Utgångslägen

Som ett led i att skaffa oss kunskap om vilka metoder som svenska bolag använder för att kartlägga och verifiera intern kontroll avseende de finansiella rapporterna, valde vi att först ta reda på vad som anses vara en god intern kontroll och därefter vilka kriterier som bör vara uppfyllda för att den interna kontrollen skall anses tillfredställande.

5.1.1 God intern kontroll

I frågan angående vad som är en god intern kontroll var de flesta intervjurespondenterna av liknande uppfattning och ansåg att det var när bolag reflekterat över den interna kontrollen utifrån ett riskperspektiv. Detta innebar att bolag har kontroll över vilka risker som finns, vilka målen för verksamheten är och vilka risker de för med sig samt hur bolag vet att de följt upp riskerna med sin internkontrollstruktur. Har bolag en bra riskanalys och ser till att det finns rutiner, kontroller och processer som möter upp denna, då kan det anses att bolag tankemässigt kommit väldigt långt. Sen gäller det att hela tiden övervaka och utvärdera att dessa kontroller håller. Om bolag har en god intern kontroll så kommer det inte upp några konstiga överraskningar eller felaktigheter i efterhand.

Även i vår survey-undersökning tog vi reda på vad som ansågs utgöra god intern kontroll och här visade resultatet, vilket åskådliggörs i figuren nedan, att säkerställandet av en riktig och fullständig redovisning var det dominerande svaret. Vidare att bolag reflekterat över den interna kontrollen utifrån ett riskperspektiv, att de säkerställt att tillförlitlig ekonomisk information upprättats i tid samt att oegentligheter och fel förhindras och därtill även upptäcks, ansågs ävenledes viktigt.

48 Figur 4; Diagram god intern kontroll

Erfarenhetsmässigt påpekades också, av några av de intervjuade, att många bolag själva anser sig ha väldigt många kontroller på den finansiella sidan men vad som glöms bort är vikten av att veta om bolaget också har rätt kontroller. Hur den interna kontrollen sen ska se ut och vara strukturerad kan bero på ett antal faktorer såsom bolagets storlek, verksamhetens art, komplexitet och geografisk spridning.

5.1.2 Kriterier för tillfredställande intern kontroll

Utöver att ta reda på vad som är god intern kontroll tog vi, som ovan nämnts, reda på vilka kriterier som bör vara uppfyllda för att den interna kontrollen skulle kunna anses tillfredställande. Vissa intervjuade respondenter ansåg det svårt att göra något generellt uttalande om vilka kriterier som bör vara uppfyllda. En respondent angav dock att det, på en övergripande nivå och baserat på risk, går att uttala sig om mognadsnivån på den interna

49

kontrollen. På den första nivån görs i princip ingenting och det är lite ”brandsläckning” här och där. På nästa nivå är det en informell kontrollmiljö där saker och ting händer men det är inte formaliserat eller dokumenterat utan vissa personer gör kontroller som de tycker är viktiga och som sitter i ryggmärgen. Skulle det bli ett personalbyte är det dock ingenting som säger att dessa kontroller ”finns på plats” för det är ingen, mer än personen som utförde dem, som vet att de utförs.

Nästa nivå är en standardiserad nivå där det finns formella rutiner, det vill säga hur saker och ting fungerar, ”beskrivna på pränt”. Det finns kanske en kontrollbeskrivning såsom att bolag ska ha en lagerinventering minst en gång per år eller stämma av lagerkonton varje månad. När det finns en sådan formell struktur vet bolaget att kontroller kommer att utföras oavsett om någon person byts ut samt att det även finns något att mäta emot.

Vidare finns det en ”monitoring-nivå” där bolaget har kommit så pass långt som de bör komma för att en tillfredställande intern kontroll kan anses råda. Då har bolaget en fungerande övervakning av sin interna kontroll. Det handlar inte bara om att det finns kontroller, strukturer och dokumentationer på plats utan även att bolaget tittar på i vilken omfattning, hur dessa faktiskt är och utförs, utifrån en riskanalys.

Sedan finns det en femte nivå vilken kallas för ”optimizing internal control” och vid denna går det att stämma av den interna kontrollen i realtid. Det finns vissa verktyg och analysinstrument som gör det möjligt att till exempel se att bolaget inte har några balanskonton som inte är avstämda, genom att automatiska kontroller finns på plats. Till denna nivå anses det dock inte vara nödvändigt att komma för ett vanligt bolag som tillämpar Svensk kod för bolagsstyrning. Vad som däremot bedöms vara viktigt är att bolagen övervakar de riskfyllda processerna.

Vidare uppgav en annan intervjuad respondent att det ibland brukar talas om räkenskapspåståenden. En post ska vara rätt presenterad, värderad och fullständig, det vill säga att alla transaktioner ska vara med. Det ska finnas en kontrollmekanism som reglerar detta. Då kan den interna kontrollen, i räkenskapspåståenden, vara tillfredsställande rent definitionsmässigt. Att alla transaktioner ska vara riktiga och fullständiga var något som kom

50

fram även i survey-undersökningen. Vidare visade denna att kriterier såsom att de finansiella rapporterna inte ska innehålla några allvarliga fel, att brister upptäcks internt, att risker identifieras och värderas utifrån påverkningsgrad, att kontrollåtgärder verkligen är införda samt att COSO-dimensionerna är på plats var viktiga för att den interna kontrollen skulle anses tillfredställande. Ytterligare kriterier som respondenterna från survey-undersökningen betraktade viktiga, för att kunna anse den interna kontrollen som tillfredställande, var att det rutinmässigt sker ett arbete som medför att medvetna och omedvetna fel inte uppstår, att det finns en tydlig ansvarsfördelning samt att alla medarbetare känner till organisationens policys och värderingar.