Fremtidens internkontroll handler like mye om strategi som om «compliance»

For å lykkes med internkontroll må bedrifter tenke bredere enn bare at de skal følge reglene. En undersøkelse fra Deloitte viser at selskaper med høy modenhet på internkontroll har 50 prosent bedre aksjekursutvikling.

Internkontroll handler ikke bare om å unngå feil, det handler også om å skape verdi. Deloitte spår derfor at fremtidens vinnere blir de som ser på internkontroll som en strategisk ressurs, ikke bare et regulatorisk krav.
Redaktør i Økonomi24.com
Publisert
Anders Blomhoff Pedersen er Director i Deloitte.

En omfattende studie som Deloitte har gjort blant mer enn 500 globale selskaper avdekker at bare 14 prosent har en høyt automatisert internkontroll. Dette til tross for at undersøkelsen viser en klar sammenheng mellom automatisering, moden internkontroll og bedre forretningsresultater.

internkontroll revisjonsbransjen

– De som bruker internkontroll som et strategisk virkemiddel, heller enn å se på det som et nødvendig onde, får mer sikkerhet for at de kjører både i rett fart og riktig retning, sier Anders Blomhoff Pedersen, Director i Deloitte.

Dimensjonene som avgjør modenheten

Sammen med Hans Ragnar Berg, partner og leder av Deloitte CFO Services, forteller han at Deloitte har utviklet en indeks som de bruker til å måle en organisasjons «Kontroll-intelligens». Den indeksen måler 20 ulike parametre på tvers av 5 dimensjoner for å si noe om hvor moden selskapets tilnærming til internkontroll er.

Hans Ragnar Berg er partner og leder Deloitte CFO Services.

– Fundamentet i indeksen er kontrollstrategi og styring. Dette er ikke bare god praksis - det er blitt en nødvendighet i dagens komplekse risikobilde, men undersøkelsen vår viser at under halvparten av selskapene – 52 prosent – har knyttet internkontrollen til selskapets overordnede strategi, påpeker Berg.

Her fremhever Pedersen at et aktivt eierskap i førstelinje er kritiske for å lykkes – gjerne effektuert gjennom kontrollambassadører, målrettede aktiviteter for å etablere ønsket kultur og tilstrekkelig opplæring innen risikostyring og internkontroll. Undersøkelsen viser at bare ni prosent har tilstrekkelig med kontrollambassadører i førstelinjen.

– Den tredje dimensjonen handler om risiko- og kontrollrammeverk, og her ser vi at 67 prosent av selskapene mener de har dokumentert sine prosesser, inkludert risikoer og kontroller, mens bare 39 prosent har det vi kan kalle et modent kontrollrammeverk, sier han.

Store gap i det digitale

Berg forteller at det er under teknologi og automatisering, modellens fjerde dimensjon, at undersøkelsen avdekker særlig store gap: Hele 33 prosent oppgir manglende kunnskap om teknologiske muligheter som største hindring for digitalisering.

– Veldig mange selskaper står i eller foran digitaliseringsreiser nå. Undersøkelsen bekrefter vår opplevelse av at mange har et stort potensial i å ta «internkontrollperspektivet» med seg inn i dette arbeidet, sier han

Veldig mange selskaper står i eller foran digitaliseringsreiser nå. Undersøkelsen bekrefter vår opplevelse av at mange har et stort potensial i å ta «internkontrollperspektivet» med seg inn i dette arbeidet.

Hans Ragnar Berg,
Deloitte

– Det gjelder ikke bare når man tenker på hvordan arbeidet med internkontroll kan digitaliseres eller automatiseres, men også når man tar med i regnestykket hvordan bedriftenes behov endres og hvilke nye muligheter oppstår som følge av digitaliseringsarbeidet, tilføyer Pedersen.

Hen mener at digitalisering og automatisering åpner for nye muligheter som man kan bruke for å oppnå ønsket grad av kontroll, eksempelvis gjennom at det skapes flere strukturerte datapunkter som kan brukes til analyser. Denne typen modning bidrar til å gjøre internkontroll til en verdidriver, mener Deloittes eksperter.

Handler også om å skape verdi

Den femte dimensjonen er overvåking og kvalitetssikring, og her viser tallene at 82 prosent av selskapene har en eksternrevisor som støtter seg på selskapets miljø for internkontroll.

– I økonomiavdelingen handler internkontroll dermed gjerne om aktiviteter som er sterkt tilknyttet til revisor og rapporteringsregimet, så de har et aktivt forhold til det. De som jobber ute i linja føler gjerne at Internkontroll er noe som skjer med dem – det er ikke noe de er en del av eller anser som «viktig for business», sier Pedersen.

De to er enige i at dette kan skape en avstand til kontrollarbeidet som på sikt kan være uheldig for bedriften – eller som et minimum kan gjøre at bedriften overser muligheter. Studien viser nemlig at selskaper med høy modenhet på internkontroll har 50 prosent bedre aksjekursutvikling over en femårsperiode enn selskaper som har lav modenhet.

– Internkontroll handler ikke bare om å unngå feil, det handler også om å skape verdi. Derfor tør vi å spå at fremtidens vinnere blir de som ser på internkontroll som en strategisk ressurs, ikke bare et regulatorisk krav, slår Berg fast.

Deloittes tips:

  • Bruk tid på å forstå mulighetsrommet som teknologi gir, også på kontrollsiden. Se for eksempel på digitalisering av godkjenningsprosesser, prosesskartlegging/mining eller avviksbasert overvåking av transaksjoner.

  • Benytt muligheten når dere skal digitalisere prosesser til å tenke godt gjennom alle stegene i prosessene. Er det fortsatt nødvendig med manuell avstemming mellom system X og Y?

  • Grip anledningen til å utarbeide god og relevant prosessdokumentasjon som dere siden kan bruke som grunnlag for ytterligere forbedringer.

  • Ta i bruk de nye dataene som digitaliserte prosesser genererer – de kan danne grunnlaget for nye rapporter eller dashboards som øker kvaliteten på beslutninger.

  • Definér noen gjennomtenkte og godt formulerte målsetninger som gjør det enklere å holde fokus på de overordnede målene underveis i digitaliseringsprosessene.

modenhet internkontroll digitalisering deloitte automatisering nyheter revisjonsbransjen
Powered by Labrador CMS