en verksamhet, och syftar till det regelverk som en organisation följer för att kunna fungera. Det kan handla om allt ifrån att säkerställa att verksamheten får betalt för sina tjänster, till att vara säker på att en faktura betalas korrekt och i rätt tid.
Alla verksamheter har intern kontroll i någon form, till och med om den inte är uttalad och helt informell. Normalt sätt, och för de flesta verksamheter finns oftast standardiserade regler för de processer och rutiner som förekommer, och typiskt sett kompletteras dessa med någon form av nivå på kontrollaktiviteter, som t.ex. ett attestflöde för att kontrollera en inkommen faktura. För många företag förblir intern kontroll, även om den är uttalad och till viss del standardiserad, inte alltid dokumenterad, övervakad eller optimerad.
Att öka och förbättra intern kontroll har kommit att bli allt viktigare, framförallt på grund av stora och återkommande incidenter i näringsliv och samhälle, brott och brister hos verksamheter som når allmänheten, exponeras i media och till och med lagförs. Låt oss vandra igenom begreppet!
Eftersom alla verksamheter har intern kontroll i någon form, är det viktigt att definiera i vilken grad den finns, för att senare sätta förväntan om hur den kan förbättras. Allt i en organisation behöver inte formaliseras och kontrolleras för att en förbättring av intern kontroll ska äga rum. Det handlar snarare om att identifiera och hantera dem mest relevanta och kritiska riskerna mot verksamheten, och sätta effektiva kontroller för att på så sätt förflytta verksamhetens mognadsgrad för intern kontroll.
COSO
Ramverket COSO är en välkänd modell för att utvärdera, implementera och granska en verksamhets interna kontroll och styrning när det kommer till operationella mål, rapportering och efterlevad av lagar och regler. Modellen består av 5 komponenter, Control Environment, Risk Assessment, Control Activities, Information & Communication, och Monitoring Activities, som i sin tur beskrivs med hjälp av 17 principer.
Genom att utvärdera processer och rutiner mot ramverket, kan verksamheten skapa en god förståelse för sitt nuläge och sin mognadsgrad.
Control
Environment
The organization demonstrates a commitment to integrity and ethical
values.
The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control.
Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.
The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives.
The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.
Risk
Assessment
The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.
The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.
The organization considers the potential for fraud in assessing risks to the achievement of objectives.
The organization identifies and assesses changes that could significantly affect the system of internal control.
Control
Activities
The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels.
The organization selects and develops general control activities over technology to support the achievement of objectives.
The organization deploys control activities through policies that establish what is expected and procedures that put policies into action.
Information &
Communication
The organization obtains or generates and uses relevant, quality information to support the functioning of internal control.
The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control.
The organization communicates with external parties regarding matters affecting the functioning of internal control.
Monitoring
Activities
The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning.
The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate.
Mognadsgrad för intern kontroll
Utifrån regelverket COSO och de 17 principerna kan en bedömning av verksamhetens mognadsgrad för intern kontroll genomföras. Bedömningen syftar till att definiera hur välformulerade kontrollfunktioner inom verksamheten är, och behöver vara. Mognadsgraden kan delas upp i 5 nivåer, där varje nivå innebär en ökad tillförlitlighet att rådande internkontrollsstruktur i tid kan identifiera väsentliga brister och avvikelser.
Odefinierad
Grundläggande
Standardiserad
Monitorerad
Optimerad
Mognadsgraden för intern kontroll börjar på en odefinierad nivå med mycket stor risk för avvikelser eller till och med en helt saknad struktur för kontroller och styrning. Utifrån denna nivå ökar skalan därefter stegvis till en grundläggande, standardiserad, monitorerad och slutligen optimerad nivå. En högre mognadsgrad innebär att den interna kontrollen är en allt med integrerad del av verksamheten, med kontroller som med hög säkerhet förhindrar och åtgärdar brister, risker, fel och misstag,
Utmaningen för de flesta verksamheter är att utifrån mognadsgraden, definiera en relevant målbild med intern kontroll på kort och lång sikt, kopplat till de behov och risker som verksamheten ser. Ambitionsnivån definieras från att endast grundläggande behov möts som har en mindre inverkan på verksamheten, till en optimerad miljö där avvikelser med hög säkerhet fångas upp.
Hur automation ökar mognadsgraden för intern kontroll
Med en identifierad mognadsgrad och en målbild för intern kontroll etablerad i verksamheten, finns smarta verktyg för automation att nyttja för att effektivt nå uppsatta mål. Det kan handla om automation för att följa upp på etablerade processer och rutiner och säkerställa att dem fungerar, till att delvis eller helt ersätta manuella och icke värdeskapande processer som innebär risker och kostnader för verksamheten.
Att kontrollera betalningar och leverantörer är ett bra exempel på automation som effektivt flyttar verksamhetens mognadsgrad väsentligt på mognadsskalan, och som ger viktiga effekter…
Här är några av effekterna…
- Fånga upp risker förknippade med ekonomisk brottslighet, såsom bluffbolag och bedrägerier.
- Öka tryggheten för kollegor och anställda, undvik missförstånd och missförtroende.
- Få en kvittens och bekräftelse på att processer och rutiner fungerar som de ska.
- Säkerställ att lagar och regler följs, minska risken för kostnader i form av böter, eller juridiska processer.
- Möjligheten att agera proaktivt på misstag och fel, innan de inträffar.
- Enhetliga, tydliga processer, som förbättrar effektivitet.
Bra lösningar för Intern kontroll
Inyett Förtroendeanalys
Analyserar personer med bisysslor
Inyett Registeranalys
Analyserar leverantörer och register
Inyett Betalhistorikanalys
Analyserar historiska betalningar.