Intern kontroll och styrning
Carl-Henrik Ottosson Calona Ekonomikonsult AB
2009-03-18
Perfekt intern kontroll
Kontroll attest Beslutsattest Kontrollansvarig Redovisning
•
Förordningsreglerad process
Bakgrund
• Åtgärder avseende internkontroll och styrning–
några exempel
–Myndighetsförordningens 3-4 §§
3
–Sarbanes Oxley Act i USA 2002 –Bolagsstyrningskoden i Sverige dec 2004
–Förordning om intern styrning och kontroll vid statliga myndigheter. 2008
Myndighetsförordningen
• 3 § Myndighetens ledning ansvarar
– bedrivs effektivt,– enligt gällande rätt och EU,
– redovisas på ett tillförlitligt och rättvisande sätt samt att
4
myndigheten hushållar väl med statens medel.
• 4§ Specifika krav på myndigheternas ledning bl a att säkerställa en betryggande intern styrning och kontroll .
• Gäller alla myndigheter
Intern kontroll
• Alla de faktorer i verksamhetens organisation samt alla instruktioner och rutiner som syftar till att säkerställa
• riktig, fullständig och ändamålsenlig information,
• efterlevnad av policy, planering, instruktioner, lagar och bestämmelser,,
• skydd av tillgångar,
• ekonomisk och ändamålsenlig användning av resurser,
• måluppfyllelse.
• innefattar alla de åtgärder som säkerställer god kvalitet och som minskar risken för fel, felutbetalningar, fusk och oegentligheter.
• Mer än bara ett medel för att motverka felaktig användning av anslagsmedel och avgiftsintäkter.
Förordning intern kontroll och styrning
• Bygger på COSO
• Riskanalys
• Kontrollåtgärder
• Efterlevnad & uppföljning
• Dokumentation
• Myndigheter enligt förordning om internrevision
• Enl FÅB 2 kap 8 § undertecknar ÅR +bedömning av intern kontroll
• Avser inte bara ekonomi/redovisning utan hela
verksamheten!!!
COSO
– Kontrollmiljö :
1. Organisation – roller/ansvar 2. Styrande dokument – riktlinjer 3. Drift-, planerings- stödprocesser
– Riskbedömning: Riskbedömning:
» Utiftån arbete med kontrollmiljö
– Kontrollåtgärder
» Identifiera/utveckla kontrollåtgärder
– Information & Kommunikation
» Känd av de som berörs
– Efterlevnad & uppföljning
» Kontrollera efterlevnad
Tulpanlökar
• Köper och säljer tulpanlökar – Tar först emot beställningar
– Beställer sedan i sin tur som motsvarar Beställer sedan i sin tur som motsvarar mottagna beställningar
– Får leverans
– Levererar och tar betalt vid leverans
Risker/internkontroll - tulpanlökar
– Tar först emot beställningar
– Beställer sedan i sin tur som motsvarar mottagna
Dokumentera process/rutin Kontrollmoment Riskanalys
som motsvarar mottagna beställningar – Får leverans
– Levererar och tar betalt vid leverans
Förändra process/
kontrollmoment
Försystem
Leverantör
Övergripande processer
Organisation och avstämningar
Kund Huvudbok
Leverantör
Palasso Inventarie
Råd och stöd
Bokslut/ÅR
Registreri
Lev register
Leverantörsreskontra process
Stödprocessprocess
Registreri
ng Bokför Betalning
Avstämningar och kontrollmoment
Operativ p
Manuell
Registrering Möjligt?
Ny lev
Nej
Leverantörsfaktura Angränsande process
Leverantörsreskontra ‐ Nivå 2
SV/
utl Bokför Betalning
Uppdat valuta kurs
Ja
Sv
Utl
Bokföring av kostnad/
kontroll är också separat Skannad/
elektronisk
Manuell
Registrering M öjl i t
Ny lev Nej
Leverantörsfaktura process Angränsande process
Övergripande kontrollmiljö/processer?
‐Styrande regler
‐ Interna beslut/regler
‐Interna rutiner
Dokumentation och stödprocesser
Leverantörsreskontra Kontrollmiljö och riskanalys
Skannad/
elektronisk
g g igt
?
S V/
ut l
Bokför Betalning
Uppdat valuta kurs
Ja
Sv Utl
Bokföring av kostnad/kontroll är också separat
Kontrollmoment?
‐Avstämningar
‐ kontroll
‐Dualitet/behörighet
‐Inbyggda kontroller Risker?
‐Risk för fel belopp
‐Risk fel faktura
Tulpanlökar – nya processer?
• Köper och säljer tulpanlökar
– Köper in och lagrar lökar för att klara snabb leverans
– Tar sedan emot beställningar
– Beställer sedan i sin tur som motsvarar uttagna beställningar
– Får leverans
– Levererar och tar betalt vid leverans
Exempel från förändrade processer - EFH
– Myndighet som skulle införa EFH inkl inköpsorder – Fakturaflödet till den som beslutade inköpsorder – Föreslogs att ha ”automatisk” kontroll-/beslutsattest
om faktura överensstämde med inköpsorder
– Den som beslutar sällan den som kontrollattest – Fakturabelopp=inköpsorder enbart en av
kontrollerna i attestkedj
an
– Problem?
Tulpanlökar - kontrollmiljö
• Köper och säljer tulpanlökar
– Köper in och lagrar lökar för att klara snabb leverans
– Tar sedan emot beställningara seda e o bes ä ga
– Beställer sedan i sin tur som motsvarar uttagna beställningar
– Får leverans
– Levererar och tar betalt vid leverans
– Chefen tar ut ett antal lökar varje månad och säger att boka som inkurans ”och ta en lök själv”
Motiv Bortförklaring/
neutralisering Fraud-triangeln
Risken för avsiktliga fel/oegentligheter ökar med svag intern styrning och kontroll
Girighet
17 Tillfälle
”Alla andra gör det”
”Det drabbar ingen fattig”
”Dom är skyldiga mig detta”
Ekonomisk press Hot
Dålig arbetsfördelningskontroll Brister i redovisningen
Bristfälligt skydd av tillgångar Brister i uppföljning
Tulpanlökar –affärsrisk??
• Priset på tulpanlökar stiger och stiger
• Köper och säljer tulpanlökar
– Köper in och lagrar lökar för att tjäna på värdestegring g g
– Tar sedan emot beställningar
– Beställer sedan i sin tur som motsvarar uttagna beställningar
– Får leverans
– Levererar och tar betalt vid leverans
Hmmm…och i praktiken då?
– Tydlighet i ansvar och befogenheter
– Väldefinierade regler for attester – Fungerande rutiner för uppdatering – dualitet
– Administrativa rutiner
– Tydliga
K i d
– Kommunicerade
– Dokumenterade (i ändamålsenlig omf!!)
– Vid förändringar
– Dokumentera process/rutin – Riskanalys/tänka på intern kontroll
– Ha en bra planering och uppföljningsprocess
– Uppföljning av ansvar är mycket viktigt
– Rätt nivå
– Se skogen för alla träd – Se träd inte bara skog
Facit/Risk??
• Åtgärder
– Sarbanes Oxley Act i USA 2002 –Bolagsstyrningskoden i Sverige dec 2004
20
–Förordning om intern styrning och kontroll vid statliga myndigheter. 2008
• Facit (?)
– Största finansiella krisen sedan 1930-talet –Ett helt kreditinstitut helt byggt på pyramidspel –Detta trots att S&B act och bolagskod funnits…
Förslag väg framåt
• Gör ”redovisningshandbok”
– Ger struktur och överblick (innehållsförteckning) – Utse ansvarig/ägare för huvuddokument och delar
• Dokumentera processer/rutinbeskrivningar enhetligt och om möjligt enligt samma struktur
och om möjligt enligt samma struktur
• Inkludera (och identifiera) kontrollmoment
• Riskanalys
• Om tillämpligt: rutin för att kunna ”säkra” FISKen årsvis
• Titta på nya/förändrade rutiner/processer/ organisation med ”internkontroll glasögon”
Fallgropar
– ISO9000 - syndromet
– Gjorde kontrollen rätt men inte rätt kontroll….
– Dokumentation ger falsk känsla av trygghet
Fö k t k t ll/d k t ti – För mycket kontroll/dokumentation ger
ineffektiva processer
– Risk att ”form over substance” d v s man är fullt upptagen med att kolla utan att leda&styra – Vid förändrade processer/rutiner tas eller glöms
internkontroll bort – Keep it simple!!!
Perfekt intern kontroll
Kontroll attest Beslutsattest Kontrollansvarig Redovisning
•
Förordningsreglerad inom EU
• Ledningen ”levde inte som de lärde”
• Indirekt kontroll (utan ansvar) verkningslös
• De tidigare i kedjan förlorade ansvar
• För tungarbetat (=omöjligt)
g g
• Van Beuteren blev europas ”whistle blower”
• Kommissionen avgick
• Varför?