Sammanställning

För att i koncernen/bolaget göra en samlad bedömning över hur den interna kontrollen avseende den finansiella rapporteringen fungerat, i de fall utvärderingen tidigare skett i separata dotterbolag/enheter, funderade vi på hur sammanställningen går till och om det verkligen ligger något mervärde i att få en samlad bedömning. Ett sätt enligt intervjurespondenterna var att göra en kvantitativ sammanställning genom att ställa dotterbolagen/enheterna i relation till hur stor del av ett konto eller område de utgör samt att beakta dess risk. Även om en kvantitativ sammanställning görs måste bolaget uppmärksamma kvalitativa aspekter eftersom alla risker inte styrs av kvantitativa mått. Som exempel nämndes att under COSO:s komponent kontrollmiljö, där bland annat mjukare faktorer såsom ”codes of conduct” återfinns, kan det bli svårt att nyttja kvantitativa bedömningsgrunder. Intervjurespondenterna ansåg vidare att en sammanställning kunde vara värdefull för

90

styrelsen, dock poängterades att det kunde vara svårt att slå ihop de olika delarna och få en representativ bild av organisationens internkontrollutvärdering.

När sammanställningen är gjord möjliggör den till att upprätta en nulägesanalys över den interna kontrollen i organisationen (Severin Danielsson och Lingqvist, 2006). Efter att utvärderingen är genomförd och därefter sammanställd ska styrelsen enligt paragraf 3.7.2 i Svensk kod för bolagsstyrning avge en rapport över hur den interna kontrollen till den del den avser den finansiella rapporteringen är organiserad. Denna externa rapport, där bolagen kan ta hjälp av den vägledning som FAR och Svenskt Näringsliv tagit fram, skall möjliggöra för intressenter att få en inblick i hur organisationens interna kontroll är strukturerad. När rapporten utformas är det av största vikt att den ger en rättvisande och väsentlig bild av situationen (FAR & Svenskt Näringsliv, 2005), vidare är det viktigt att utgångspunkten är det specifika bolagets verksamhet och dess förutsättningar (Severin Danielsson & Lingqvist, 2006). Enligt vad vi erfar från de intervjuer vi genomfört har bolagen tyckt att vägledningen varit ett stöd i arbetet med att skriva internkontrollrapporten, både vad gäller innehållet och hur den kan se ut.

Både FAR och Svenskt Näringsliv (2005) samt Severin Danielsson och Lingqvist (2006) använder COSO-ramverket med dess komponenter för att kunna göra en beskrivning över hur den interna kontrollen är organiserad. Ursprungligen skulle även ett uttalande över hur väl den interna kontrollen avseende de finansiella rapporterna fungerat under året ges och även om detta krav inte längre föreligger anser vi att det är oerhört viktigt att bolagen ändock arbetar med utvärderingen fullt ut och ger detta uttalande internt. Det här för att arbetet med att utvärdera den interna kontrollen ska innehålla mer substans och för att på så sätt identifiera vilka områden som bör förbättras. Ett möjligt tillvägagångssätt är att ställa upp delar av rapporten i trafikljusform, vilket vi även såg att Posten gjorde med hjälp av sin tregradiga skala.

Enligt Severin Danielsson och Lingqvists (2006) arbetsmodell är ovanstående en beskrivning av de två sista stegen; att upprätta en nulägesrapport samt identifiera vad som bör förbättras. Två viktiga kriterier för att kunna bedöma och utvärdera hur väl den interna kontrollen fungerat, är ändamålsenlighet och funktionalitet. Förbättringsåtgärder kan, enligt Severin

91

Danielsson och Lingqvist (2006), identifieras genom att använda ett ramverk vilket ger en samlad bedömning av organisationens kontrollmognad och därmed riktlinjer över vilka åtgärder som bör vidtas. Den femgradiga skalan sträcker sig från att den interna kontrollen är undermålig och inte alls fungerar till att den är i det närmaste exemplarisk. (Severin Danielsson & Lingqvist, 2006) En intervjurespondent, vilken talade om mognadsnivån på den interna kontrollen, hävdade att nivå fyra var en bra nivå att sträva efter för att den interna kontrollen skulle kunna anses tillfredställande. Denna ”monitoring-nivå” utgick från en riskanalys med fokus inte enbart på att det fanns kontroller på plats utan även hur de fungerade och utfördes samt i vilken omfattning. Vad vi dock anser, och som inte framgick under intervjuerna, är att nivåerna också bör anpassas till ett kostnadsnyttoperspektiv, det vill säga uppnådd mognadsnivå i förhållande till nedlagda resurser.

När vi tittat närmare på under vilken nivå Posten befinner sig har vi konstaterat att bolaget i stort sett nått upp till ”monitoring-nivån” eftersom vi anser att bolaget har kontroller, dokumentationer och strukturer på plats och även reflekterat över dessa ur ett riskperspektiv. I och med de här faktorerna, utifrån vad vi som utomstående kan uttala oss om, anser vi att Posten har en fungerande övervakning av den interna kontrollen. Det bör dock inte glömmas bort att det handlar om en ständig process vilket innebär att dagens situation snart kan vara inaktuell och för att Posten ska bibehålla nivån är det viktigt att kontinuerligt utvärdera och arbeta med den interna kontrollen.

6.4.3 Åtgärder

Efter att utvärderingen av den interna kontrollen sammanställts är det viktigt för bolagen att återkoppla resultatet till den tidigare gjorda riskanalysen, för att sedan göra prioriteringar. För att få vetskap om hur bolagen ska allokera sina resurser bör de ta reda på vilka brister som härrör till huvudområden, kritiska konton eller processer. Enligt survey-undersökningens utfall fastställer ledningen först, i ungefär hälften av bolagen, vilka åtgärder som bör verkställas och därefter är själva genomförandet upp till respektive bolag/enhet. Förutom att åtgärda brister på enhets-/bolagsnivå åskådliggjordes det genom survey-undersökningen att vissa brister, vilka är koncernövergripande, bör åtgärdas av en processägare på koncernnivå. Severin Danielsson och Lingqvist (2006) nämner en metod vilken innebär att specifikt följa upp rapporterade brister och därmed tillförsäkra att de åtgärdas och det här exemplifierades

92

även i survey-undersökningens utfall genom att en metod som togs upp handlade om att först göra åtgärdsplaner och därefter på periodisk basis, exempelvis månatligen, följa upp dem tills alla brister hade korrigerats.