Intern- och externrevision speglar verksamhetens risker i två dimensioner
Intern styrning och kontroll har lyfts fram som en särskilt viktig samarbetsfråga mellan externrevisorer och internrevisorer. Mats Tunbjörk och Torbjörn Wikland har här satt ihop en kort orientering kompletterad med några synpunkter baserade på det samarbete FAR SRS och Internrevisorerna har inlett kring området intern styrning och kontroll.
ABL – aktiebolagslagen
COSO – Committee of Sponsoring Organizations of the Treadway Commission
Intern styrning och kontroll ser ut att bli en allt viktigare fråga för företag, myndigheter och andra organisationer, numera reglerad med nya lagar, förordningar och riktlinjer i kölvattnet efter finanskrisen. Det gäller därför för externrevisorer, internrevisorer och andra aktörer:
att veta vad intern styrning och kontroll är samt känna till de standarder som finns inom området,
att vara orienterade om de lagar, förordningar och riktlinjer som finns och som varierar för olika företags- och organisationsformer, samt
att ha klart för sig vilka roller och uppgifter som särskilt externrevisorer och internrevisorer kan eller bör ha inom detta område.
Vad menas med intern styrning och kontroll?
Begreppet är från början amerikanskt – internal control – men ”control” betyder i första hand styrning och i andra hand det vi på svenska menar med kontroll. Det bästa är därför att tala om intern styrning och kontroll – fast många bara säger intern kontroll. Vi tar upp det därför att vi vet att det förenklade uttrycket ”intern kontroll” ofta skapar förvirring i dialogen med styrelser och företagsledningar.
Grundidén bakom begreppet är att god intern styrning och kontroll är ett hjälpmedel för företaget/organisationen att uppnå sina mål – inklusive effektivitet och styrförmåga samt att följa krav såsom lagar, förordningar, regler, ägardirektiv, etc. Man kan se intern styrning och kontroll som en form av ordning och reda om man utgår från företagets mål och de yttre kraven på företaget och inte ser det som ett egenvärde. Det kan också finnas för mycket kontroll.
En annan viktig grundtanke är att intern styrning och kontroll är mycket nära kopplat till god riskhantering. God kännedom om risker och genomförda åtgärder för att eliminera eller reducera riskerna ökar säkerheten i allt som företaget arbetar med. Åtgärderna blir ofta en del av den interna styrningen och kontrollen.
Lagar och regler om intern styrning och kontroll
I ett aktiebolag är styrelsen enligt ABL ytterst ansvarig för att bolaget har god intern styrning och kontroll.
Svensk kod för bolagsstyrning (koden) kompletterar ABL och annan tvingande reglering genom att, utöver lagens minimikrav, ange en norm för vad som kan anses vara god sed för bolagsstyrning. I styrelsens uppgifter ingår enligt koden att se till att det finns effektiva system för uppföljning och kontroll av bolagets verksamhet samt att bolaget har rutiner som säkerställer att fastlagda principer för finansiell rapportering och intern kontroll efterlevs. I en årlig bolagsstyrningsrapport ska styrelsen redogöra för hur man tillämpat koden och i ett särskilt avsnitt i rapporten ska styrelsens beskrivning av intern kontroll och riskhantering vad gäller den finansiella rapporteringen ingå.
EG:s fjärde och sjunde redovisningsdirektiv har under året medfört förändringar i den svenska lagstiftningen med krav på att bolag som är noterade på en börs ska upprätta en bolagsstyrningsrapport. Innehållet i den lagstadgade bolagsstyrningsrapporten är dock i princip detsamma som krävs enligt koden. Den kommer successivt att anpassas till dessa nya förutsättningar genom att motsvarande regler tas bort ur koden och att en hänvisning i stället görs till gällande lag.
Även de statligt ägda företagen, vilka lyder under samma lagar som privatägda företag, ska upprätta en bolagsstyrningsrapport och en rapport om intern kontroll.
Kravet på god intern styrning och kontroll för statliga myndigheter har funnits länge i den gamla verksförordningen och sedan två år tillbaka är detta reglerat i den nya förordningen om intern styrning och kontroll. För utvalda myndigheter gäller att ledningen ska uttala sig om myndighetens interna styrning och kontroll i anslutning till den avlämnade årsredovisningen. Uttalandet granskas sedan av Riksrevisionen. Detta skedde första gången under våren 2009.
Det finns även krav i kommunallagen som rör intern styrning och kontroll. Dessa krav är dock inte så långt formaliserade som för de noterade aktiebolagen och de statliga myndigheterna.
COSO:s definition av intern styrning och kontroll
Det finns ingen internationellt fastställd standard för intern styrning och kontroll, men som en de facto-standard fungerar amerikanska COSO.
Så här definieras intern styrning och kontroll i COSO:s dokument:
Intern styrning och kontroll är en process, utförd av en organisations styrelse, ledning och annan personal, utformad för att ge rimlig försäkran om att målen uppfylls inom följande kategorier:
Effektivitet och produktivitet i verksamheten
Tillförlitlig finansiell rapportering
Efterlevnad av tillämpliga lagar och regler
För att åstadkomma detta rekommenderar COSO, mycket kortfattat, att man använder följande arbetsmodell: Utifrån verksamhetens mål och yttre krav görs en riskanalys som följs av riskhantering genom en god kontrollmiljö och olika kontrollåtgärder baserade på god information och kommunikation i organisationen samt en effektiv uppföljning av den interna styrningen och kontrollen. Detta synsätt både återspeglas och rekommenderas i förarbetena till de lagar och riktlinjer som vi nämnt ovan.
Extern- och internrevisorns granskning av intern styrning och kontroll
Externa revisorer i de noterade aktiebolagen har ett tydligt uppdrag att granska att informationen i respektive bolags årsredovisning och i övrig finansiell rapportering är korrekt och rättvisande. Revisorn ska också rapportera till bolagets styrelse och ledning och hos dem framställa eventuella erinringar och göra de påpekanden som följer av god revisionssed. I och med den förändrade lagstiftningen ska även bolagsstyrningsrapporten granskas av externrevisorn.
Med COSO:s synsätt täcker därmed externrevisorn in området tillförlitlig finansiell rapportering och den del av området ”efterlevnad av lagar och regler” som gäller finansiell rapportering. Den tillkommande granskningen av bolagsstyrningsrapporten berör också delar av COSO:s utpekade område, effektivitet och produktivitet i verksamheten.
Styrelsens behov av försäkran om att hela området intern styrning och kontroll är granskat kan tillgodoses genom den interna revisionens kompletterande arbete. Det finns dessutom säkert en önskan från styrelsen att externrevisorerna och internrevisorerna kompletterar varandra utan vare sig onödiga dubbeljobb eller vita fläckar utan granskning. Kan de två typerna av revision samverka är det desto bättre.
Vi är medvetna om att arbetsfördelningen i praktiken kan se lite olika ut mellan extern- och internrevisorer. Ovan beskrivna ansvarsområden tror vi dock är en bra grund för att extern- och internrevisorerna ska ge styrelse och ledning ett fullgott underlag för att självständigt bedöma och säkerställa att organisationen har en god intern styrning och kontroll.
Granskning av verksamhetens risker och riskhantering
Ett område där det kan finnas behov av att samordna de olika revisionsinsatserna är analys och bedömning av organisationens risker och riskhantering.
För externrevisorn är det i första hand revisionsrisken denne har att beakta. Med revisionsrisk avses risken att revisorn gör ett felaktigt uttalande i revisionsberättelsen. Externrevisionens inriktning mot granskning av bokslut, redovisning och finansiella risker innebär dock en risk för att samtliga väsentliga affärs- och verksamhetsrisker i organisationen inte uppmärksammas i den externa revisionens arbete.
Internrevisorn inriktar vanligen sin granskning mot de delar av den interna styrningen och kontrollen som inte primärt omfattas av den externa revisionens uppdrag, vilket innebär att internrevisorns arbete i första hand innefattar en bedömning av riskerna för att verksamhetens mål inte kommer att uppnås.
Den externa och den interna revisionens granskningar och bedömningar av organisationens risker kommer genom revisionsinsatsernas olika inriktning på så vis att spegla verksamhetens samlade risker i två olika dimensioner. Den externa revisionens bedömning av risker innefattar i första hand risker för felaktiga värderingar av enskilda poster och övrig information i den finansiella rapporteringen, medan den interna revisionens bedömning av risker i första hand innefattar processrelaterade risker knutna till verksamhetens mål.
Riskanalyser presenteras vanligen i form av en matris med sannolikhet och påverkan på var sin axel samt med en bedömning av riskerna utifrån en skala från låg till hög. Vi har sett exempel på försök att presentera den externa och den interna revisionens riskanalyser i en gemensam riskmatris. Detta är dock ej att rekommendera, då riskanalyserna vanligen beskriver organisationens risker i två olika dimensioner. Vi rekommenderar att verksamhetens risker presenteras i två matriser där den ena matrisen innehåller risker för felaktiga värderingar av enskilda poster och övrig information i den finansiella rapporteringen och den andra matrisen innehåller processrelaterade risker knutna till verksamhetens uppställda mål. Externrevisorn måste vid granskning av större företag och organisationer vanligen förlita sig på tillförlitligheten i utvalda processer. Dessa kan relateras till bestämda balans- och resultatposter i den finansiella rapporteringen. Därmed är även bedömningen av vissa processrelaterade risker av intresse för externrevisorn. Men det är enligt vår uppfattning fortfarande viktigt att dessa processrelaterade risker inte presenteras i samma matris som den där risker för felaktiga värderingar av enskilda poster i den finansiella rapporteringen presenteras.
Vi ser det som naturligt och som en klar fördel om sammanställningar av risker självständigt upprättas av de operativt ansvariga för verksamheten. En Risk Management-funktion eller en enhet för intern styrning och kontroll kan t.ex. på styrelsens eller ledningens uppdrag ha i uppgift att utföra detta arbete. Den externa och den interna revisionen bör granska och utvärdera innehållet i dessa sammanställningar av risker för att säkerställa att samtliga väsentliga risker har uppmärksammats och att bedömningarna av dessa kan anses vara rimliga.
Revisorernas granskning bör även innefatta en genomgång av organisationens processer och rutiner för att identifiera, bedöma och hantera risker i verksamheten. För den interna revisionen kan en sådan granskning även utgöra ett av de första stegen i planeringsprocessen i samband med att årets revisionsplan utarbetas.
Målet för den interna revisionen bör enligt vår uppfattning vara att helt kunna förlita sig på organisationens egna riskanalyser. Om detta är realistiskt på kortare eller längre sikt varierar säkert från organisation till organisation. Detta ger dock enligt vår erfarenhet möjligheter till effektivitetsvinster och ökar även medvetandet om och förståelsen för risker och riskhantering i organisationen. Internrevisorn kan – som en del av sin rådgivande roll – inledningsvis vara mycket aktiv i utarbetandet av organisationens riskanalys, men måste för att förbli trovärdig som obunden och objektiv granskare, sedan lämna över hela ansvaret för detta arbete till organisationens ledning och dess funktioner för riskhantering eller intern styrning och kontroll.
Mats Tunbjörk är ställföreträdande revisionschef i Posten Norden AB.
Torbjörn Wikland är före detta ordförande i Internrevisorernas förening, nu verksam inom regeringskansliet för utveckling av riskhantering.
Båda ingår i den samverkansgrupp för intern styrning och kontroll som FAR SRS och Internrevisorernas förening skapat.