De lagstiftningar och regleringar som har beskrivits ovan innehåller inga exakta riktlinjer för hur utvärderingen av intern kontroll ska se ut och de innehåller inte heller några krav på att ett etablerat ramverk ska användas. Ett etablerat ramverk kan dock underlätta arbetet med intern kontroll då det kan agera som en hjälpande hand och ge en struktur i det praktiska arbetet samtidigt som det underlättar den interna och externa kommunikationen.86
The Committee of Sponsoring Organizations of the Treadway Commission (COSO) bildades 1985 för att motverka bedrägerier i den finansiella rapporteringen. COSO:s verksamhetsidé bygger på att utveckla övergripande ramar och riktlinjer för företags riskhantering, intern kontroll och för att förebygga bedrägerier.87COSO gav 1991 ut ramverket, Internal Control – Integrated Framework. COSO:s ramverk är det ramverk som har fått störst spridning och som är internationellt erkänt.88 Ramverket används för att hjälpa företag och andra organisationer att bedöma och förbättra sina interna styr- och kontrollsystem.89Inom detta ramverk finns en modell som företag och organisationer kan använda sig av i sitt arbete med interna styr- och kontrollsystem, COSO-modellen.
3.4.1 COSO-modellen
Enligt COSO-modellen består intern kontroll av fem komponenter som sinsemellan är beroende av varandra. De fem komponenterna är kontrollmiljö, riskanalys, kontrollaktiviteter, information och kommunikation samt tillsyn.90
86Severin, K., Lingqvist, H. (2006) Styrelsens rapport om intern kontroll enligt Svensk kod för bolagsstyrning –
en möjlig arbetsmodell.
87
COSO, 2010
88Severin, K., Lingqvist, H. (2006) Styrelsens rapport om intern kontroll enligt Svensk kod för bolagsstyrning –
en möjlig arbetsmodell.
89COSO, 2006 90
Kontrollmiljö: Här finns grunden för de resterande komponenterna. Haglund m.fl. menar att utan en bra grund att stå på är det svårt att skapa god intern kontroll. Kontrollmiljön skapar disciplin och struktur för den interna kontrollen. För kontrollmiljön är företagets etik och moral en viktig faktor samt att personalen har en gemensam värdegrund. Företagets ledning har genom sitt ledarskap och de signaler som de sänder ut i företaget en stor inverkan i att skapa en god kontrollmiljö. För att skapa en bra grund att stå på gäller det att skapa en företagskultur där alla är medvetna om vilka spelregler, attityder och värderingar som gäller.91
Vid bedömning av kontrollmiljön tar ramverket upp sju nyckelpunkter som ska beaktas:92 - Integritet och etiska värden: Organisationen speglas av sund integritet och etiska värden samt en bra arbetsmiljö. Det är viktigt att det finns tydliga förhållningsregler när det gäller etik inom organisationen, exempelvis att gällande lagar och regler alltid ska följas. Haglund m.fl. menar att om en organisation saknar sådana förhållningsregler ökar risken för fusk.93 - Styrelsen: Dess uppgift är att inneha en granskande roll och att ge riktlinjer och råd. En styrelse som är kunnig, objektiv och frågvis kan tillsammans med bra kommunikation i organisationen samt kompetenta funktioner inom ekonomi, juridik och internrevision skapa en del av en god kontrollmiljö. De kan på så vis identifiera och korrigera risker och fel som kan uppkomma, t.ex. att minska ledningens möjlighet att kunna utnyttja sin position bl.a. genom att förvränga företagets resultat.
91Haglund, A., et al., (2005) Intern kontroll – En del av verksamhets- och ekonomistyrningen 92COSO, 2006
93
Haglund, A., et al., (2005) Intern kontroll – En del av verksamhets- och ekonomistyrningen Figur 2 Intern kontroll – COSO-modellen – Komponenter (Källa: Baserad på Haglund, A., et al., (2005) Intern kontroll – En del av verksamhets- och ekonomistyrningen s. 45)
- Ledningens filosofi och sätt att leda: Ledningens grundtankar inom integritet och etik sprider sig på alla nivåer i organisationen. Det yttersta ansvaret ligger hos VD:n och i ett stort företag bör denne delegera ut ansvar till chefer på olika funktioner inom företaget, dessa chefer ska i sin tur etablera riktlinjer och rutiner inom sin funktion.
- Organisationsstruktur: Organisationen ska vara uppbyggd på ett sådant sätt att den stödjer en effektiv intern kontroll.
- Kompetens inom finansiell rapportering: För att den finansiella rapporteringen ska vara tillförlitlig måste de som arbetar inom och är ansvariga för detta område besitta den kompetens som krävs.
- Befogenheter och ansvar: För att skapa en effektiv intern kontroll underlättas det om ansvar delegeras ut till olika delar inom företaget. Viktigt är att bedöma om fördelningen är rätt, att befogenhet och ansvar ligger på rätt person och rätt nivå inom företaget?
- Personella resurser: För god intern kontroll krävs det att personalen är väl införstådd med de riktlinjer och rutiner som finns för att underlätta den interna kontrollen inom företaget. Personalen bör även ha den erfarenhet och kompetens som krävs för sitt arbetsområde.94, 95
Riskanalys: Företag måste göra en bedömning för att kunna identifiera vad det är som kan gå fel i verksamheten. Dessa fel kan påverka ett företags möjligheter att uppnå sina mål. I riskbedömningen måste olika typer av risker både från interna och externa håll identifieras och analyseras. Utefter analysen bestäms sedan hur risken ska hanteras.96
Väsentlighet och risk – Hur en risk ska hanteras bör utgå efter hur stor chans det är att risken uppstår och hur stor väsentlighet risken har dvs. effekten av om händelsen inträffar. Bedömningen måste pågå i en ständig process då företag ständigt står inför förändringar som t.ex. ekonomiska förändringar eller att nya regler införs.97 Bedömer företaget att väsentligheten av risken inte är så stor och/eller att det inte är stor risk att händelsen inträffar plockas de bort och behöver då inte hanteras.98
94
COSO, 1992 95COSO, 2006
96FAR, (2006) Testa den interna kontrollen 97COSO, 1992
98
K on se k ve n se r Stora/
Allvarliga Uppmärksamhet krävs Åtgärder krävs
Små/
försumbara Inget agerande krävs Uppmärksamhet krävs
Liten /osannolik Stor
Sannolikhet
Vid bedömning av riskerna inom den finansiella rapporteringen ska företaget beakta väsentliga finansiella poster och noter samt beakta ifall den finansiella posten innehållit fel tidigare, postens komplexitet och risken för bedrägeri.99Exempel på en risk med den externa rapporteringen är att ledningen går utöver sin befogenhet när det gäller justerings- och bokslutsposter, vilket visats i skandalerna som nämndes tidigare. Bedömningar som görs av tillgångs- och skuldposters värde bör beaktas extra noga.100
Kontrollaktiviteter: Här vidtas åtgärder för att motverka, minimera eller eliminera risker som är nödvändiga för att företagets mål ska uppnås.101 Kontrollaktiviteterna kommer från ledningen i form av riktlinjer och rutiner och ska nå ut på alla nivåer i företaget.102 Exempel på kontrollaktiviteter inom den finansiella rapporteringen innefattar bl.a. policydokument, fördelning av arbete och ansvar, attestrutiner, avstämningar, uppföljning av resultat och skydd av tillgångar.103 Vad gäller avstämningar kan ett enkelt exempel nämnas. När man redovisar in- och utbetalningar från ett kassakonto, kan det lätt göras en avstämning genom att faktiskt kontrollera saldot med vad som finns på banken.
Information och kommunikation: Här innefattas det system som företaget har för sin informationsspridning och återrapportering av hur ledningens riktlinjer och rutiner efterföljs, dvs. företagets kontrollaktiviteter och även företagets policys. För att uppnå god intern
99
Öhrlings PriceWaterhouseCoopers, 2009 100FAR, (2006) Testa den interna kontrollen
101Haglund, A., et al., (2005) Intern kontroll – En del av verksamhets- och ekonomistyrningen 102COSO, 1992
103
FAR, (2006) Testa den interna kontrollen
Figur 3 Väsentlighet och risk (Källa: Baserad på Haglund, A., et al., (2005) Intern
kontroll krävs det att informationsspridningen fungerar bra.104 Kommunikationen som sker måste ske i rätt form och i rätt tid, detta så att de anställda kan utföra sina uppgifter, att ledningen på olika nivåer kan styra, följa upp och rapportera verksamheten samt att ledningen får den information som behövs för att fatta beslut.105 Enligt Haglund m.fl. är det viktigt att den relevanta informationen om verksamhetens ekonomi, prestationer och kvalitet är identifierad samt att det finns någon ansvarig för att bevaka om kommunikationen fungerar.106
Tillsyn: De kontroller som företaget har infört måste sedan övervakas och följas upp för att se att de fungerar som de ska. Uppföljningen bör ske både i den dagliga verksamheten och vid behov.107Övervakningen ska baseras på den aktuella bedömningen av risker, som i sin tur ska leda till att företaget kan utveckla och stärka styrningen och den interna kontrollen. Tack vare den kontinuerliga övervakningen har företaget större beredskap och kunskap om att identifiera nya risker och prioritera utvecklingsområden i att finna dessa i ett tidigt stadium.108
104
FAR, (2006) Testa den interna kontrollen 105COSO, 1992
106Haglund, A., et al., (2005) Intern kontroll – En del av verksamhets- och ekonomistyrningen 107FAR, (2006) Testa den interna kontrollen
108