Betydelsen av företagens interna kontroll ökar. Däremot finns begränsad information om hur företagen hanterar risker på olika nivåer. Genom att undersöka Finansinspektionens beslut rörande intern kontroll har Olof Arwinge och Tomas Munkby kartlagt bristerna inom ett hett område.

Intern kontroll, eller intern styrning och kontroll som ibland blir den svenska översättningen, är tveklöst ett begrepp som fått allt större betydelse. Betydelsen lär knappast minska då affärsmodeller blir mer avancerade, informationsflöden mer komplexa och externa krav på bolagsstyrning, riskhantering och intern kontroll ökar. Såväl EU-initiativ för att förbättra bolagsstyrning i finansiella institutioner som förbättringsarbetet beträffande bolagsstyrning generellt inom EU vittnar om en sådan utveckling. Till detta kommer även nya regler för bankverksamhet, Basel III, och för försäkringsverksamhet, Solvens II, vilka präglas av fokus på systemet för företagsstyrning samt företagens förmåga att mäta och hantera åtaganden och riskexponeringar på ett effektivt sätt.

Data om företags och andra organisationers interna kontroll är vanligtvis inte tillgängliga för utomstående. Information om den interna kontrollens utformning och effektivitet, inklusive brister, redovisas endast i mycket begränsad omfattning externt. En extern informationskälla är dock offentliga beslut från tillsynsmyndigheter, då intern kontroll är ett av många tillsynsobjekt. I syfte att få en överblick över noterade brister i intern kontroll har vi gjort en genomgång av besluten från tillsynsmyndigheten inom finansiell sektor, Finansinspektionen. Den ursprungliga studien gjordes under 2010 och resultatet har redovisats i olika sammanhang. Nyligen har vi även tillfört data från senare beslut.

Noterade brister i intern kontroll

Utgångspunkten i vår studie är de beslut som tillsynsmyndigheten avgivit under perioden 1999–2010. Det handlar om 69 beslut som omfattar de flesta tillståndspliktiga verksamheter. Utifrån besluten har vi identifierat och extraherat de brister i intern kontroll som har noterats, hädanefter omnämnda som observationer. Vi har exkluderat marknadsinformation, försenad rapportering och andra typer av observationer av incidentkaraktär som rör bokföring, rapportering, oegentligheter och andra överträdelser. Även den sektorspecifika tillsynsinsatsen under 2006 avseende försäkringsförmedling har exkluderats. Noterade observationer har fördelats in i olika kategorier beroende på vilket verksamhetsområde eller vilken process som observationen avser. Senare har dessa specificerats ytterligare en nivå, beroende på om observationen avser brister i exempelvis policyer, organisation, process eller rapportering. Även om resultatet åskådliggörs kvantitativt är studien huvudsakligen kvalitativ, då såväl identifiering som kategorisering och analys av de enskilda observationerna är en bedömning från vår sida.

Antal observationer fördelade över den studerade perioden 1999–2010 illustreras i figur 1. Trenden är att antalet observationer om brister i intern kontroll har ökat sedan 1999. Under 2001–2003 har inga observationer registrerats. Detta beror inte på avsaknad av beslut, utan på att vi inte identifierat några observationer i underlaget som är relevanta för vår studie under denna period. Trenden bryts under 2007 samt 2010 då antalet observationer faller. För perioden 2008–2009 har överlägset flest antal observationer noterats. Det ökande antalet observationer om brister i intern kontroll under perioden förklaras av flera faktorer. Sammantaget har dock vikten av god intern kontroll väsentligt ökat under perioden. Denna ökade betydelse reflekteras även i ändringar i lagstiftning och föreskrifter för finansiell sektor under denna period, samt i utvecklingen av övrig normgivning beträffande bolagsstyrning och intern kontroll.

Antal observationer per område

Totalt har vi identifierat 232 observationer om brister i intern kontroll. Dessa har delats in i totalt 23 kategorier beroende på vilken organisatorisk del och process som den enskilda bristen avser. Resultatet åskådliggörs i figur 2. Totalt är observationer relaterade till företagsövergripande kontrollfunktioner för riskhantering, compliance och styrelse/förvaltning mest förekommande. Dessa observationer representerar över 30 procent av den totala mängden. Därefter följer verksamhetsprocesser som kan sägas vara av samhällsviktig karaktär, såsom processer för motverkande av penningtvätt, rådgivning, intressekonflikter, kredithantering samt kundrelationer och kundklagomål. Ytterligare en företagsövergripande kontrollfunktion, internrevision, är ett område där ett flertal noteringar om brister förekommer. Även skuldtäckning och utkontraktering av tjänster har en del anmärkningar om brister, varefter återstående kategorier endast har ett fåtal eller någon enstaka observation.

Kategorierna kan delas in i två typer: de som är av mer företagsövergripande karaktär och de som avser mer processpecifika brister. Denna uppdelning åskådliggörs i figur 3 och figur 4. Fördelningen av observationer mellan dessa två huvudtyper av kategorier är nära 50/50, vilket innebär att 118 observationer fördelats över 8 kategorier av företagsövergripande karaktär, och 114 över 15 processpecifika kategorier.

BALANS_NR_06-07_A0020_bild1

Brister av företagsövergripande karaktär

Den kategori som sammantaget erhållit flest observationer är riskhantering. Detta område avser bolagens specifika och företagsövergripande funktioner för riskhantering och riskkontroll. Som illustreras i figur 5 är bristerna inom detta område i sin tur fördelade mellan underkategorier för organisation, policyer, process samt rapportering. Tillsammans utgör brister relaterade till organisation och policyer den överlägset största delen av mängden anmärkningar. Dessa är noteringar som avser avsaknad av riskkontrollfunktion, att funktionen för riskkontroll inte är tillräckligt självständig i förhållande till affärsverksamheten eller att funktionen har ett otydligt mandat. Brister i policyer är att de är obefintliga, inte tillräckligt omfattande eller att de på annat sätt inte är ändamålsenliga för bolagets riskhantering.

Det område som totalt sett hamnar näst högst upp i antal observationer är compliance. Karaktären på anmärkningar inom compliance liknar dem för riskhantering och en stor del av bristerna rör således organisation. Dessa inkluderar avsaknad av compliance-funktion, att funktionen inte är tillräckligt självständig i förhållande till affärsverksamheten eller att den har ett otydligt mandat. Resterande noteringar om brister fördelas främst på process samt policyer och någon enstaka notering avser rapportering. Processrelaterade brister inkluderar bristfälliga rutiner för att identifiera regeländringar eller testa och kontrollera regelefterlevnad. Någon notering avser även bristfällig information till anställda om gällande regelverk. Policyrelaterade brister rör främst att styrdokumenten saknas eller att de är ofullständiga.

Beträffande styrelse/förvaltning är anmärkningar om brister relativt jämt fördelade mellan underkategorierna process, organisation, policyer samt ledningsprövning. Policyrelaterade brister inom styrelse/förvaltning rör otydliga beslutsordningar, mandat som ej är formellt delegerade eller styrelseinstruktioner som inte är formellt fastställda. Bland processrelaterade brister kan här nämnas anmärkningar på rutiner för att fastställa instruktioner för verksamheten, otillräckligt deltagande vid styrelsemöten, otillräcklig frekvens på styrelsemöten samt att utestående kontrollbrister ej adresseras på ett effektivt sätt. Som figur 5 visar rör några observationer även bristfällig ledningsprövning, som i sin helhet avser att styrelseledamöter eller vd inte har anmälts.

Efter dessa tre områden följer en ytterligare företagsövergripande kontrollfunktion, internrevision. Beträffande anmärkningar om internrevision är den största delen relaterad till organisation, och då främst att man blandat granskande och förvaltande roller och att funktionen inte är oberoende i förhållande till affärsverksamheten. Ett fåtal anmärkningar rör även avsaknad av styrdokumentation för internrevisionens arbete eller bristfällig rapportering av granskningsarbetet. Bland de processrelaterade bristerna kan här nämnas en ineffektiv process för att följa upp tidigare rapporterade revisionsanmärkningar.

BALANS_NR_06-07_A0020_bild2

Kategorin policyer och riktlinjer innehåller observationer vilka avser generella brister i styrdokumentation, inklusive hur dessa utformas, uppdateras eller efterlevs. Observera att brister i styrdokument rörande ett visst specifikt område, exempelvis skuldtäckning eller riskhantering, således återfinns under dessa respektive kategorier. Inom området policyer och riktlinjer har vi delat in noterade brister i utformning, efterlevnad och process. Den allra största delen av noteringarna avser bristfällig utformning. Detta innefattar att styrdokumenten är ofullständiga, inte är tillämpliga för den aktuella verksamheten eller att de saknas.

Övriga kategorier av mer företagsövergripande karaktär, men där betydligt färre anmärkningar förekommer, är segregation of duties, roller och ansvar samt bolagets incidentrapportering. Den förstnämna kategorin avser bristande uppdelning av väsentliga arbetsuppgifter, bland annat inom skadereglering och utbetalningar. Roller och ansvar innehåller noteringar om brister vilka avser en generell otydlighet kring hur organisation eller olika roller har definierats. Incidentrapporteringen i bolag är starkt kopplad till området riskhantering, kanske särskilt hanteringen av operationella risker, men vi har ändå valt att särskilja denna i en separat kategori.

BALANS_NR_06-07_A0020_bild3
BALANS_NR_06-07_A0020_bild4

Brister av processpecifik karaktär

Ovan redovisades områden där kontrollbristerna var av mer företagsövergripande karaktär. Utöver dessa finns totalt 15 kategorier vilka kan sägas vara mer direkt kopplade till en specifik process i verksamheten. Dessa redovisas i figur 4 där det framgår att det är processer och områden av samhällsviktig karaktär som dominerar. Områden som processer för att motverka penningtvätt, rådgivning till konsumenter, kredithantering, intressekonflikter, kundrelationer och kundklagomål är bland de mest frekvent förekommande och således de områden där de flesta noteringar om brister i intern kontroll förekommer.

Även här har vi gjort gränsdragningar. Utkontraktering rör till exempel till stor del avtalshantering. I denna kategori avser noteringarna specifika brister i avtalsinnehåll mellan uppdragstagare och uppdragsgivare, avsaknad av avtal för utkontrakterade tjänster eller brister i hur uppdragsgivare följer upp den utlagda tjänsten. Avtalshantering som egen kategori däremot, vilken har någon enstaka observation, avser allmänna brister i den formella avtalshanteringen.

BALANS_NR_06-07_A0020_bild5

Samhällsviktiga processer i topp

Motverkande av penningtvätt är det processpecifika område som erhållit flest noteringar om brister. Inom denna kategori rör de flesta noteringar brister i process, där vanliga noteringar inkluderar bristfällig identifiering av kund, bristfällig analys av transaktionsmönster eller bristfällig rapportering av misstänkta transaktioner. Även kategorin policyer har någon notering beträffande avsaknad av regler och riktlinjer inom detta område. Utöver detta återfinns även någon notering om brist i penningtvättsansvar samt otillräcklig träning och utbildning inom området. Det senare har vi även givit en separat underkategori inom detta område. Därefter är rådgivning det område där flest noteringar om brister identifierats. Här är noteringarna relativt jämt fördelade mellan underkategorierna utbildning och träning, dokumentation samt kundanalys. Till stor del avser bristerna således en otillfredsställande kunddokumentation, bristande kunskap och kompetens hos rådgivare, eller brister i processer för lämplighetsbedömning/passandebedömning av kund. Sedan följer områden för hantering av intressekonflikter, kredithantering och kundrelationer. Kundrelationer innehåller i princip enbart brister i informationsgivning till kund om bolagets verksamhet eller produkter. Noteringar om brister kopplade till området för intressekonflikter rör till största del avsaknad eller brister i policyer kring detta, eller att potentiella eller reella intressekonflikter inte har adresserats på ett effektivt sätt.

Beträffande kredithantering rör de flesta bristerna själva kreditprocessen, och då främst svagheter i kreditbedömning, kreditakter, kravrutiner eller på vilket sätt så kallade jävskrediter hanteras. Även områdena för skuldtäckning samt utkontraktering erhåller en del noteringar om brister, medan resterande områden enbart erhåller ett fåtal eller enstaka noteringar om brister. Brister i intern kontroll inom kategorin skuldtäckning rör till största del avsaknad av policyer och riktlinjer, samt i något fall att ansvar samt hantering av tillhörande skuldtäckningsregister inte hanteras på ett tillfredsställande sätt. Figur 5 illustrerar allokeringen av brister inom de mest förekommande kategorierna. Utkontraktering har tagits med i figuren i stället för skuldtäckning då denna i stort sett uteslutande utgörs av en typ av brist.

Slutsatser och reflektioner

Resultatet ger en bild av bristerna inom intern kontroll i finansiell sektor ur ett tillsynsperspektiv. Tre övergripande slutsatser är värda att notera. För det första visar resultatet att brister relaterade till företagsövergripande kontrollfunktioner är de mest förekommande bristerna. Hit räknas främst funktionerna för riskhantering, compliance och styrelse/förvaltning samt till mindre del internrevision. För det andra visar resultatet att brister relaterade till processer av samhällsviktig karaktär i företag är vanliga. Dessa inkluderar främst motverkande av penningtvätt, rådgivning, intressekonflikter, kredithantering samt till stor del kundrelationer och kundklagomål. För det tredje visar resultatet över lag att brister i kontroller främst rör utformning av policydokument eller organisation. Detta mönster är särskilt tydligt inom företagsövergripande kontroller.

De flesta resultaten kan förklaras av karaktären på området och den specifika kontrollen samt de regler och föreskrifter som omgärdar det specifika området. Compliance har erhållit näst flest noteringar om brister i intern kontroll. Även om detta i dag är en väsentlig företagsövergripande funktion är området relativt nytt och under utveckling. Därför är resultatet möjligen mindre förvånande. På liknande sätt kan mängden noteringar om brister kring riskhantering förklaras, men till mindre grad då riskhantering är kärnverksamhet i finansiella företag. En övergripande, samlad och formell riskhantering (utöver specifik hantering av de traditionella riskerna kring kredit och motpart, försäkring, marknad respektive likviditet) som även tar höjd för operationella och andra typer av risker är dock under utveckling. Att internrevision ligger högt upp i statistiken är något förvånande. Att styrelse/förvaltning hamnar så högt upp är än mer förvånande. Uppmärksammade incidenter tillsammans med nya regler kring revisionsutskott bör bidra till fortsatt fokus på styrelsens och utskottens arbete med att övervaka och följa upp risk och kontroll. Att noterade brister i kontroller till största del avser bristfällig utformning av policydokument eller organisation, pekar på vikten av att kontroller stöds av ändamålsenliga styrdokument samt väl definierade roller, ansvar och befogenheter.

Olof Arwinge är rådgivare inom riskhantering på Grant Thornton och doktorand vid Uppsala universitet.

Tomas Munkby är ansvarig för risk- och effektiviseringstjänster på Grant Thornton