Vad innebär internkontroll? När, hur och varför?
Stora betalningar, kritiska processer och växande komplexitet ökar riskerna i alla verksamheter. Vad händer när något går fel? Det är här som en internkontroll blir skillnaden mellan att arbeta proaktivt med risker och att behöva hantera kriser i efterhand.
Med systematisk övervakning och rätt rutiner kan du identifiera och åtgärda avvikelser innan de utvecklas till allvarliga problem. Det handlar om att ta kontroll. I denna artikel går vi igenom vad en internkontroll innebär och hur den kan stärka din verksamhet.
Definition av internkontroll
Internkontroller styr hur ett företag arbetar, från dagliga rutiner till övergripande beslutsprocesser inom GRC (Governance, Risk och Compliance). Det skapar ordning och säkerhet genom att förebygga misstag och upptäcka avvikelser.
Internkontroll är din verksamhets systematiska arbete för att:
- Nå verksamhetens mål effektivt genom målstyrning
- Säkerställa korrekt ekonomisk rapportering
- Garantera regelefterlevnad
- Skydda tillgångar från förluster
I praktiken handlar det om ett ramverk av processer, rutiner och kontroller som tillsammans skapar trygghet i verksamheten.
När ska man börja med internkontroll?
För riktigt små företag räcker det att börja med grundläggande egenkontroll. Ha koll på vem som får godkänna betalningar. Dokumentera de viktigaste rutinerna. Spara alla viktiga avtal på ett ställe. När företaget växer till över 20 anställda blir behovet av systematiskt förbättringsarbete mer påtagligt, fler personer hanterar pengar och överblicken minskar med tiden.
För större företag med över 50 anställda ökar behovet för en strukturerad intern styrning. Då behövs en väsentlighetsanalys för att identifiera kritiska processer som kräver särskild uppsikt. Ett tillverkande företag med många leverantörer behöver ofta mer omfattande system än ett konsultbolag, men principen är densamma - anpassa efter verksamhetens behov.
Vänta inte tills något går fel. Tyvärr börjar många först när en kund kräver det vid en upphandling, men då har möjligheter redan missats. Ett proaktivt arbete med internkontroll gör företaget mer attraktivt för partners och kunder. Det visar att ni tar risker och kvalitet på allvar.
Hur bygger man en effektiv internkontroll?
Börja enkelt och utgå från er verksamhet. Samla nyckelpersoner och identifiera era viktigaste processer. Var finns riskerna? Var skulle fel få störst konsekvenser? Fokusera först på det mest affärskritiska och samla dessa i ett riskregister.
Många utgår sedan från COSO-modellen för sin internkontroll. Det är en beprövad standard som skapar struktur i arbetet genom fem samverkande komponenter:
- Kontrollmiljö: Fastställer organisationens ton genom värderingar, ledarskap och ansvar.
- Riskbedömning: Kartlägger och värderar risker som kan hindra verksamheten från att nå sina mål.
- Kontrollaktiviteter: Skapar konkreta rutiner och kontroller som förebygger identifierade risker.
- Information och kommunikation: Säkerställer att rätt personer får rätt information vid rätt tidpunkt.
- Uppföljning: Utvärderar löpande om kontrollerna fungerar och ger önskad effekt.
Men för mindre företag behöver du sällan börja med allt detta. Börja med enkla rutiner när företaget är litet. Det ger er en smidig övergång när verksamheten växer och kraven ökar. Ett företag som tidigt byggt grundläggande struktur har mycket lättare att utveckla en fullskalig internkontroll när det behövs.
Försök också att göra uppföljningen till en naturlig del av era befintliga möten. Dokumentera avvikelser och förbättringar, eftersom det visar värdet av arbetet och hjälper er att utvecklas. När ni växer kan ni gradvis bygga ut systemet.
Vem ska ansvara för vad i en internkontroll?
En effektiv internkontroll bygger på definierade ansvarsområden genom hela organisationen. På den högsta nivån har styrelse och ledning det övergripande ansvaret. De fastställer strategin och riskaptiten för internkontrollen, godkänner policies och säkerställer att resurser finns tillgängliga för implementeringen.
Mellanchefer och avdelningsansvariga är nyckelpersoner i själva genomförandet. De ansvarar för att utveckla rutiner och kontrollaktiviteter inom sina områden, säkerställa att medarbetarna har rätt kompetens och övervaka att kontroller genomförs enligt plan.
För att säkerställa en effektiv samverkan mellan olika nivåer krävs följande delar:
- Dokumenterade rapporteringsvägar med tydliga eskaleringsregler.
- Regelbundna avstämningsmöten mellan ansvarsnivåerna.
- Systematisk hantering av avvikelser och förbättringsförslag.
- Årlig utvärdering av ansvarsfördelningen.
På den operativa nivån utför sedan medarbetarna de dagliga kontrollaktiviteterna. De dokumenterar sitt arbete, rapporterar avvikelser och bidrar med förbättringsförslag baserat på sin praktiska erfarenhet. Deras aktiva deltagande är avgörande för systemets utveckling.