Stratsys Internkontroll är ett verktyg som helt fokuserar på process/rutinnivå. Det handlar fortfarande om att hantera risker, men det handlar uteslutande om att identifiera risker i rutinerna och att påverka dem genom att anpassa hur man utför arbetet. På så sätt är detta både annorlunda och en metodfördjupning från arbetet i Riskhantering.
Det är inte alla verksamheter som behöver arbeta på den här detaljnivån och inte alla processer/rutiner som behöver följas upp på detta sätt. Men om man vill arbeta systematiskt med att till exempel förebygga oegentligheter och brister i verksamheten är detta arbetssätt nästan ett måste. Och där det är ett krav att man har kontroll på sin verksamhet och dess utformning, är det svårt att motivera varför man inte arbetar med rutinanpassning på ett systematiskt sätt.
Systematisera för förbättring
Stratsys Internkontroll använder en logikkedja och begreppsapparat som syftar till att skapa ett systematiskt arbetssätt för att kontinuerligt förbättra, förstärka och utveckla nyckelprocesser/rutiner – samtidigt som det skapar genomlysning och tillförsikt. Ett tillstånd av intern kontroll där man instinktivt vet att rutinerna är robusta och där verksamheten löser riskbehov och efterlevnadskrav bara genom att följa dem. Inte genom flera extra administrativa och ofta duplicerade processer.
De flesta organisationer gör detta redan i en högre grad än de kanske tror men saknar ofta systematiken och den samlade överblicken som digitala verktyg kan ge. Kräver din organisation kvitton innan man betalar ut reseersättning? Finns det skrivna instruktioner för vad och hur arbetet ska utföras? Krävs det godkännande av upphandlingsunderlag från fler än en person? Finns det regler för hur man får tillgång till information och vilken? Tar ni referenser innan anställning? Om ni har moment som dessa i era rutiner, då är ni redan igång med Internkontrollarbetet. Men hur systematiska är ni?
Startpunkten är krav och behov
Krav och behov är utgångspunkten för identifierandet av relevanta risker och skapandet av relevanta kontrollaktiviteter. Genom att identifiera relevanta krav och behov inom ramen för en specifik underprocess/rutin så kan man också arbeta med att utforma den till att möta de behov risken/kraven skapar på ett systematiskt sätt.
Om man inom riskhantering identifierar risker utifrån olika kategorier på en mer övergripande nivå, är detta samma perspektiv avgränsat till en specifik rutin eller underprocess. Hur risken/kravet ser ut och hur det kan hanteras rutinmässigt är definierat av hur arbetet ser ut.
Vilka krav och behov finns inom en specifik rutin/underprocess? Vilka efterlevnadskrav finns mot den? Vad krävs för att verksamheten ska fungera och leverera? Vilka förutsättningar och resurser finns för just denna rutin/underprocess? Vilka är nyckelriskerna i rutinen/underprocessen?
Skillnaden på kontroll och kontroll på kontrollen
När risker har identifierats och prioriterats ska arbetsrutinerna anpassas för att reducera riskerna. Det kan innebära att man förändrar hur rutinen utförs, men det kan också innebära att man identifierar kontrollaktiviteter.
Kontrollaktiviteter kan sammanfattas tydliga och mätbara/kontrollerbara säkringar i rutinerna som syftar till att förebygga eller upptäcka avvikelser och oegentligheter. De flesta organisationer har detta i någon form som nämnts ovan, men en brist på systematik och struktur kan generera luckor med allvarliga konsekvenser som följd.
Bristande uppföljning kan också innebära att man har ett helt batteri av kontrollaktiviteter som man antingen bara tror implementeras eller som inte är effektiva. Resultatet blir i värsta fall en meningslös administrativ distraktion som fortfarande inte skapar någon som helst robusthet eller kontroll.
Kontroll, försäkran, och verifikation
Logiken i Stratsys Internkontroll handlar om att bygga upp systematiken och robustheten över tid. Att kontinuerligt förbättra rutinerna för att reducera befintliga och nya risker och bygga tillförsikt så väl som god intern kontroll. För att åstadkomma detta arbetar vi med kontroll, försäkran och verifikation som logiska steg i Internkontrollen.
Kontrollaktiviteter
Kontrollaktivitet (eller kontroll om man vill) i Stratsys Internkontroll innebär inte uppföljning utan att hålla någonting – risken – under kontroll. En kontrollaktivitet är därmed en uppföljningsbar säkring inbyggd i en arbetsrutin för att förebygga eller upptäcka problem och brister. Ingenting annat.
Definitionen av risker och kontrollaktiviteter i en arbetsrutin eller underprocess bör ägas och koordineras av en processägare eller rutinansvarig, men involvera stödfunktioner (ämnesspecialister) och linjechefer (ansvariga för utförandet).
Försäkran
Det är ju oftast ute i verksamheten som själva utförandet äger rum, det vill säga implementationen av kontrollaktiviteterna och det är här som linjecheferna har huvudansvaret för att säkerställa att arbetet utförs på rätt sätt. Inom ramen för Internkontroll kan organisationen därför periodvis begära en självskattning av hur väl det faktiska arbetet linjerar med den definierade rutinen. Detta skapar en rapporterad bild av verkligheten.
Kontrolltester
Varje kontrollaktivitet bör om möjligt ha kontrolltester kopplade till sig. Dessa kan se ut på en mängd olika sätt, automatiska eller manuella, dokumentgranskning, intervjuer, enkäter, med mera. Syftet är alltid det samma – att verifiera att en kontrollaktivitet implementeras korrekt och att den har avsedd effekt. Detta skapar en observerad verklighet som kan ställas mot den rapporterade.
Kontrolltester är alltså också underlaget för den periodvisa rapporten till ledning/styrelse som kallas Intern kontrollplan och där fokus kan variera mellan perioder. Men kontrollaktiviteter löpar alltid på, och likaså många kontrolltester, även om de är inkluderade i vad ledningen vill se i denna period.
Vill du veta mer eller ha en demonstration av hur produkterna tillsammans skapar ett högre värde är du naturligtvis välkommen att ta kontakt, så står vi gärna till tjänst.
