Jag har med stort intresse läst artiklarna som författats av Åke Danielsson, samt Bo Ribers och Gunnar Widhagen. Jag har inte för avsikt att gå i polemik med dessa gentlemän men artiklarna gav anledning att ventilera några synpunkter. För att undvika missförstånd vill jag också klargöra att de synpunkter och tankar som redovisas nedan är mina egna.
Artiklarna diskuterar hur revisorn skall handskas med diverse frågor avseende bolagets interna kontroller, och utformning av revisionsberättelsen i detta sammanhang. (Jag använder begreppet interna kontroller i dess vidaste bemärkelse och inkluderar det FAR benämner interna kontroller, planering och kontroll). I artiklarna diskuteras marknadens krav och förväntningar på revisorn. Jag håller med om att revisorerna som yrkesgrupp har ett förtroende hos allmänheten och statsmakterna. Detta förhållande är ingenting evigt rådande utan revisorerna måste som yrkesgrupp ständigt visa, påvisa och bevisa de värden som ligger i att ha en oberoende granskning.
Marknadens aktörer är en mycket viktig intressentgrupp som skall få sina intressen tillgodosedda. Dessa aktörer är mycket praktiskt lagda och vill ha tydlighet, entydighet och vetskap. Om man för ett ögonblick sätter sig in i situationen att vara konsument av revisionsinsatser (dvs. revisionsamatör) kan man lätt få intrycket att det är upp till den enskilde revisorns skön att avgöra om de interna kontrollerna är tillfyllest. Om synpunkter som revisorn lämnar beträffande kontrollfrågor baseras på den enskilde revisorns subjektiva tyckande påverkas således innehållet i denna kritik av revisorns tidigare erfarenheter. Är han van att arbeta med företag där en vilda västern kultur härskar upplever han allt som är mer ordningsamt än detta som bra. Om han istället begåvats med söndagsskoleliknande klienter blir referensramen självklart helt annorlunda. Om revisorn blivit föremål för kritik tidigare för att han anmärkt/ej anmärkt på något förhållande inom ett klientföretag i en revisionsberättelse eller annan handling påverkar även detta självklart hans referensram.
Ett exempel på en fråga som i det enskilda fallet kanske inte är helt trivial att hantera kan exempelvis vara, om betydande återkommande avvikelser mot budget är uttryck för bristande styrning?
Skulle svaret vara ja, måste revisorn genast fråga sig vilken slutsats han i så fall skall dra om företaget inte arbetar med budgets?
Eller ett annat exempel: Innebär centralstyrning bättre kontroll (men sämre flexibilitet) än decentralisering? Hur decentraliserat får ett beslut vara och hur skall decentraliseringen ha skett utan att revisorn skall anmärka?
Har ett företag som satsar på utbildning bättre kontroll än ett annat? Har företag som lämnar bonus till sin personal mer motiverade medarbetare och därmed bättre kontroll över verksamheten? Har företag där firman kan tecknas av en person ensam en så svag kontroll att förhållandet skall anmärkas i revisionsberättelsen?
Detta är exempel på frågor som väcks när man sitter och funderar en stund och det är lätt att föreställa sig att marknaden snart inbillar sig att vi revisorer har en hemlig mall mot vilken vi gör våra bedömningar. Så hemlig att den inte kan delges klienterna utan de måste spänt undra om revisorn i efterhand skall godta företagets kontrollsystem. Mallens oklara konturer kan leda tanken till just de oönskade resonemangen kring ”övermänniska” eller ”övergeneraldirektör”.
Saken blir inte bättre av att det är revisorn som tar initiativet till undersökning av företagets interna kontroller. Det är nästan så att man kan tro att problemen kring frågan om företaget har tillräckliga interna kontroller ägs av revisorn. Självfallet måste det vara företaget som äger problemet!
Om den grova förenklingen jag skissat på ovan har en förankring i verkligheten så står denna i skarp kontrast till marknadens behov av praktisk och handfast information. Jag ställer mig mycket tveksam till om ett särskilt uttalande om den interna kontrollen i en revisionsberättelse är den bästa metoden för att skapa tillit och förtroende till den roll som tillkommer revisorn i affärslivet. Som revisorer lever vi på ett många gånger bräckligt förtroende- och tillitskapital som skall förvaltas och utvecklas vidare.
Så – finns det något alternativ?
Ja, varför inte ”kopiera” arbetssättet som gäller den räkenskapsmässiga revisionen till att omfatta även kontrollfrågor!
Vad gäller räkenskaper skall företaget i årsredovisningen utförligt beskriva vilka redovisningsprinciper som använts. Revisorns uppgift är att pröva om redovisningen verkligen skett i enlighet med de beskrivna principerna, och om tillämpningen ger en rättvisande bild av företagets ekonomiska läge.
Arbets- och ansvarsfördelningen blir mycket tydlig och revisorns kompetens och oberoende får full utväxling vad gäller räkenskapsrevision: Han gör en kritisk prövning av lämnade uppgifter.
Vad gäller kontrollfrågorna skulle företaget (styrelse och VD) på motsvarande sätt lämna en redogörelse för sin syn på intern kontroll och motivera den policy som tillämpas. I en sådan text skulle företaget även ge uttryck för hur väl man når upp till de kontrollmål företaget har. För att kunna göra detta slag av uttalanden reviderbara på motsvarande sätt som de siffermässiga uppgifter idag är krävs metoder och tekniker för att verifiera och mäta (bokföra) effektiviteten i företagets system för intern kontroll. Sådana system kan vid en första anblick te sig omöjliga att skapa och implementera. Man bör då betänka att det är just dessa åtgärder som revisorn redan idag har att genomföra för att kunna bedöma kvalitén på den interna kontrollen.
Sedan urminnes tider har det ansetts väsentligt att revisorn inte skall blanda sig i framtagandet av bokslut och värdering av företagets tillgångar och skulder då detta kan undergräva oberoendet. Samma resonemang borde vara applicerbart även på området för interna kontroller.
Med en arbetsordning som jag skissat på ovan blir ansvarsfördelningen tydligare vad gäller kontroller, vem som ansvarar för att kontrollsystemet blir föremål för kontinuerlig prövning samt att medvetet ta ställning till frågan om kontrollsystemets tillräcklighet. Genom att ”knuffa” över undersökning och verifiering av de interna kontrollerna föreligger inte samma behov från revisorns sida att bedöma om kontrollerna är tillräckliga. Revisorns uppgift vad gäller kontrollfrågor blir klarare: Han gör en kritisk granskning av lämnade uppgifter! Det är säkert för de flesta revisorer främmande att i revisionsberättelsen ange att han anser att maskinparken är för gammal för att klara de framtida kraven som företagets omvärld ställer. Däremot är det hans uppgift att kritiskt pröva att maskinerna blir redovisade på ett korrekt sätt så att läsaren själv kan dra sina slutsatser. På samma sätt borde det överlåtas till läsaren att bedöma om en viss kontrollstatus/profil är bra eller dålig. Däremot skall läsaren kunna lita på att de uppgifter som lämnas är korrekta. Liksom det inom redovisningsområdet erfordras standards (redovisningsrekommendationer) behövs det även inom kontrollområdet standards. För ändamålet finns en rad verktyg att utgå från. Jag tänker då i första hand på referensramar och modeller för intern kontroll såsom Coso, Coco, King Code m.fl.
För intressenternas del har ett bolags kontrollstatus stor betydelse. På kort sikt (året som gick) visar årsredovisningen i siffror hur väl företaget klarat sig. Även annan information lämnas som har betydelse vad gäller framtida potentialer såsom pågående forskningsprojekt m.m. Däremot lämnas idag klent med information om kontrollmiljön, hur denna underhålls samt vilka policies/principer som tillämpas. Dessa uppgifter bidrar till en mer nyanserad bild av företaget. Ett företag med hög soliditet har en annan riskprofil (inte nödvändigtvis bättre) än ett företag med lägre soliditet. På samma sätt har det tydliga fördelar för intressenterna att få en bild över ett företags kontrollprofil. En sådan profil möjliggör för intressenterna att göra en mer nyanserad riskbedömning av företaget.
I en förlängning kan den modell som skissas på ovan även nyttjas för att ge uttryck för eller i vart fall mäta kvalitén i de processer som skapar de siffermässiga uppgifterna. Att kvalitétsmäta sådana processer skapar en mer nyanserad bild av övrig information som bolaget lämnar, även om dessa inte varit föremål för direkt revision. Jag tänker då på delårsrapporter, kommunikéer, prognoser m.m.
Sammanfattningsvis anser jag att ett företags kontrollstatus är ett viktigt område att redovisa och beskriva för ett företagets intressenter. Området är även ett naturligt område för revisorer att arbeta med där vår kompetens kring riskbedömning och interna kontroller kommer väl till pass. Däremot bör företaget själv ta ansvar för såväl beskrivning som bedömning av kontrollnivån. Detta bl.a. för att förtydliga revisorns roll som kritisk granskare av lämnade uppgifter. Slutligen erfordras standards för att skapa en meningsfull kommunikation mellan företag och intressenter. Flera sådana modeller finns redan idag att utgå från.
Auktoriserad revisor Anders Hellström är verksam vid Deloitte & Touche i Stockholm.