370 likes | 714 Views
I ntern styrning och kontroll - vad är det egentligen?. Torbjörn Wikland Konsult, pensionär, f.d. RRV, f.d. ESV, f.d. försäkringskassan, f.d. regeringskansliet, f.d. ordförande i Internrevisorerna m.m. 2013-12-04. Många infallsvinklar finns.
E N D
Intern styrning och kontroll- vad är det egentligen? Torbjörn Wikland Konsult, pensionär, f.d. RRV, f.d. ESV, f.d. försäkringskassan, f.d. regeringskansliet, f.d. ordförande i Internrevisorerna m.m. 2013-12-04
Många infallsvinklar finns... • Traditionell internkontroll (pappersbaserad, manuell, ekonomifokus) • Internal Control (från 1950-talet - flera varianter – jmf controlling) • COSO Internal Control (från 1992) • EU-kommissionens Internal Control (från 1999 baserat på COSO) • COSO ERM 2004 (utvidgad riskhantering – ”ovanpå” Internal Control) • Bolagskodens internkontroll 2005 (och Aktiebolagslagen 2010) • Förordningen (FISK:en) från 2006 • ISO 31 000:2009 (utvidgad riskhantering – generisk standard) • Uppdaterade COSO internal Control 2013 • Specialiserade standarder – Cobit, LIS m.m. • …
Många infallsvinklar...Men minst tre viktiga i myndighetsvärlden • Traditionell internkontroll (pappersbaserad, manuell, ekonomifokus) • Internal Control (från 1950-talet - flera varianter – jmf controlling) • COSO Internal Control (1992 - och grunden för FISK:en) • EU-kommissionens Internal Control (från 1999 – utifrån COSO) • COSO ERM 2004 (utvidgad riskhantering – ”ovanpå” Internal Control) • Bolagskodens internkontroll 2005 (och Aktiebolagslagen 2010) • Förordningen (FISK:en) från 2006 • ISO 31 000:2009 (utvidgad riskhantering – generisk standard) • Uppdaterade COSO internal Control 2013 - kan komplettera FISK:en • Specialiserade standarder – Cobit, LIS m.m. • …
Startpunkt COSO 1992: (efter oro på börsen) ”Intern styrning och kontroll är generellt definierad som en process, utförd av en organisations styrelse, ledning och annan personal, utformad för att ge rimlig försäkran om att målen uppfylls inom följande kategorier: • Effektivitet och produktivitet i verksamheten. • Tillförlitlig (finansiell) rapportering. • Efterlevnad av tillämpliga lagar och regler.” Ur COSO: s ramverk för ”Internal Control” 1992 En snårig definition men …
Vad menade COSO? • Genomtänkt och fungerande styr- och kontroll- process krävs för att nå målen – inkl. yttre krav • Risker att inte nå målen är fokus för processen • Processen syftar till att ge en rimlig – inte absolut – försäkran om att målen nås. • Processen ska vara ett stöd för och inkludera ledningen - och annan personal – inte reduceras till formalia • Processen bör utformas från en gemensam grund (standard) – för att skapa transparens och tillgodose krav från externa intressenter
COSO:s ramverk blev en milstolpe! • En enhetlig syn på ”Internal Control” skapades • Markering att kontroll inte är formaliakontroll • Människors agerande kom i fokus (alltså intern styrning och kontroll) • Passade väl in i förskjutningen från manuell till digital kontroll • Intern styrning och kontroll började nu ses som en delvis sammanhållen process eller ett system • En utgångspunkt – inte lösning - för att förhindra bedrägerier Därför fick ramverket spridning, anammades av EU - och blev grunden för FISK:en.
Kortfattat - vad är då FISK:en? • Resultat av EU-kommissionens kontrollkrav på EU-myndigheterna och EU-bidragen som sedan blev generella krav på medlemsstaterna. • Ett instrument för regeringen att bedöma om man har väl fungerande myndigheter • En anpassning till COSO: s syn på intern styrning och kontroll till svenska statliga myndigeter • Arbetet har fokus på ledningens uttalande
Vad är kärnan iintern styrning och kontroll? • Kort svar: Ordning och reda så att målen uppnås (eller - en organisation helt formad av att nå sina mål) • Ett längre svar:Ett arbete som innebär: • Att utgå från verksamhetsmålen (inkl. yttre krav) • Att riskerna tas fram för att målen inte uppnås • Att de viktigaste av dessa risker lyfts fram • Att man tar till åtgärder, dvs, styrsignaler och kontroller, för att reducera dessa risker • Att verksamhetsledningen ansvarar och stödjer
Styrka (och svagheter) i FISK:en • Föredömligt kortfattad förordning • Ett uttryck för krav på transparens • En grund för ledningsuttalande om ordning och reda • Den tar sin utgångspunkt i en internationell standard (COSO)
(Styrka och) svagheter i FISK:en • Integration med andra”risk”-regelverk är svag (arbetsmiljö, infosäk, egendomsskydd m.m.) • Handledningarna har fokus på uttolkningar, inte möjligheter • Arbete med föredömen (best practice) i ISK-arbetet outvecklat • Flera styrkepunkter i COSO: s ramverk har tappats bort eller är svagt utvecklade dvs…
COSO: s styrkepunkter (jmf med FISK) • ISK ska vara ett ledningsarbete för den egna organisationens bästa – alltså inte primärt styrt av avnämare eller externa intressenter • Alla nivåer och funktioner i organisationen har en egen intern styrning och kontroll - inte bara vara en transportfunktion uppåt till högsta ledningen • Allt med i riskinventeringen och riskanalysen - inte en uppdelning på informationssäkerhet, arbetsmiljö, egendomsskydd m.m. • Gemensamma kriterier uppställda (en modell framtagen) för att uttala sig om god intern styrning och kontroll existerar – inte ”fingret i luften”
Intern styrning och kontroll bara på ledningsnivå? • Titta på COSO-kuben! ett arbete i tre dimensioner, dvs. målområden, komponenter och organisationsnivå • Alltså intern styrning och kontroll: • För hela organisationen (entity level) • Avdelningsvis (division) • På verksamhetsenheter (operating unit) • På funktionsnivå (function)
Föreslagna kriterier för bedömning:COS0: s komponenter och principer (Det uppdaterade ramverket förtydligar det som fanns redan 1992) Styr- och kontrollmiljön • Lyfter fram integritet och etiska värden och handlingar • Exercises oversight responsibility • Establishes structure, authority and responsibility • Demonstrates commitment to competence • Enforces accountability • Förtydligar berörda mål • Identifierar och analyserar risker • Bedömer risken för bedrägerier • Identifierar och analyserar betydelsefulla förändringar Riskbedömning Kontrollaktiviteter • Väljer ut och utvecklar kontrollaktiviteter 11. Väljer ut och utvecklar övergripande kontroller över IT • Etablerar/genomför policies och rutiner Information & Kommunikation Använder relevant information Kommunicerar internt Kommunicerar externt Övervakning Conducts ongoing and/or separate evaluations Evaluates and communicates deficiencies
Föreslagen processför att komma fram tillen helhetsbedömning avden interna styrningen ochkontrollen – i fyra steg
Den övergripande bedömningen – slutsteget (efter tre inledande steg)
Bedömning av principer – första steget (med stöd i fokuspunkter)
Fler styrkepunkter i COSO • Arbetet med ISK ska vara integrerat i styrsystemen för organisationen (bl.a. planering och uppföljning) • Det finns en genomtänkt rollfördelning hur risker ska hanteras i en organisation (tre försvarslinjer) • Som standard är den väl etablerad!
Roller/fördelat ansvar under högsta ledningen:Principen om de tre försvarslinjerna • Första linjen: verksamhetschefer och andra beslutsfattare i verksamheten (förhindrar mest) • Andra linjen: Ledningens controllers + specialistfunktioner fångar ”sina” problem Alla etablerar felfångarsystem (systematiskt felsökande) • Tredje linjen: Internrevision – en oberoende granskningsfunktion nära ledningen (friska ögon utanför linjen) • Externrevisionen finns utanför (upptäcker men förhindrar inte fel även om den agerar proaktivt) Principen om de tre försvarslinjerna inarbetad i uppdaterade COSO
Några slutsatser och tillägg • I myndigheten bör uttalandet bara vara ett av flera mål för arbetet med intern styrning och kontroll – om de interna målen prioriteras är det lätt att göra ett uttalande ...!! • Omdömet om den interna styrningen och kontrollen måste utnyttja de modeller för värdering som finns – om man vill ha ett systematiskt förbättringsarbete… (COSO :s modell den mest utvecklade) • Icke önskvärda risker bör kompletteras med önskvärda risker - ibland måste man ta risker för att nå önskvärda mål!
Interna mål (första slutsatsen) • Ta till vara möjligheter att säkrare nå myndighetens mål och reducera kostnader • Frigör man sig från ”svart/vitt-uttalandet” blir huvudfrågan att leta förbättringsområden och minska bristerna genom ett bra arbete med intern styrning och kontroll • Förtroenderisker,hållbarhetsperspektivet och informationshanteringen är tre växande riskområden att uppmärksamma och hantera
Utvärdering av helheten (slutsats 2) • Mål – Med utgångspunkt i målen görs … • Riskbedömning – De väsentligaste riskerna tas fram. • Styr – och kontrollmiljö– Förutsättningar ges genom bl.a. bra ledning och personal och organisering av verksamheten • Kontrollaktiviteter –Är kontrollerna effektiva? Saknas något eller finns överflödiga kontroller? • Information och kommunikation – Tas rätt information fram om hur det fungerar och ska fungera? Fungerar återkopplingen? • Övervakning – Koll och korrigering av helheten - så att det fungerar
Utvärdering av helheten (forts.) • Om någon av de fem komponenterna inte fungerar – då fungerar inte helheten! • Om de fungerar är alltid en bedömningsfråga
Sju vanliga uppfattningar… Intern styrning och kontroll grundas genom att införa policies och rutiner. finns till för förordningskrav och internrevisionen. utgår från vad ekonomichefen säger till oss. är i huvudsak negativ, dvs. ”Du skall icke…” är ett nödvändigt ont och tar tid från kärnverksamheten måste minska vid neddragningar och delegeringar ska medföra att bedrägerier och fel stoppas …som bör bytas ut till… Intern styrning och kontroll grundas med en tydlig och genomtänkt styr- och kontrollmiljö. ska ägas av ledningen som en del av dess styrning Ska omfatta alla delar av verksamheten. medför att rätt saker inträffar, inte bara en gång utan nästan alltid. ska byggas in /integreras som ett värde i den löpande verksamheten. ska ändra inriktning vid neddragningar och delegeringar. ger en grund för att förhindra bedrägerier och fel men fungerar bara med en aktiv ledning. Missuppfattningar?
Önsvärda risker? (slutsats 3) • Att vilja/våga ta risker för att nå önskvärda mål • Ett steg utanför intern styrning och kontroll • Finns det utrymme? • Konkurrensutsatta universitet och högskolor • Utrymmet under de övergripande målen • All utvecklingsverksamhet • Inför riskaptit, risktolerans och riskfördelning • Men kanske organisatoriskt avskilt från icke önskvärda risker
COSO och/eller ISO • Mest etablerade eller bästa standarden? • ISO 31 000 – genomtänkt och strukturerat • COSO – helhetsbedömning och organisationsfokus – och mest etablerad • Måste man välja? • Nej, är mitt svar – de går att integrera • Men viktigt med enhetligheten inom organisationen • Integrera med andra specialiserade standarder!
Vad framförde statskontoret?(ur rapporten ”Fångar Fisken fel?”) • ”En viktig anledning till att Statskontoret kunde upptäcka risker för felaktiga utbetalningar hos Försäkringskassan, CSN och arbetsförmedlingen var att vi undersökte brister som fanns längst ut i styrkedjan, inte enbart i början av den.” (till skillnad från de tre myndigheterna som uttalade att de hade god intern styrning och kontroll) • Bra! Så kan man visa hur en effektiv intern styrning och kontroll kan fungera!- Men varför slår statskontoret ner på förordningen? Om dessa tre myndigheter gjort ett dåligt arbete, varför förklaras felet bero på förordningen? Uppfattar statskontoret myndigheterna som robotar?(logisk kortslutning?) • Kan statskontorets märkliga slutsats mildras med hänvisning till att förordningarna och ESV i handledningarna m.m. inte klargjort vad som bör utmärka ett bra arbete med intern styrning och kontroll? (med viss tvekan –ja)
Vad framförde innovationsrådet?(i sin slutrapport SOU 2013:40) • ”…viktigt …att bygga vidare på en av Sveriges största tillgångar, tilliten.” • Man bör inte inrätta myndigheter för ”att kontrollera andra myndigheter under regeringen”. • ”Myndigheterna avsätter…tid för ekonomiadministrativa uppgifter som inte alltid tycks vara värdeskapande.” • ”onödigt stor pålaga … förordningen om intern styrning och kontroll” Bra grundtanke i betänkandet – uppmuntra innovativt skapande! – MEN tre kommentarer bör göras till deras förslag: • Varför gick rådet förbi frågan om myndigheterna i sin normala verksamhet kan utnyttja befintliga regler för att skapa något bättre? – det enklaste sättet att vara innovativt skapande!! (det finns många lyckade exempel - programbudgeteringen, mål- och resultatstyrningen, skatteförvaltningens lysande innovationer: förenklad självdeklaration och skattekonto m.m. m.m.) • Kanske rådet då hade undvikit att bara slå på trumman för förslag som varje finansdepartement ogillar – diffusa experimentpengar…
Mer om innovationsrådets förslag 2) Sambandet mellan kontroll och tillit i vetenskapliga analyser: • Alla undviker extremvärdena! Det handlar i stället om i vilka proportioner man ska blanda de två! • Varför förde inte innovationsrådet en seriös diskussion om detta i stället för ett - mycket svenskt och idealiserande - uttalande om tillit i motsats till kontroll. (Inte kan de mena att t.ex. betalningssystem, person- och egendomssäkerhet, infosäkerhet, arbetarskydd m.m. bara ska bygga på tillit och inga kontroller?) 3) Som man frågar …Nästan alla ledningar vill ha så mycket handlingsutrymme och så lite kontroll uppifrån som möjligt. Bör det förvåna att flertalet generaldirektörer gör tummen ner åt aktiviteter som innebär kontroll uppifrån? Den teoretiska blandningen Ingen kontroll Bara tillit Bara kontroll Ingen tillit Den verkliga blandningen
Hur skulle ESV kunna stödja? • Peka på och rekommendera möjligheter med ISK och inte bara uttolkningar av regelverk • Även hänvisa till COSO – men också ISO 31 000 • Lyft fram föredömliga exempel bland myndigheterna (sådana finns!) • Visa konkret hur man kan bryta upp stuprören mellan ISK, arbetarskydd, informationssäkerhet m.m. • Integrera intern styrning och kontroll med goda råd om verksamhetsstyrning(också två stuprör)
Uppdaterade COSO 2013 – i sammandrag • De nya originaldokumenten är läsbara! (sammanfattningen kommer snart i svensk översättning) • Fem komponenter och sjutton principer är generiska beskrivningar - som går att överföra till den egna organisationen • Modellen med kriterier för bedömningen av helheten bör inspirera! - hittills den enda modellen för helhetsbedömning – om man vill undvika ”fingertoppskänsla” m.m. • Oklarheter om den finansiella sidan borta! - en separat bilaga som bara diskusterar det finansiella området – med bra exempel – i övrigt framgår tydligt att det är hela verksamheten som omfattas
Mer om uppdaterade COSO • Diskussion om målfrågorna förtydligad – målen måste konkretiseras och preciseras för en effektivare riskhantering – kopplingen mål-risk gjorts ännu tydligare - viktig aspekt i offentlig sektor! • Om hur man behåller kontrollen i outsourcad verksamhet – ansvaret kan aldrig delegeras bort • COSO lyfter fram bedrägeririskerna • COSO lyfter också fram IT-området som ett stort riskområde
Räcker COSO? Nej, det måste kompletteras: • Förtroenderiskerna – stort växande område • Bedrägeririskerna – hur ska de upptäckas och förhindras? • Knyta ihop risker i teknisk verksamhet och generella organisationsrisker • Hur ska man organisera ”hantera risk som hot” och ”risk som möjlighet”? • Hur kommer man åt bristande riskförståelse? • …