Vad är internkontroll?

Internkontroll (intern kontroll) handlar om att kontrollera att verksamhetens når sina mål och gör vad den ska på ett effektivt sätt, att den finansiella rapporteringen är pålitlig och att lagar och regler följs. Internkontroll är en del av verksamhetens styrning och innebär oftast riskbedömningar och att arbeta fram och följa upp arbetsrutiner. Målet är att ledningen ska få bättre koll på verksamheten.

Internkontroll

Från myndigheters håll ställs ofta krav på regelefterlevnad i form av styrning, rapportering och transparens. I en snabbrörlig omvärld är det därför bra att ha en bra nulägesanalys och veta vart du befinner dig, för att sen kunna se vad verksamheten bör fokusera på framåt och arbeta för att nå dit.

De som arbetar med internkontroll i din verksamhet ska ses som en objektiv frikopplad enhet med friheten att systematiskt utvärdera organisationen. Slutmålet är att i högre grad nå affärsmålen. Vägen dit handlar ofta om målmedvetet riskhanteringsarbete.

Internkontrollarbetet ses ibland som ett obekvämt måste (kopplat till rapportering) och de som arbetar med internkontroll kan därför ha en kommunikativ uppförsbacke där mandat, tydlighet, informationsinhämtning och informationsspridning är viktig.

Anledningen till att du bör fundera över hur ni jobbar med internkontroll kan illustreras av de exempel på företag som misslyckats med att skapa en god intern styrning och kontroll: Du minns kanske Enron (2001), Skandia (2003), Försäkringskassan (2008) och HQ Bank (2010)? På senare tid har svenska banker, som fastnat i penningtvättskandaler, och covid-19 aktualiserat behovet av internkontroll.

Internkontrollplan och COSO

Committee of Sponsoring Organizations of the Treadway Commissions (COSO) ramverk är den mest vedertagna modellen för internkontroll och består av 17 utarbetade principer fördelade på fem områden.

Internkontroll som arbetssätt kan även enkelt kopplas till bredare arbetssätt (begrepp) som; hållbar utveckling, målstyrning och Corporate Performance Management.

1. Kontrollmiljö

Kontrollmiljö är processer och strukturer som har att göra med hur den interna kontrollen bör genomföras och vad som bör kontrolleras. Detta brukar innefatta vision, värderingar, företagskultur, ansvarsfördelning, arbetsgivarvarumärkets faktiska attraktionskraft, motivation och hur väl mål uppfylls.

2. Riskbedömning

Genom att se till interna och externa risker kan du blottlägga risker i din organisation, och på så sätt ta verksamheten närmare målen. Riskbedömningen ger dig också ett underlag för att jobba bort riskerna.

Det är viktigt att först specificera mål tillräckligt tydligt för att kunna ställa riskerna i relation till målen och därigenom måluppfyllelsen. Kategorisera riskerna i en riskmatris efter hur väsentliga de är i relation till måluppfyllelse och regelefterlevnad.

Exempel på mål: Verksamhetsmål, rapporeringsmål och regelefterlevnadsmål.

Exempel på risker: Förändringar i verksamheten, förändringar i ledarskapet, bedrägeri och påtryckningsrisker, attityder och rationaliseringar, ekonomiska och finansiella risker och förändringar i den externa miljön.

3. Kontrollaktiviteter

När du känner till riskerna bör du utforma åtgärder för att minska, förebygga eller få bort dem helt. Vissa aktiviteter kommer behöva byggas in i rutinartade processer och andra åtgärder kommer vara mer indirekta, exempelvis de som kopplar mot omvärlden (och inte har att göra med regelefterlevnad).

Det kan hända att du måste bygga upp nya processer genom kompetensutveckling och kommunikationsinsatser. Även i riskminimeringsarbetet går det att arbeta med resultatmätning och mål.

4. Information och kommunikation

Eftersom många missuppfattningar kan härledas till kommunikationsproblem är just kommunikation en extra viktig del av internkontroll. Ofta kommuniceras för mycket till ledningen och ofta är det svårt att veta vad ledningen vill ha för att kunna fatta beslut. Detta förenklas, på ett genomgående och grundligt sätt, av mjukvaror som Hypergene.

Här kan beslutsfattare själva hämta den information de vill och på samma sätt kan du som utför internkontrollen enkelt sammanfatta information i årshjul (planeringsöversikt), rapporter och dashboards. Systemet gör även inrapportering enklare eftersom det finns ett systemstöd där data från affärssystem, personalsystem, Excel-filer och annat kan kategoriseras och visualiseras. Hypergene har även stöd för din målstyrning.

5. Övervakning

Uppföljning är viktigt för att kunna ta analysen vidare till ett övervaknings- och kontrollstadium. Har de olika momenten utförts på rätt sätt? Har målen nåtts? Vad kan göras bättre till nästa gång? Har befogenheter, uppdrag, ansvar och kunskap fördelats rätt i organisationen?

Internkontroll i en internationell kontext

Governance, Risk och Compliance (GRC) är ett internationellt begrepp som bör ses som den internationella och bredare benämningen på internkontroll. Ett internationellt företag kan komma att kalla internkontrollarbetet eller det systematiska förbättringsarbetet för GRC-arbete, medan exempelvis IBM säger att GRC har att göra med IT, vilket säkert är rätt ur deras synvinkel.

Det finns en tendens till mer fokus på risk för de som arbetar med GRC i Sverige. Detta kan ha att göra med att begreppet är internationellt och att regelefterlevnaden därför skiljer sig mellan olika länder.

Vad som är en risk är inte alltid lätt att utläsa; rapporter, bokföring och IT-säkerhet är inte det enda som behöver kontrolleras idag. Ofta går det att se internkontroll som ett systematiskt förbättringsarbete, men också som systematisk kontroll.

Egenkontroll

I vissa branscher är det vanligt att benämna internkontroll som egenkontroll. Egenkontroll har mer att göra med regelefterlevnad och specifika lagar. Egenkontrollen kan för dessa företag ses som en del av internkontrollen. För livsmedelsbranschen och vård- och omsorgsföretag är egenkontroll ett vanligt begrepp.

Internkontroll och tillförlitlig rapportering

När du arbetar med internkontroll använder du ofta ett system som Hypergene för att få fram rapporter. Att kunna få fram rätt data i rapportform i samband med ditt internkontrollarbete kan ses som ett mål i sig, eller som en bonus.

Extern finansiell rapportering:

  • Årsredovisning
  • Delårsrapport
  • Myndighetsrapportering

Extern icke-finansiell rapportering:

Intern finansiell rapportering:

Intern icke-finansiell rapportering:

  • Styrelserapportering
  • Kundundersökningar
  • Medarbetarindex

Vill du veta mer om Hypergene?
Hypergenes kunder kan effektivisera sina finansiella planeringsprocesser, följa upp verksamheten genom avancerade analys- och rapporteringsmöjligheter och arbeta med målstyrning på ett sätt som bryter ner övergripande planer till mål, nyckeltal och aktiviteter i hela organisationen.

Vill du veta mer? Läs mer om vår lösning här eller titta på en 7 minuters videodemo av vår lösning: