Hur vet man vilka risker man kan ta?
Företagsstrategi och intern styrning är två områden som jag skulle vilja läsa mer om i debatten om revisorns roll. Varför inte jämföra revision med bilbesiktning?
Sedan flera år läser jag Balans varje månad. Jag har jobbat med ekonomistyrning hela livet, som konsult, professor och läroboksförfattare. Redovisning och revision är jätteviktiga områden, men ofta saknar jag diskussion av de frågor som engagerat mig under ett långt yrkesliv: hur påverkar vi människors tankar och gärningar genom systematiskt bruk av information, framför allt mått?
Vågar jag jämföra revision med bilbesiktning? Till skillnad från den så bedöms kanske i synnerhet den uppnådda positionen, men de som tar del av ett företags rapportering och revisorns utlåtande och eventuella kommentarer vill få hjälp även med att bedöma vilka förutsättningar företaget (eller förvaltningen, eller myndigheten) har att klara sitt uppdrag i framtiden. Är fordonet/företaget trafiksäkert – kan förarna/ägarna förväntas nå sina mål när det används?
Åtminstone sedan 1970-talet har det då och då dykt upp förslag till hur redovisning och revision ska fånga att detta inte bara handlar om finansiella medel, utan även andra resurser. Senast har vi lärt oss tala om integrerad rapportering (IR). Vid bilbesiktning är det sedan länge inte bara den fysiska resursen som kan ha brister. Elektronik och informationssystem avgör funktionen. Organisationer värderas ofta mer för sina relationer, sina förmågor och sina system än för vad som syns i balansräkningen.
Det är framför allt två komplikationer som jag skulle önska att vi oftare fick läsa om i debatten om revisorns roll. Den ena gäller företags strategi, den andra intern styrning. I en av de figurer som IR använder för att visa organisationers värdeskapande står det business model i mitten. Man kan inte bedöma om en organisation har förutsättningar att klara sitt uppdrag utan att förstå hur den tänkt arbeta. Vilka resurser, samarbeten, vilket förtroende hos kunderna behöver den? Hur medvetet resonerar styrelse och ledning om sådant? Har de försäkrat sig om sådana resurser; hur vårdar man till exempel kompetens och kontaktnät? Verkar databaser och informationssystem välskötta? För att bedöma det måste förstås granskaren själv ha satt sig in i hur organisationen fungerar. Inte värdera dess strategi, men bedöma om den är logiskt underbyggd.
Den andra komplikationen gäller hur organisationens övergripande förutsättningar översätts till uppdrag och arbetssätt ute i organisationen, och allt oftare även hos dess partners via outsourcing eller andra samarbeten. Liknelsen med fordonsbesiktning gäller här styrsystemet: gör ratt, broms och andra manöverorgan bilen styrbar? Har den som styr rätt information via instrumentpanelen? I en organisation handlar det om ekonomistyrning i bred bemärkelse, ofta i flera led från bolagsstyrning ner till incitament vid kundmöten och i produktionen. Samt givetvis den information som människor tar del av för att handla i organisationens intresse. Når de prioriteter som följer av affärsmodellen verkligen ut, eller finns risk att det lokala handlandet blir ett annat än avsett? Inte minst på den sista punkten har vi varit dåliga på att ge vägledning. Talet om riskaptit och riskhantering gäller ofta organisationen som helhet, med för lite känsla för hur de förmedlas till alla de som egentligen avgör framtiden. Metoder och rekommendationer handlar mest om riskers nedsida: hur kan bättre processer och kontroller förhindra fel? Risktagande är centralt för all affärsverksamhet, och även för innovationer inom till exempel vård eller polisens arbete. Hur bygger man in riskbevakning och rätt risktagande i uppdragen till alla som får förtroendet att agera för organisationens räkning?
Med kollegor har jag just skrivit en bok om sådant (Arwinge, Olve och Magnusson, Risk, strategi och styrning. Studentlitteratur 2017). Den ger inga uttömmande svar på de här frågorna, men försöker gifta ihop lärorna om strategi, risk management och ekonomistyrning. Vi hoppas den kan initiera samtal om var svaren kan sökas:
– Är det önskvärt och möjligt med en ”organisationsbesiktning” som tar in affärsmodell och decentral styrning?
– Vill revisorn åta sig detta? I vilken grad ingår det i de tjänster som säljs?
– Hur dras gränser mellan internt arbete med strategisk riskhantering (inklusive risk i ekonomistyrningen), revisorns granskning, och externa bedömare för andra syften (finansanalytiker, i förekommande fall finansinspektion med flera)? Och hur samarbetar man över dessa gränser?
Och, sist: är liknelsen med bilbesiktning helt uppåt väggarna?
Nils-Göran Olve är knuten till universiteten i Linköping och Uppsala, senast som gästprofessor. Han har även skrivit ett stort antal böcker om ekonomistyrning och controllers.