Stratsys Internkontroll er et verktøy som fokuserer fullstendig på prosess/rutinenivå. Det handler fortsatt om å håndtere risiko, men det handler utelukkende om å identifisere risikoer i rutinene og påvirke dem ved å tilpasse hvordan arbeidet utføres. På denne måten er dette både annerledes og en metode som utdyper fra arbeidet i Risikohåndtering.
Ikke alle virksomheter trenger å jobbe på dette detaljnivået og ikke alle prosesser/rutiner trenger å følges opp på denne måten. Men skal man jobbe systematisk med for eksempel å forebygge uregelmessigheter og mangler i virksomheten, er denne måten å jobbe på nesten et must. Og der det er et krav at man har kontroll over sin virksomhet og dens utforming, er det vanskelig å begrunne hvorfor man ikke jobber med rutinetilpasning på en systematisk måte.
Systematisere for forbedring
Stratsys Internkontroll benytter en logikkjede og begrepsapparat som har som mål å skape en systematisk måte å jobbe på for å kontinuerlig forbedre, styrke og utvikle sentrale prosesser/rutiner – samtidig som det skaper åpenhet og tillit. En tilstand av intern kontroll hvor man instinktivt vet at rutinene er robuste og hvor virksomheten løser risikobehov og compliance-krav bare gjennom å følge dem. Ikke gjennom flere ekstra administrative og ofte dupliserte prosesser.
De fleste organisasjoner gjør dette allerede i større grad enn de kanskje tror, men mangler ofte systematikken og den helhetlige oversikten som digitale verktøy kan gi. Krever din organisasjon kvitteringer før man betaler ut reisegodtgjørelse? Finnes det skriftlige instrukser for hva og hvordan arbeidet skal utføres? Er det nødvendig å godkjenne innkjøpsdokumenter fra mer enn én person? Finnes det regler for hvordan man får tilgang til informasjon og hvilken? Tar du referanser før ansettelse? Har du trinn som disse i rutinene dine, så er du allerede i gang med Internkontrollarbeidet. Men hvor systematisk er dere?
Utgangspunktet er krav og behov
Krav og behov er utgangspunktet for identifisering av relevante risikoer og opprettelse av relevante kontrollaktiviteter. Ved å identifisere relevante krav og behov innenfor rammen av en bestemt delprosess/rutine kan man også jobbe med å utforme den for å møte behovene risikoen/kravene skaper på en systematisk måte.
Hvis risikohåndteringen identifiserer risikoer basert på ulike kategorier på et mer generelt nivå, er det samme perspektivet begrenset til en spesifikk rutine eller delprosess. Hvordan risikoen/kravet ser ut og hvordan det kan håndteres rutinemessig er definert av hvordan arbeidet ser ut.
Hvilke krav og behov er det innenfor en bestemt rutine/delprosess? Hvilke compliance-krav finnes det mot den? Hva kreves for at virksomheten skal fungere og levere? Hvilke forutsetninger og ressurser finnes det for denne spesifikke rutinen/delprosessen? Hva er de viktigste risikoene i rutinen/delprosessen?
Forskjellen mellom kontroll og kontroll på kontrollen
Når risikoer er identifisert og prioritert, må arbeidsrutiner tilpasses for å redusere risikoene. Det kan bety at du endrer på hvordan rutinen utføres, men det kan også bety at du identifiserer kontrollaktiviteter.
Kontrollaktiviteter kan oppsummeres som tydelige og målbare/kontrollerbare sikringer i rutinene som tar sikte på å forebygge eller avdekke avvik og uregelmessigheter. De fleste organisasjoner har dette i en eller annen form som nevnt ovenfor, men mangel på systematikk og struktur kan skape hull hvor alvorlige konsekvenser kan følge.
Manglende oppfølging kan også bety at man har et helt batteri av kontrollaktiviteter som man enten bare tror iverksettes eller som ikke er effektive. Resultatet er i verste fall en meningsløs administrativ distraksjon som likevel ikke skaper noen robusthet eller kontroll.
Kontroll, forsikring og verifikasjon
Logikken til Stratsys Internkontroll handler om å bygge opp systematikken og robustheten over tid. Å kontinuerlig forbedre rutiner for å redusere eksisterende og nye risikoer, og å bygge tillit samt god internkontroll. For å oppnå dette jobber vi med kontroll, forsikring og verifikasjon som logiske steg i Internkontrollen.
Kontrollaktiviteter
Kontrollaktivitet (eller kontroll om du vil) i Stratsys Internkontroll innebærer ikke oppfølging uten å holde noe – risikoen – under kontroll. En kontrollaktivitet er dermed en sikring som kan oppfølges innebygd i en arbeidsrutine for å forebygge eller avdekke problemer og brister. Ingenting annet.
Definisjonen av risiko og kontrollaktiviteter i en arbeidsrutine eller delprosess bør eies og koordineres av en prosesseier eller rutineleder, men involvere støttefunksjoner (fagspesialister) og linjeledere (ansvarlig for gjennomføring).
Forsikring
Det er som oftest ute i virksomheten at selve utførelsen skjer, dvs. gjennomføringen av kontrollaktivitetene, og det er her linjelederne har hovedansvaret for at arbeidet blir korrekt utført. Innenfor rammen for Internkontroll kan organisasjonen derfor med jevne mellomrom be om en egenvurdering av hvor godt selve arbeidet stemmer overens med den definerte rutinen. Dette skaper et rapportert bilde av virkeligheten.
Kontrolltester
Enhver kontrollaktivitet bør om mulig ha kontrolltester tilknyttet seg. Disse kan presentere på en rekke forskjellige måter, automatiske eller manuelle, dokumentgransking, intervjuer, undersøkelser og mer. Hensikten er alltid den samme – å verifisere at en kontrollaktivitet er korrekt gjennomført og at den har tilsiktet effekt. Dette skaper en observert virkelighet som kan sammenlignes med den rapporterte.
Kontrolltester er dermed også grunnlaget for den periodiske rapporten til ledelse/styre, som kalles Intern kontrollplan og hvor fokus kan variere mellom perioder. Men kontrollaktiviteter pågår alltid, og det gjør mange kontrolltester også, selv om de inngår i det ledelsen ønsker å se i denne perioden.
Ønsker du å vite mer? Velkommen til å ta kontakt, så bistår vi gjerne.
