Jacob Engedal Sørensen, revisor och medgrundare av Impero - Compliance. Simplified., i en krönika för Ekonomisverige.
Frågan är obekväm men nödvändig. Vi lägger tid, energi och resurser på att bygga interna kontroller - men när granskade vi dem senast på allvar? Inte för att bocka av en lista, utan för att ställa oss frågan: skyddar de oss fortfarande - eller har de blivit en del av rutinen?
Organisationer förändras. System byts ut. Processer omstruktureras. Risklandskapet rör sig. Men kontrollerna då? De tenderar att stanna kvar.
Vad Koden kräver - och vad den inte säger
Svensk kod för bolagsstyrning ställer tydliga krav: styrelsen ansvarar för formaliserade rutiner för internkontroll, och bolagsstyrningsrapporten ska beskriva hur systemet fungerar. Det är ett ansvar som tas på allvar.
Men det finns en skillnad mellan att uppfylla kravet och att uppfylla syftet bakom det. En rapport kan vara välordnad, kontrollerna dokumenterade och signerade - och ändå, om de inte längre adresserar de risker som faktiskt exponerar bolaget för risk, är de i praktiken tomma.
Koden kräver inte ett maximum av kontroller. Den kräver god internkontroll. Det är en distinktion som lätt försvinner i vardagen.
Fler kontroller är inte detsamma som bättre styrning
Det finns en inbyggd logik i compliance-arbetet som driver oss att lägga till, snarare än ta bort. Men frågan ställs sällan åt andra hållet: vad kostar det att behålla kontroller som inte längre tillför värde?
Svaret är mer än man tror. Kontrollutmattning. Minskat fokus på det som är materiellt. Lägre engagemang hos kontrollägarna. En rörig kontrollmiljö kan försvaga styrningen lika mycket som ett faktiskt kontrollgap.
Tänk på de månatliga bankavstämningarna. De utförs, granskas och signeras. Månad efter månad samlas poster upp utan ägare, utan uppföljning, utan åtgärd. En stark kontroll ska reducera riskexponering och utlösa handling. Om den bara producerar dokumentation är det dags att ställa frågan: förändrar den här kontrollen något - eller bevisar den bara att någon genomförde en uppgift?
Börja med risken, inte kontrollen
Det vanligaste misstaget vid en översyn är att börja med de befintliga kontrollerna. Det är fel startpunkt. Börja i stället med riskerna: vilka risker finns idag, vem äger dem, och vilka riskmitigerande aktiviteter adresserar dem direkt?
När man mappar kontroller mot tydligt definierade risker blir överlappningarna synliga. Organisationer lägger gärna lager på lager av kontroller - men tar sällan bort dem. Det är förenkling som ökar tydlighet och ansvarsutkrävande, inte komplexitet. Och vid teknikimplementering gäller samma sak: digitaliserar man kontroller rakt av riskerar man att automatisera det som inte fungerade redan från början.
Att avveckla kräver lika mycket disciplin som att införa
Att pensionera en kontroll räcker inte att besluta i ett möte. Det krävs dokumentation av varför kontrollen avvecklades, vad som kompenserar för den - och tydlig kommunikation till dem som utförde den. Utan det dyker kontrollen upp igen ett halvår senare, eftersom ingen visste att den tagits bort med avsikt.
Detsamma gäller undantag. De som inte hanteras strukturerat normaliseras sakta - tills de blivit del av kulturen utan att någon medvetet valde det.
Styrning handlar om relevans
Interna kontroller är avgörande för en organisations förmåga att hantera risk. Men bara om de är utformade för den verklighet organisationen faktiskt befinner sig i - inte den som existerade när de skapades. För styrelser med ansvar under Koden gäller detsamma: det är inte kontrollernas antal som ger god intern kontroll. Det är deras relevans.
Ibland börjar starkare styrning med en enda, enkel fråga:
Vilka av våra internkontroller och aktiviteter skyddar oss faktiskt – och vilka är mest en del av rutinen?
