Fördjupning: Intern styrning och kontroll – blir COSOs nya ramverk mer användbart?

COSOs ramverk från 1992 har blivit en succé. Men efter tjugo år av snabba förändringar i omvärlden sker nu en översyn av ramverket. I denna artikel skriver Torbjörn Wikland om förslaget till reviderat COSO-ramverk.

Grundbulten för en god intern styrning och kontroll, COSOs ramverk, har under ett års tid granskats av en kommitté på uppdrag av COSO som är ett fristående amerikanskt organ. Ramverket togs fram för 20 år sedan, främst med tanke på amerikanska börsföretag men användandet har spridits världen över bland företag, myndigheter och ickevinstdrivande organisationer. Det har till och med avspeglats i lagar och regelverk. Kommittén begärde och fick in många synpunkter och i december 2011 kom förslaget till ett reviderat ramverk.

Eftersom världen har förändrats sedan ramverket kom till och det används av ett stort antal företag och organisationer för att bygga upp den interna styrningen och kontrollen så vore det konstigt om det inte fanns såväl synpunkter på 1992 års text som skäl att revidera den. Standarder lever emellertid sitt eget liv. En etablerad standard är i första hand bra därför att den är etablerad! Först i andra hand kommer frågan om den kan göras bättre och modernare. Ett illustrativt exempel är QWERTY-standarden på våra tangentbord. Ända sedan skrivmaskinens och därefter datorns intåg har många generationer förbryllats över den märkliga placeringen av bokstäverna som drar ner skrivhastigheten. Placeringen bestämdes av de första engelska sätterimaskinerna för att sättarnas fingrar inte skulle gå fortare än maskinernas långsamma armar för typerna. Denna historiska tillfällighet rubbar inte den etablerade tangentstandarden trots flera försök under årens lopp. Nu är dock COSOs ramverk inte lika etablerat och dess skapare har dessutom bjudit in till förändringar. COSO markerade dock redan i uppdraget till kommittén att dess ramverk i huvudsak ”motstått tidens tand”. När kommitténs förslag nu presenterats markeras också att ramverket i stora drag är oförändrat. En ordentlig genomläsning av förslaget visar att det stämmer. Den som nöjer sig med en översiktlig bild av ramverket kan därför sluta läsa här.

Tränger man lite djupare in i förslaget ser man dock stora förändringar i texten, exempelvis en mer pedagogisk framställning och en del viktiga nya markeringar som kan vara till stor hjälp för den som ska skapa, underhålla och granska ett företags interna styrning och kontroll.

Kraven på den finansiella rapporteringen särbehandlas

Kommittén meddelar att den senare i år kommer att lägga fram en särskild bilaga som behandlar den interna styrningen och kontrollen av den finansiella rapporteringen. Det är, menar jag, troligtvis den viktigaste markeringen från kommitténs sida. Det finns fortfarande controllers, internrevisorer och externrevisorer som avgränsar eller bara fokuserar sitt arbete till den finansiella rapporteringen. Verkar man i ett börsföretag kan man alltid hävda att det är det enda som lagen kräver. Den begränsningen hade dock inte stöd i COSOs dokument från 1992. Och nu blir det än tydligare. Förslaget skiljer ut frågorna om den finansiella rapporteringen som ett eget område där dess särskilda krav på intern styrning och kontroll av den finansiella rapporteringen ska beskrivas. Hur det förslaget kommer att se ut vet vi inte säkert utan får ett tag till nöja oss med denna förannonsering. Klart är att förslaget därmed markerar att dess ramverk avser hela företagets verksamhet och att man därför inte kan ha en god intern styrning och kontroll utan detta helhetsgrepp.

All rapportering ska styras och kontrolleras

Nära knutet till detta förslag är också kommitténs markering att den interna styrningen och kontrollen inte bara ska säkra finansiell rapportering utan företagets rapportering över huvud taget. Det synsättet har många redan anammat i tillämpningen av ramverket. Att detta var på gång inom COSO förannonserade COSOs tidigare ordförande Rittenberg redan 2010 vid ett besök i Sverige. Han påpekade bland annat att det knappast var möjligt att göra en försäkran om den finansiella rapporteringens riktighet utan att även ha granskat rapporteringen av den faktiska varu- och tjänstehanteringen som den ekonomiska redovisningen ska spegla.

Tre försvarslinjer och olika roller

I dokumentet från 1992 beskriver COSO de olika roller som befattningshavare i organisationen bör ha i arbetet med den interna styrningen och kontrollen. Det återfinns i det reviderade förslaget men görs mer utförligt och tydligare. Kommittén har också anammat idén om att beskriva försvaret för en god intern styrning och kontroll som tre försvarslinjer. Första linjen utgörs av ledningen för de olika verksamhetsområdena. Den andra linjen är de stödfunktioner som inrättats för att utveckla och underhålla den interna styrningen och kontrollen, det vill säga controllers, ansvariga för riskhantering med mera. Den tredje försvarslinjen utgörs av internrevisionen. Denna rollfördelning har nyligen framförts av de europeiska organisationerna för riskhanterare och internrevisorer (Ferma och ECIIA) i sin vägledning till EUs åttonde bolagsrättsliga direktiv (som har omvandlats till nationella lagar i EUs medlemsländer). Nu får denna rollfördelning även stöd i förslaget till ramverk.

COSO och ISO 31 000

ISOs standard 31 000 för riskhantering kommenteras inte alls i förslaget. Detta borde ha gjorts även om frågan främst är knuten till COSOs andra ramverk – företagsövergripande riskhantering (ERM). En del uppfattar ISOs standard som ett alternativ till COSOs ramverk för intern styrning och kontroll. Det är en missuppfattning. I COSOs ramverk från 1992 liksom i det nya förslaget diskuteras inte riskfrågorna på samma sätt som i ISOs standard. I ramverket och det nya förslaget tas bara de riskfrågor fram som är intimt knutna till en god intern styrning och kontroll, markeras att många använder olika riskbegrepp om ungefär samma sak samt markeras behovet av en sammanhållen riskprocess utan att precisera hur den ska se ut. För ISOs standard om riskhantering är det centrala att definiera riskbegrepp, hur dessa begrepp hänger ihop och hur riskhanteringsprocessen bör se ut (det vill säga de standarder som den internationella kommittén bakom ISO 31 000 har enats om). Det innebär även att ISO tar upp fler aspekter på risk, inte bara de som rör intern styrning och kontroll. Slutsatsen av dessa skillnader är, menar jag, att den som utgår från COSOs ramverk (inklusive det nya förslaget) mycket väl kan integrera synsätten från ISOs standard i sitt arbete. Det gäller bara att vara uppmärksam på att begreppen i ramverket och standarden inte alltid stämmer överens och att ISO-standarden har ett vidare riskbegrepp.

Fler exempel vore ett bra stöd

Även om det nya förslaget innehåller exemplifieringar i den löpande texten och några avslutande exempel i appendix är exempelsamlingen inte lika utförlig som i de två kompletterande COSO-dokumenten från 2006 och 2009 (frågor för mindre och medelstora företag samt övervakningen av den interna styrning och kontrollen). En mer utförlig exempelsamling skulle underlätta arbetet för många.

Bedrägeririskernas särskilda markering

Frågorna om bedrägerier fanns med redan i ramverket från 1992. I själva verket var det den första utgångspunkten för COSOs arbete med detta ramverk, eftersom bedräglig finansiell rapportering underminerade förtroendet för börserna. I ramverket sades däremot inte så mycket om särdragen i bedrägerifrågorna. Det görs däremot i det nya förslaget. Dessutom vidgas perspektivet till både frågor om förmögenhetsbrott i stort och korruption. Det är bra, menar jag. I beskrivningen av vad som triggar dessa oegentligheter (och som bör leda till kontrollaktiviteter) återfinns bara två av de tre grundfaktorer som utgör grunden för bedrägerier och korruption, det vill säga möjligheterna (luckor i den interna styrningen och kontrollen) samt attityder och rationaliseringar (ett arbetsklimat som bagatelliserar eller till och med uppmuntrar till oegentligheter). Den tredje grundfaktorn är den personliga drivkraften (trasslig ekonomi, vilja att hämnas på verkliga eller inbillade oförrätter i företaget, ett ego som går före allt och alla med mera1). Mot det senare går också att skapa kontrollaktiviteter om man menar allvar med att bekämpa bedrägerier och korruption. Det behandlas dock inte i förslaget.

Förtydliganden och hänsyn till aktuella förhållanden

För den som trängt in ordentligt i ramverket från 1992 och nu läser det nya förslaget kan i flera fall konstatera att ”det där påpekades ju redan i texten från1992”. Flera av förslagen till omskrivningar och markeringar handlar om att lyfta fram aspekter i ramverket som kommittén ansett inte har beaktats tillräckligt när man tagit del av hur företag och andra organisationer tillämpat COSOs ramverk.

I andra fall handlar det om att modernisera ramverket genom att ta hänsyn till den utveckling som skett på olika områden. Den pågående ”IT-revolutionen” hade bara hade börjat 1992. Det snart 20 åriga dokumentet nämner inte internet men frågor om CASE-verktyg (datorbaserad programutveckling, som numer är en inbäddad fråga i leverantörernas allt mer dominerande standardprogram). Frågorna om IT behandlas både mer utförligt och mer detaljerat ur ett kontrollperspektiv i det nya förslaget. På liknande sätt får frågan om outsourcing en utförlig genomgång.

I Ramverket från 1992 fanns långa resonerande avsnitt. Den som tydligt ville se vilka aspekter som togs fram i texten var ofta tvungen att själv spalta upp texten i punkter. I det nya förslaget har framställningen helt strukturerats upp i punkter och underpunkter. De fem komponenterna har preciserats i 17 principer och 87 attribut. Förslaget är mycket nära en checklista för aspekter att beakta för intern styrning och kontroll även om det är på en hög abstraktionsnivå.

Förslaget från kommittén ska nu ut på en remiss till berörda organisationer och sedan fastställas – i slutet av detta år enligt planen. Dessförinnan ska, som nämnts, bilagan om den finansiella rapporteringen läggas fram.

Torbjörn Wikland före detta ämnesråd på regeringskansliet och tidigare ordförande i Internrevisorernas Förening (IIA Sweden).