Support

Lynkurs i internkontroll

Automatisering av rutiner og prosesser

Internkontroll er en av grunnforutsetningene for en virksomhet, og fører frem til regelverket som en organisasjon følger for å kunne fungere. Det kan handle om alt fra å sikre at virksomheten får betalt for tjenestene, til å være sikker på at en faktura betales riktig og til riktig tid.

Alle virksomheter har internkontroll i en eller annen form, selv om den ikke er uttalt og helt uformell. Normalt sett, og for de fleste virksomheter, er det som regel standardiserte regler for prosessene og rutinene som forekommer, og disse suppleres vanligvis med en eller annen form for nivå på kontrollaktiviteter, som f.eks. en attesteringsprosedyre for å kontrollere en innkommet faktura. For mange selskap forblir internkontrollen, selv om den er uttalt og til en viss grad standardisert, ikke alltid dokumentert, overvåket eller optimalisert.

Å øke og forbedre internkontrollen har blitt stadig viktigere, først og fremst på grunn av store og tilbakevendende hendelser i næringslivet og samfunnet, økonomisk kriminalitet hos virksomheter som når allmennheten, eksponeres i media og til og med saksøkes. La oss se nærmere på begrepet!

Fordi alle virksomheter har internkontroll i en eller annen form, er det viktig å definere i hvilken grad den forekommer, for så å stille forventninger til hvordan den kan forbedres. Alt i en organisasjon trenger ikke formaliseres og kontrolleres for at en internkontroll skal kunne forbedres. Det handler snarere om å identifisere og håndtere de mest relevante og kritiske risikoene mot virksomheten og få på plass effektive kontroller slik at man kan forflytte virksomhetens modenhetsgrad for internkontroll.

COSO

Rammeverket COSO er en velkjent modell for å evaluere, implementere og granske en virksomhets internkontroll og styring når det gjelder driftsmessige mål, rapportering og overholdelse av lover og regler. Modellen består av 5 komponenter, Control Environment, Risk Assessment, Control Activities, Information & Communication og Monitoring Activities, som igjen er beskrevet ved hjelp av 17 prinsipper.

Ved å evaluere prosesser og rutiner opp mot rammeverket kan virksomheten skape en god forståelse for den nåværende situasjonen og modenhetsgraden.

Control
Environment

The organization demonstrates a commitment to integrity and ethical
values.

The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control.

Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.

The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives.

The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.

Risk
Assessment

The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.

The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.

The organization considers the potential for fraud in assessing risks to the achievement of objectives.

The organization identifies and assesses changes that could significantly affect the system of internal control.

Control
Activities

The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels.

The organization selects and develops general control activities over technology to support the achievement of objectives.

The organization deploys control activities through policies that establish what is expected and procedures that put policies into action.

Information &
Communication

The organization obtains or generates and uses relevant, quality information to support the functioning of internal control.

The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control.

The organization communicates with external parties regarding matters affecting the functioning of internal control.

Monitoring
Activities

The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning.

The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate.

Modenhetsgrad for internkontroll

Ut fra regelverket COSO og de 17 prinsippene kan det gjennomføres en vurdering av virksomhetens modenhetsgrad for internkontroll. Vurderingen skal definere hvor velformulerte kontrollfunksjonene i virksomheten er, og må være. Modenhetsgraden kan deles inn i 5 nivåer, der hvert nivå innebærer en økt pålitelighet for at den gjeldende internkontrollstrukturen kan identifisere vesentlige mangler og avvik i tide.

Odefinierad

Grundläggande

Standardiserad

Monitorerad

Optimerad

Modenhetsgraden for internkontroll begynner på et udefinert nivå med svært stor risiko for avvik eller til og med en fullstendig manglende struktur for kontroller og styring. Ut fra dette nivået øker skalaen deretter trinnvis til et grunnleggende, standardisert, overvåket og til slutt optimalisert nivå. En høyere modenhetsgrad betyr at internkontrollen er en integrert del av virksomheten, med kontroller som med høy sikkerhet hindrer og retter opp mangler, risikoer, feil og tabber.

Utfordringen for de fleste virksomheter er å, ut fra modenhetsgraden, definere et relevant målbilde med internkontroll på kort og lang sikt, koblet til behovene og risikoene som virksomheten ser. Ambisjonsnivået defineres fra å bare dekke grunnleggende behov som har en mindre påvirkning på virksomheten, til et optimalisert miljø der avvik fanges opp med høy sikkerhet.

Hvordan automasjon øker modenhetsgraden for internkontroll

Med en identifisert modenhetsgrad og et målbilde for internkontroll etablert i virksomheten, finnes det smarte verktøy for automasjon som man kan bruke til å effektivt nå de definerte målene. Det kan handle om automasjon for å følge opp etablerte prosesser og rutiner og sikre at de fungerer, til å delvis eller helt erstatte manuelle og ikke-verdiskapende prosesser som innebærer risikoer og kostnader for virksomheten.

Å kontrollere betalinger og leverandører er et godt eksempel på automasjon som effektivt flytter virksomhetens modenhetsgrad vesentlig på modenhetsskalaen, og som gir viktige effekter…

Her er noen av effektene…

  • Fang opp risikoer forbundet med økonomisk kriminalitet, slik som svindelbedrifter og bedragerier.
  • Øk tryggheten for kollegaer og ansatte, unngå misforståelser og mistillit.
  • Få en kvittering og bekreftelse på at prosesser og rutiner fungerer som de skal.
  • Sikre at lover og regler følges, redusere risikoen for kostnader i form av bøter eller juridiske prosesser.
  • Muligheten til å handle proaktivt på tabber og feil før de inntreffer.
  • Enhetlige, tydelige prosesser, som forbedrer effektiviteten.

Gode løsninger for internkontroll

Inyett Tillitseanalyse
Analyserer personer med bigeskjefter

Inyett Registeranalyse
Analyserer leverandører og registre

Inyett Betalingshistorikkanalyse
Analyserer historiske betalinger