Stratsys har en produkt som heter Internkontroll, men är det samma sak som intern kontroll? Vi menar att det inte är det. Vi ser intern kontroll som ett organisatoriskt tillstånd där man med rimlig säkerhet kan säga, och påvisa, att man gör rätt saker på rätt sätt.
Vilket verktyg, arbetssätt och detaljdjup som behövs i risk och kontrollarbetet avgörs egentligen av verksamhetens omfattning, förmåga, och behov. I en liten organisation med verksamhet som inte omfattas av hårda efterlevnadskrav och där konsekvenserna av brister inte är så allvarliga kan det räcka med en enkel dokumentation. Men i en omfattande verksamhet och/eller en verksamhet där brister kan leda till skada eller dödsfall, är kraven och behoven av ett systematiskt arbetssätt mycket högre.
Stratsys ser Riskhantering och Internkontroll som två centrala verktyg för att skapa det tillståndet men de är olika typer av arbetssätt med olika typer av fokus och detaljnivå. Man ska komma ihåg att de är kompletterande till varandra därför att olika typer av risker kräver olika typer av hanteringsnivå.
Olika risker kräver olika arbetssätt
En strategisk risk för organisationen kräver inte samma typ av arbete som en teknisk risk, vid till exempel byte av syrgastuber på en intensivvårdsavdelning. En risk kring de politiska målen/ambitionerna i en kommun i mandatperioden kräver inte samma typ av arbete som risken för oegentligheter i upphandlingsprocesser i samma kommun. Och de strategiska målriskerna för ett raffinaderi som är överberoende av en enda leveranskedja, är inte samma som brandriskerna kring tank 5.
Rätt personer med rätt resurser och på rätt sätt
God intern kontroll innebär bland annat att rätt personer jobbar med rätt risker – det vill säga inom sitt ansvarsområde och där de har möjlighet att påverka riskexponeringen. Det är ett ledningsansvar att rätt förutsättningar och resurser för det arbetet finns, samt att det följs upp på ett lämpligt sätt. Det är ledningen och styrelsen/nämnden som ska ha god intern kontroll i verksamheten.
Genom sin fokus på riskerna och åtgärder i form av handlingsplaner är Riskhantering ett relativt lätt steg till att systematiskt börja arbeta med risker och hantering genom handlingsplaner. Men medan det är lätt att komma igång är det också svårt att få kontinuerlig penetration i arbetssätt på ett systematiskt och uppföljningsbart sätt. Det blir ofta en övning i att prioritera topp tio och sedan hoppas på att alla andra risker ordnar sig själva eller hanteras någon annanstans.
Större utmaningar kräver mer systematik
Där krav och behov på verksamheten är högre – tänk till exempel sjukvård, kemikaliehantering, handel med farliga varor eller ämnen, och så vidare – så ökar också behovet av att kunna arbeta systematiskt. Att följa upp arbetet och kunna redovisa hur arbetet planerats och utförts över tid.
Det här är ett jobb för Internkontrollen som arbetssätt. Fokus blir på att prioritera nyckelprocesser/ rutiner och att anpassa dem så att de inneboende riskerna hanteras genom att arbetet utförs på rätt sätt. Låter det jobbigt? De finns en dålig och två goda nyheter kopplade till detta, där de goda överväger den dåliga!
Den dåliga nyheten
Förlust av liv, allvarlig skada, eller allvarliga oegentligheter orsakat av bristen på förebyggande arbete är problematiskt även bortom de omedelbara och uppenbara effekterna. Det är också oerhört belastande för verksamheten eftersom det påverkar bandbredd (släcka ’bränder’) men också moral och anseende. Det krävs därför en proaktiv insats innan något hinner gå riktigt fel. Här finns ofta också ett strikt juridiskt ansvar att rätt förutsättningar ska finnas på plats och att de inte kan delegeras bort.
De goda nyheterna
Det är inte alla processer eller arbetsrutiner som behöver denna typ av systematik, men ekonomihantering och arbetsområden med starka efterlevnadskrav är exempel på var man bör börja sin systematikresa.
De flesta verksamheter med denna typ av krav och behov är redan där eller på mycket god väg! Tittar man lite extra ser man fort att arbetsrutinerna, reglerna och styrningen redan finns i mångt och mycket, men utspritt, i olika format, med olika lagringsställen och ofta med duplicering. Vad systematiseringen och digitaliseringen gör är att skapa förutsättningar för att ha en centraliserad överblick. Styrning där det behövs, tillsammans med förmågan att kontinuerligt följa upp och förbättra.
Intern kontroll för oss är alltså ett tillstånd man som organisation bör eftersträva. Hur ni kommer dit och hur ert specifika behov ser ut definieras av er och er kunskap om verksamheten. Med våra produkter erbjuder vi olika detaljgrad och flexibilitet i hur man arbetar och vad man försöker uppnå. Genom sin anpassningsbarhet och skalbarhet kan systemupplevelsen anpassas för att den enskilde användaren ska kunna bidra effektivt med sin relevanta bit av organisationspusslet.
Vill du veta mer eller ha en demonstration av hur produkterna tillsammans skapar ett högre värde är du naturligtvis välkommen att ta kontakt, så står vi gärna till tjänst.
