5 nyckelkomponenter för meningsfull intern styrning och kontroll

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >5 nyckelkomponenter för meningsfull intern styrning och kontroll</span>
Skriven av
Karl Sandström
Lästid
2 min

Intern styrning och kontroll (ISK eller GRC) kan ofta ses som ett förvirrande extraarbete som distraherar från ’det viktiga’. Den sorgliga verkligheten är att det ofta kan vara precis så – ett oundvikligt resultat när man försöker införa för mycket och för snabbt för att uppnå omedelbar ’regelefterlevnad’.

Tyvärr resulterar detta ofta i ett tomt kryssande av rapportrutor som ser fina ut på papper men inte innehåller någon verklig försäkran eller efterlevnad. Har man tur avslöjas problemen i första bästa revisionsgranskning. I värsta fall resulterar det i allvarliga incidenter och problem med katastrofal påverkan på personal, verksamhet, och kunder/klienter.

Ponera till exempel om ett farmakologiskt företags ’säkerhetsspärrar’ i utvecklingsprocessen var ikryssade men inte hade utförts i verkligheten. Eller ett oljeföretag som nöjde sig med att säkerhetsinspektioner på djuphavsriggar egentligen bara gjordes på pappret. Eller varför inte en bank som förhör en pensionär om vart pengarna till barnbarnet kommer ifrån, men samtidigt flyttar miljoner US Dollar med osäkert ursprung åt kunder med dokumenterat tveksam affärsverksamhet.

Här går vi igenom fem nyckelkomponenter för meningsfullt och grundligt ISK/GRC-arbete med syftet att maximera er försäkransnivå – men samtidigt med ambitionen att minska den kontinuerliga belastningen i form av kontroller, revisionsgranskningar och dagligt administrativt arbete.

  1. Organisationskulturen är grunden för din ISK/GRC-kvalitet

    En positiv och mogen risk-kultur syftar till att kontinuerligt stärka beslutsfattandet och verksamheten genom att vara ’ansvarsfullt röd’. Det här innebär att man tillåter risktagande (inom ramarna för riskaptiten) och uppmuntrar konstruktivt deklarerande och hanterande av problem och svagheter – även om de reflekterar en obekväm verklighet.

    Från ett ledningsperspektiv (och ansvarsperspektiv) måste det alltid vara mer värdefullt att ha en ärlig rapportering och hanteringsplan, än att alla låtsas vara ’gröna’ eftersom de är oroliga för hur de betraktas om de erkänner några problem.

  2. Det är inte en envägskommunikation

    Alla företag, organisationer, myndigheter, ja alla typer av verksamheter, har någon form av riskexponering. Det inkluderar risk för organisationen som ett resultat av externa krav och förväntningar (t.ex. regelefterlevnad), och risk skapad inom, av, och för verksamheten. Effektiv riskhantering och beslutsfattande kräver en systemisk dialog och begrundande av risk i båda dimensionerna på lämpligt sätt.
    Detta inkluderar organisatoriska existenshot (ofta kopplade till regelefterlevnad) och allvarliga hot och osäkerhet vid den operativa spjutspetsen (ofta operationell risk och behov) som kräver organisationsstöd för att hantera. Det är viktigt att styrelsens nyckelorosmoment hanteras, men det ska vara ett nyckelorosmoment för styrelsen att risk hanteras väl genomgående i verksamheten.

  3. Hitta er inre balans

    Det finns ett behov av att balansera behovet att dokumentera mot behovet att ha en fungerande verksamhet. Det bästa sättet att uppnå balans är att fokusera på hur vi gör saker till skillnad från vad vi gör (genom att lägga till saker att göra och formulär att fylla i).

    Arbetssätt som ligger i linje och svarar på kända risker gör oss mer motståndskraftiga och ökar förmågan att hantera oförutsedda problem och hot när de utvecklas – och de kommer att utvecklas. Det skapar utrymme för att verka med högre kapacitet och fokus på ’det viktiga’.
  4. Information är allt!

    En basförutsättning för riskanalys, riskhantering, och bra styrning är information. Informerat beslutsfattande är per automatik bättre ledning och därmed också bättre riskhantering. Se till att ni har fastställda sätt att rutinmässigt samla, behandla, och analysera data – och att dela resultaten på ett sätt som gör informationen direkt tillgänglig för att stötta beslutsfattare.
  5. Synlighet och tillgänglighet är nyckelfaktorer för beslutsfattande!

    Beroende på vilken volym av information det handlar om varierar behoven inom detta. För en liten och ganska rättfram verksamhet kan en enkel riskmatris i Excel vara tillräcklig för att dokumentera, följa upp, och vid behov rapportera kring ISK/GRC.

    Men när komplexiteten och informationsbehovet växer så följer det med ett behov av system och processer. Då är det viktigt att ha ett system som faciliterar och stöttar beslutsfattare med relevant information, vid rätt tidpunkt, genom rutinmässig integrerad informationsinhämtning.

    När komplexitetsnivån har sträckt Excel till gränsen är det dags att titta på ett system som kan förenkla det komplicerade – och hjälpa era processer bli mer integrerade och strömlinjeformade med era arbetssätt.

    Vill du veta mer om hur du kan digitalisera ditt GRC-arbete? Ladda ner vår guide “Skapa försäkran med integrerad GRC” på länken nedan!

    Ladda ner guide