Internkontroll förknippas ofta med regler, revision och administration. Men när internkontroll utformas på rätt sätt blir den ett strategiskt stöd som stärker beslutsfattandet, effektiviserar processer och skapar större engagemang i hela organisationen. Malin Diarbakerli, Internal Control Manager på Billerud, berättar hur internkontroll kan gå från compliance till verkligt värdeskapande.
Malin Diarbakerli började på Billerud i augusti 2023 och arbetar inom koncernens internrevisionsfunktion.
– I rollen som Internal Control Manager ansvarar jag för att utveckla, förvalta och stärka koncernens interna kontrollmiljö.
I praktiken innebär det bland annat att internkontrollfunktionen arbetar med att säkerställa att styrande dokument följs, vilket är grunden för en effektiv kontrollverksamhet inom huvudprocesserna för den finansiella rapporteringen. Som en del av det interna kontrollarbetet genomförs även en utvärdering av interna kontroller, där respektive kontrollansvarig bedömer effektiviteten i sina kontroller.
– Billeruds internkontrollfunktion syftar till att säkerställa en god internkontroll och kvalitet i den finansiella rapporteringen, säger Malin Diarbakerli.
Från ”måste” till strategiskt verktyg
Malin Diarbakerli menar att den stora vinsten uppstår när internkontroll inte längre ses som ett nödvändigt ont, utan som en integrerad del av verksamhetens strategi.
– När compliance går från att vara ett krav till att bli något som genomsyrar hur vi arbetar, då händer det mycket positivt. Forskning visar tydligt att stark internkontroll minskar risken för oegentligheter, leder till bättre finansiell prestation och stärker förtroendet – både internt och externt.
Hon lyfter fem konkreta effekter av ett mer strategiskt arbetssätt:
- Bättre beslutsunderlag – När fler funktioner involveras får man en bredare riskbild och kan prioritera mer träffsäkert.
- Ökad effektivitet – Kontroller kan designas närmare processen, vilket minskar dubbelarbete och manuella moment.
- Starkare ägarskap – När verksamheten förstår varför kontroller finns, ökar engagemanget och kvaliteten i utförandet.
- Minskad riskexponering – Risker upptäcks tidigare och kan åtgärdas.
- Större affärsnytta – Internkontroll blir ett verktyg för processförbättring, inte bara för att undvika fel.
Kontroller ska vara en del av flödet
Att arbeta värdeskapande med internkontroll handlar enligt Malin Diarbakerli om ett tydligt perspektivskifte.
– Fokus behöver flyttas från ”följer vi reglerna?” till ”hur kan kontrollerna hjälpa oss att nå våra mål?”. Kontroller ska inte vara administrativa måsten som läggs ovanpå verksamheten, utan utgöra en naturlig del av det dagliga arbetet.
Hon betonar vikten av att integrera kontroller i processer och system, gärna genom automatisering.
– I stället för att manuellt granska varje kundkredit kan systemet till exempel automatiskt stoppa en order som överskrider en fastställd kreditgräns. Det sparar tid, minskar risken för fel och gör kontrollen mer robust.
Malin Diarbakerli menar också att riskarbetet behöver lyfta blicken från enbart regelrisker.
– Har bolaget ett strategiskt mål att växa internationellt behöver riskbedömningen även omfatta lokala regelverk, kulturella skillnader, leverantörskedjor, cybersäkerhet och hållbarhet – inte bara redovisningsrisker.
Engagemang skapas genom förståelse
En återkommande utmaning inom internkontroll är att skapa engagemang ute i verksamheten. Enligt Malin Diarbakerli är nyckeln att göra värdet tydligt.
– Engagemang skapas när människor förstår värdet av det de gör. Därför är det avgörande att förklara syftet med kontrollerna och visa på konkreta exempel där förbättrade kontroller faktiskt lett till verkliga vinster.
Hon lyfter även relationsbyggande som en central framgångsfaktor.
– Jag ser internkontroll som ett partnerskap med verksamheten, inte som övervakning.
Forskning visar att när relationen präglas av förtroende blir medarbetare mer benägna att öppet dela risker och utmaningar.
Utbildning och dialog spelar också en viktig roll. På Billerud har man genomfört flera workshops i mindre grupper för att möjliggöra fördjupade diskussioner kring varje processflöde och dess tillhörande risker och kontroller. Inom deras Enterprise Risk Management- arbete (ERM) följs ett årshjul där de årligen genomför riskdialoger med verksamheten och upprätthåller en löpande kommunikation under året för att fånga upp förändringar eller nya risker som uppstår.
– Kombinationen av utbildning och dialog gör att syftet blir tydligare och diskussionerna mer relevanta, säger Malin Diarbakerli.
Kontrollmognad – mer än dokumentation
På Billerud används Committee of Sponsoring Organizations of the Treadway Commission (COSO)-modellen för mognadsbedömningar som syftar till att säkerställa hur väl kontrollerna fungerar i praktiken. Malin Diarbakerli beskriver kontrollmognad som ett samspel mellan flera dimensioner.
– Det handlar inte bara om att ha dokumenterade processer. Vi tittar på strukturell mognad, beteendemässig mognad, kulturell mognad och digital mognad.
Särskilt den kulturella dimensionen är svår att mäta, men samtidigt avgörande.
– Förstår medarbetarna syftet med kontrollerna? Ses de som ett stöd eller som ett hinder? Kulturen avgör ofta hur kontroller faktiskt fungerar i praktiken, säger Malin Diarbakerli.
"Intern kontroll är bara för revisorer”
En av de vanligaste missuppfattningarna Malin möter är att internkontroll främst finns till för revisorer.
– I själva verket är det ett verktyg för verksamheten. Rätt utformade kontroller skapar både effektivitet och trygghet. En annan vanlig missuppfattning är att finansfunktionen äger alla kontroller, när det i själva verket är ett verksamhetsansvar.
Malin Diarbakerli medverkar på FAR:s konferens Internkontroll, där hon delar med sig av Billeruds resa.
– På konferensen kommer jag att prata om hur vi på Billerud har stärkt vår interna kontrollmiljö genom att kombinera traditionell compliance med ett mer strategiskt och värdeskapande angreppssätt. Jag kommer även att lyfta hur vi involverar verksamheten och skapar engagemang, gärna genom ett konkret case med tydliga lessons learned.
