Interne kontroller, der virker i hverdagen

Årsrapportprocessen er ovre, og den gav et par aha-oplevelser. Fejl dukkede op, som ikke var erkendt som risici. Spørgsmålet er ikke, om revisor bemærkede dem. Spørgsmålet er, om ledelsen har det fulde billede af, hvilke risici der ikke er afdækkede ‒ og om det interne kontrolsystem fungerer som tilsigtet. 

Svaret på det er som regel hverken ja eller nej.  

I har kontrolaktiviteter på mange områder, men ikke nødvendigvis på de mest kritiske, og de aktiviteter, I har, udføres måske ikke altid konsekvent nok til at gøre en reel forskel. 

Det er det billede, vi ofte møder, når vi gennemgår interne kontrolsystemer eller fungerer i en interimsrolle ‒ hvad enten det er på controller- eller ledelsesniveau. Den position giver et præcist blik for, hvilke kontrolsvagheder der har reelle konsekvenser, og hvilke ressourcer der bruges på aktiviteter uden operationel effekt.  

Og det er præcis det, der gør arbejdet med at styrke de interne kontroller relevant at tage fat på – ikke som et projekt, der skal løfte alt på én gang, men som en struktureret tilgang til at styrke de steder, hvor det giver mest værdi. 

Den mest udbredte misforståelse er, at interne kontrolaktiviteter primært er et revisionsanliggende, noget man vedligeholder for at bestå en revision. Det er en misforståelse, der gør meget skade, fordi den reducerer systemet til et compliance-redskab og dermed flytter ansvaret for risikostyringen væk fra ledelsen ‒ til trods for, at det er et formelt ledelsesansvar at sikre virksomhedens interne kontrol. 

Resultatet er designeffektive kontrolaktiviteter, som er designet korrekt og har den rette risikoforståelse, men er uden operationel effektivitet, fordi de ikke udføres som tilsigtet i praksis.  

Men både designeffektivitet og operationel effektivitet skal være til stede, for at der er effektiv risikoafdækning.  

Kontrolejeren udfører aktiviteten, fordi den står på en liste, ikke fordi vedkommende forholder sig til den risiko, aktiviteten mitigerer. 

Det opdages sjældent, fordi kontrolaktiviteterne ikke dokumenteres systematisk og derfor ikke kan efterprøves, og fordi monitoreringskomponenten reelt er fraværende. Der mangler et negativt feedback-loop: ledelsen er ikke i stand til at vurdere, om risikostyringen fungerer som implementeret, fordi der ikke rapporteres på kontrolstatus. 

Når interne kontrolsystemer gradvist mister deres relevans, er årsagen næsten altid den samme: forretningen ændrer sig, men risikovurderingen og de tilknyttede kontrolaktiviteter ændrer sig ikke i samme takt. Nye risici opstår, andre forsvinder, og de aktuelle risicis indbyrdes væsentlighed forrykkes. Det skyldes ændringer i aktiviteter, organisation, systemlandskab eller regulatorisk miljø ‒ og sjældent manglende kompetence, men derimod ressourceknaphed og uformelle opdateringsprocesser. 

Vi ser ofte, at virksomheder opretholder overflødige kontrolaktiviteter, fordi risikovurderingen ikke løbende er blevet revurderet. Omvendt er nye og væsentlige risici ikke afdækkede ‒ ikke fordi nogen har forsømt deres arbejde, men fordi ingen har haft tid til den systematiske gennemgang. 

Der er typisk fem tegn på, at et internt kontrolsystem er ved at blive en formel øvelse frem for en levende praksis: 

Kontrolaktiviteterne udføres, men ingen kigger på output, og dokumentationen opdateres kun i ugerne op til revision. Kontrolejerne kan forklare proceduren, men ikke formålet, og afvigelser registreres, men udløser ikke opfølgning. Og det tydeligste tegn ‒ ingen stiller spørgsmål, når en kontrolaktivitet ikke er udført, hvilket indikerer, at overvågningsaktiviteterne reelt er fraværende, og at ingen føler ejerskab. 

Et kontrolsystem, der ikke holder trit med forretningen, skaber en falsk tryghed, og effekten er utilstrækkelig risikoafdækning og forkert ressourceallokering på uvæsentlige risici. 

Det kunne fx se sådan her ud: 

En virksomhed opdagede i forbindelse med en struktureret gennemgang af det interne kontrolsystem, at en systematisk fejl i masterdata betød, at de i årevis havde faktureret på et forkert grundlag.   

Ekstern revision havde ikke identificeret forholdet, hvilket ikke er overraskende ‒ revisorer arbejder under en væsentlighedsgrænse målrettet ekstern rapportering og udfører arbejdet stikprøvevist, hvilket betyder, at revisors manglende kommentarer ikke er en garanti for fraværet af kontrolsvagheder.  

Ved at redesigne kontrolaktiviteterne i masterdata- og faktureringsprocessen, med klart ejerskab, en forebyggende systemkontrol og en periodisk afstemning, blev risikoen afdækket fremadrettet.  

Gevinsten var ikke compliance. Det var operationel effektivitet og et pålideligt faktureringsgrundlag. 

Besvigelsesrisikoen er også en dimension af værdien ved et levende internt kontrol-setup, der let glemmes. Erfaringen fra forensic og besvigelsessager viser, at de fleste sager i bagklogskabens lys var muliggjort af åbenlyse kontrolsvagheder, ikke fordi nogen havde forsømt arbejdet, men fordi kontroldesignet ikke systematisk havde adresseret, hvem der kunne gøre hvad uden at blive opdaget.  

Koblingen undervurderes, fordi besvigelse ofte opfattes som et spørgsmål om personlig integritet – noget man håndterer ved at ansætte de rigtige mennesker. Men den præmis holder ikke. Selv medarbejdere med høj integritet kan under bestemte livsomstændigheder drives til at begå besvigelser, hvis muligheden er til stede.  

Kontrolaktiviteterne skal derfor designes med det udgangspunkt, at mulighederne for væsentlige uregelmæssigheder er begrænsede ‒ uanset hvem der sidder i rollen. Fundamentet er det samme: funktionsadskillelse, adgangsstyring og kontrolaktiviteter, der reelt udføres. 

Udgangspunktet er altid en opdateret risikovurdering, frem for en risikovurdering, der afspejler forretningen, som den så ud, da kontrolsystemet sidst blev gennemgået. En struktureret risikovurdering identificerer de processer og aktiviteter med den største risikoeksponering og danner grundlaget for at prioritere, hvilke kontrolaktiviteter der reelt er nøglekontroller, og hvilke der er overflødige. 

Det giver et prioriteret billede, der er langt mere handlingsorienteret end en statusoversigt ‒ og det er forudsætningen for en ressourceeffektiv tilgang, hvor indsatsen koncentreres om de 20% af kontrolaktiviteterne, der adresserer 80% af risikoen. 

2. Der er balance mellem forebyggende og opdagende kontrolaktiviteter 

En kontrolaktivitet uden en defineret ejer er ikke en kontrolaktivitet ‒ det er en intention.  

Uklart ejerskab er den hyppigste årsag til, at interne kontrolsystemer eroderer. Ikke fordi nogen aktivt fravælger dem, men fordi ingen føler et personligt ansvar, når andre opgaver fylder. 

En klar RACI-struktur, integreret i processer og onboardingforløb, er det fundament, der gør kontrolsystemet robust over for personaleskift, omstruktureringer og omfordeling af ansvar. Det er også forudsætningen for, at overvågningsaktiviteterne fungerer – nogen skal vide, at det er deres ansvar at reagere, når en kontrolaktivitet ikke er udført eller ikke fungerer som tilsigtet. 

4. Kontrolmiljøet: Tonen sætter rammerne 

I COSO's forstand er kontrolmiljøet, ledelsens tone, governance og organisationens risikobevidsthed fundamentet for alle øvrige komponenter. Det afspejler sig direkte i praksis, for spørger ledelsen aldrig til kontrolstatus, gør medarbejderne det heller ikke. 

Det, ledelsen oftest gør forkert, er at overdrage ansvaret fuldt ud til finansafdelingen eller sågar en intern revision (for de få virksomheder, som enten er underlagt lovkrav herom eller har en IR-funktion frivilligt) og dermed signalere, at det interne kontrolsystem er et teknisk anliggende. Det er det ikke. Det er et ledelsesanliggende ‒ og organisationen aflæser præcis, hvilken prioritet det tildeles. Et kontrolmiljø, der ikke understøttes af den rette tone fra ledelsen, vil konsekvent miste operationel effektivitet over tid ‒ uanset hvor veldokumenterede kontrolaktiviteterne er. 

Et velfungerende internt kontrolsystem er ikke primært et compliance-redskab. Det er et forretningsinstrument.  

Det giver et mere pålideligt beslutningsgrundlag, reducerer fejlkorrektion og sikrer operationel effektivitet i processerne. Derudover reducerer det sårbarheden over for både kontrolsvagheder, besvigelser, personaleskift og organisationsændringer. 

Når en kontrolaktivitet fejler, og det vil ske i enhver organisation på et eller andet tidspunkt, er det ikke en fiasko. Det er information om, præcis hvor en kontrolsvaghed eksisterer.  

Organisationer, der behandler kontrolfejl som læring og systematisk lukker svagheder, opbygger løbende et stærkere system, mens organisationer, der registrerer kontrolfejl uden at følge op på dem, ser mønstret gentage sig. 

Det leder til den forskel, der i praksis afgør, om et internt kontrolsystem holder ‒ forskellen på at have kontrolaktiviteter og en kontrolkultur. Kontrolaktiviteter er et spørgsmål om dokumentation og processer; kontrolkultur er et spørgsmål om, hvad der sker, når ingen kigger ‒ om kontrolmiljøet er forankret dybt nok i organisationen til, at aktiviteterne udføres, fordi medarbejderne forstår deres formål, og ikke bare fordi revisionen kommer om tre måneder. 

Det bygger man ikke ved at implementere et framework. Det bygger man ved at gøre det interne kontrolsystem synligt i hverdagen, ved at tale om afvigelser, ved at handle på kontrolsvagheder, og ved at ledelsen konsekvent understøtter den rette tone ‒ ikke kun én gang om året.