Få styr på virksomhedens væsentligste forretningsgange - Basico

Figur 1: Første fase i et
internt kontrolprojekt
White Paper:
Få styr på virksomhedens
væsentligste forretningsgange
Planlægning af et internt kontrolprojekt
Basico Consulting har både projekt erfaring og ressourcer til at hjælpe med planlægning
og gennemførsel af et internt kontrolprojekt, og med denne artikel håber vi at bringe inspiration
til igangsættelsen af projekterne.
Et godt kontrolmiljø er ledelsens redskab til at styre virk-
somheden ud i alle processer, og de fleste interne kon-
trolprojekter bibring er væsentlig værdi for virksomheden.
Projektplanlægning
Identificér
nøgleprocesser og kontroller
Dokumentér
nøgleprocesser og kontroller
Implementering af
yderligere kontroller
Test og evaluering
Rapportering
© Basico Consulting A/S. Indhold må gengives med kildeangivelse 1
Siden Sarbanes-Oxley loven blev vedtaget i USA i 2002,
har virksomheder over hele verden arbejdet hårdt på at
gennemføre projekter, der skal sikre, at de lever op til kravene
om etablering og dokumentation af interne kontroller.
Faser
For at minimere omkostningerne til et internt kontrolprojekt
er det vigtigt, at projektet gennemgår et fast, foruddefineret
projektforløb. Basico har defineret 6 faser i dette
projektforløb (se figur 1 på næste side), og i denne artikel
går vi tættere på projektplanlægningsfasen, da det er her,
rammerne og omstændighederne sættes for hele projektet.
I de kommende numre af Basico Content vil vi gå
tættere på de næste faser, således at vi får beskrevet det
samlede projektforløb.
Fase 1: Projektplanlægning
Formålet med grundig projektplanlægning er naturligvis
at skabe en solid basis for den efterfølgende, egentlige
gennemførsel af projektet herunder at få etableret selve
projektteamet, samt at forberede de beslutninger og vurderinger
der skal tages i projektforløbet.

Har virksomheden valgt at outsource
dele af driften, bør man
diskutere nødvendigheden af
også at inddrage disse leverandører
i et internt kontrolprojekt.
Koordineringen begynder med at
skabe konsensus omkring
projektplanlægningen.
Figur 2:
Risikodiagram
I planlægningen af et internt kontrolprojekt er det vigtigt,
at man i denne fase får diskuteret og vurderet følgende
forhold:
• Risikovurdering
• Afgrænsning
• Etablering af projektteam
• Koordinering med ekstern revision
• Projektplan
Risikovurdering
Når man skal vurdere effektiviteten af de interne kontroller,
er det ikke hensigtsmæs sigt at identificere, dokumentere
og evaluere alle kontroller. I den indledende projektplanlægning
er det derimod vigtig at skabe be gyndende forståelse
for, hvilke faktorer der er bestemmende for den efterfølgende,
konkrete udvælgelse af processer og kontroller.
Sandsynlighed
Væsentlighed
Fokus
Overordnet set sker udvælgelsen af de interne kontroller
på baggrund af en risikovurdering, samt ud fra en vurdering
af væsentligheden ved og sandsynligheden for at en
fejl opstår (figur2).
I den konkrete udvælgelse er det ydermere vigtigt at ind-
drage en generel vurdering af den branche, virksomheden
opererer i, samt den værdikæde og forretningsmodel virksomheden
har valgt. Derudover er det vigtigt at skabe en
solid forståelse for de økonomiske processer herunder de
væsentligste bogførings- og rapporteringsprocesser samt
de vigtigste konti i kontoplanen.
Afgrænsning
Ofte gennemføres et internt kontrolprojekt hos virksomheder,
der opererer i flere lande og fra flere lokationer og
forretningsenheder. Det er derfor vigtigt at foretage en
vurdering af den relative betydning af den enkelte lokation
– både ud fra et operationelt og finansielt perspektiv
– for på den baggrund at kunne foretage en udvælgelse.
I denne udvælgelse bør ydermere indgå en vurdering, af
© Basico Consulting A/S. Indhold må gengives med kildeangivelse 2
den tilgang virksomheden har til controlling af de en kelte
lokationer og forretningsenheder. Har virksomheden valgt
at outsource dele af driften, bør man diskutere nødvendigheden
af også at inddrage disse leverandører i et internt
kontrolprojekt.
Etablering af projektteam
I planlægningsfasen er det naturligvis også af afgørende
betydning, at man får udvalgt de rigtige teammedlemmer
og får struktureret teamarbejdet mest hensigtsmæssigt.
Der skal defineres ansvarsområder for de enkelte medlemmer,
og der skal defineres en overordnet projekt- og
rapporteringsstruktur. Som udgangspunkt vil den øverst
ansvarlige for projektet være CFO´en, om end der også
ses eksempler på, at CEO´en er overordnet ansvarlig. Herunder
er det egentlige projektteam, der har til ansvar at
evaluere de interne kontroller.
Selve teamet bør bestå af:
• Eksterne ressourcer der bidrager med projekterfaring
samt erfaring med beskrivelse og dokumentation af
processer og kontroller
• Specialister som bidrager med erfaring og metodik til at
designe og teste kontroller
• Driftsmedarbejdere som bidrager med en detaljeret
forståelse og viden om eksisterende processer og kontroller
• Tekniske specialister - afhængigt af virksomhedens
størrelse og kompleksitet kan der være behov for itspecialister
med viden om, hvordan især ERP-systemet
er sat op. Derudover kan der i eksempelvis banker og
forsikringsselskaber være behov for medarbejdere med
specialviden
Koordinering med ekstern revision
Både i planlægningsfasen såvel som i de øvrige faser er
det vigtigt, at et internt kontrolprojektteam løbende koordinerer
med den eksterne revisor. Dette skal sikre, at det
samme arbejde og de samme tests ikke bliver foretaget to
gange, og derudover skal det sikre en fælles forståelse for
niveauet af væsentlighed.
Projektplan
Projektplanlægningsfasen munder ud i en projektplan.
Derudover er det ved interne kontrolprojekter særdeles
vigtigt, at alle væsentlige beslutninger bliver dokumenteret
– både i denne fase samt i de senere faser. På denne
måde skabes der klarhed over omstædighederne og
grundlaget for eksempelvis valg af lokationer samt nøgleprocesser
og kontroller.
Når projektplanen er godkendt, kan de næste faser med
identifikation og dokumentation af nøgleprocesser igangsættes.

Figur 3: Fase 2 og 3 i et
internt kontrolprojekt
Identificér og dokumentér nøgleprocesser og kontroller
Forud for den egentlige test og evaluering af kontrollerne er det vigtigt at få identificeret
og dokumenteret de væsentligste og mest betydende processer og kontroller i virksomheden
for dermed at have rette grundlag for testfasen.
Fase 2: Identificér nøgleprocesser
og kontroller
Virksomheder har nu i en årrække haft øget fokus på identifikation
af kerneprocesser og -kompetencer. Mange virksomheder
vælger at outsource de dele af driften, der ikke
ligger inden for kernekompetencerne, til virksomheder der
netop har dette område som kernekompetence. Fokus
og bevidsthed om kerneprocesser og -kompetencer kan
hjælpe os, når vi skal identificere og efterfølgende teste de
interne kontroller.
Generelt skelner man mellem kontroller på entitets- og
aktivitetsniveau, hvor entiteten kan være defineret enten som
enkelte forretningsenheder eller hele virksomheden afhængigt
af størrelse og kompleksitet. Entitetsprocesser og kontroller
er som udgangspunkt defineret som vigtige og overordnede
i forhold til kontrollerne på aktivitetsniveauet, og
effektiviteten af kontrollerne på entitetsniveauet har dermed
betydning for mængden af kontroller på aktivitetsniveauet.
Forretningskultur
Det er vigtigt, at virksomheden har defineret, beskrevet
og kommunikeret de værdier, normer og etiske principper,
medarbejderne skal arbejde ud fra. Hvilke handlinger
og hvilken adfærd er accepteret, og har man forsøgt at
reducere risikoen for, at medarbejderne handler uden for
disse. Dette kan eksempelvis gøres ved at beskrive konsekvenserne
ved at handle uden for de valgte principper,
samt ved at ledelsen aktivt og synligt handler inden for de
samme principper. Ledelsen bør f.eks. bakke op om, at
fejl ikke er tabu, men at de aktivt skal bruges til at lære af
Projektplanlægning
Identificér
nøgleprocesser og kontroller
Dokumentér
nøgleprocesser og kontroller
Implementering af
yderligere kontroller
Test og evaluering
Rapportering
© Basico Consulting A/S. Indhold må gengives med kildeangivelse 3
både individuelt og som organisation. Derved skabes en
stærkere forretningskultur, hvorved behovet for aktivitetskontroller
reduceres.
Personalepolitik
Det er i virksomhedens interesse, at den enkelte medarbejder
er så effektiv som mulig, og for at sikre dette må
medarbejderen forstå sin rolle både i organisationen samt
i forhold til egne kontrolrelaterede opgaver. Dette kan gøres
ved at have udførlige stillingsbetegnelser, der indeholder
opgaver samt finansielt, personale- og rapporteringsmæssigt
ansvar.
Generelle it-kontroller
Mange kontroller er i dag implementeret i virksomhedens
ERP-system. Disse kontroller sker både på entitetsniveau,
da de i praksis dækker hele virksomheden via ERP-systemet,
men også på aktivitetsniveau, da kontrollerne typisk
er defineret i forhold til de enkelte funktioner i systemet.
Ikke desto mindre er det utrolig vigtigt, at virksomheden
sørger for at ajourføre og skabe overblik over kontrollerne.
Foretager man eksempelvis en versionsopdatering eller
andre ændringer i systemet, er det af afgørende betydning,
at kontrollerne igen testes og dokumenteres.
Rapportering
Den periodevise in- og eksterne rapportering er af stor
vigtighed i enhver virksomhed, og det er derfor vigtigt at
kigge nærmere på de processer, der ligger forud for rapporteringen.
Procedurerne for periodeafslutningen herunder
de principper og eventuelle skøn der ligger til grund
for hensættelser og periodiseringer, skal dokumenteres,
hvorved der sikres en så præcis og korrekt rapportering
som muligt. Dette er vigtigt i forhold til ledelsens udvidede
formelle ansvar for regnskabsaflæggelsen. Derudover forbedres
fundamentet for kvalitet i den interne rapportering,
herunder salgsopfølgning, øget omkostningskontrol samt
generelt mere valide nøgletal, hvorved der skabes et mere
solidt beslutningsgrundlag.
Sammenhæng mellem strategi og
aktivitetsbaserede kontroller
Vigtigst ved identifikationen af nøgleprocesser og kontroller
er, at disse tager udgangspunkt i den overordnede strategi
for virksomheden.
Traditionelt set udarbejder ledelsen en strategi, der skal sik-
re, at virksomhedens mål bliver nået. På baggrund af stra-
tegien udarbejdes en række politikker og handlingsplaner,

Figur 4: Eksempler på sammenhæng
mellem strategi og kontroller
som så bliver udført gennem de konkrete aktiviteter. Hertil er
forbundet en række risici, som vil variere alt efter branche,
konkurrencesituation samt virksomhedens valgte strategi,
forretningsmodel og værdikæde. Som illustreret i figur 4 er
det derfor vigtigt at skabe overblik og sikre den rette sammenhæng
mellem aktiviteter og kontroller.
Eksempel
I det opstillede eksempel (se figur 4) er der knyttet to
kontroller til aktivitet A, hvilket kan være ganske fornuftigt,
hvis sandsynligheden for en fejl i aktivitet A er høj, og
den samtidig er af væsentlig karakter. Hvis derimod både
sandsynligheden og væsentligheden er lille, kan man måske
udelade den ene kontrol.
Eksemplet viser derudover, at der kan være aktiviteter uden
kontroller - aktivitet B. At undlade at knytte en kontrol til en
aktivitet kan være en velbegrundet beslutning taget ud fra
en vurdering af omkostningerne forbundet med kontrollen
i forhold til væsentligheden ved og sandsynligheden for, at
en fejl opstår.
Kontrol 3 dækker to aktiviteter, hvilket både ud fra et om-
kostnings- og styringsmæssigt synspunkt er en god løsning.
Kontrol 4 har ikke relation til nogle aktiviteter og er derfor
overflødig og kan skæres bort. Især i omskiftelige brancher
hvor risici ændrer sig ofte samt ved strategiskift, vil
man opleve, at kontroller kan køre videre uden stillingtagen
til, om den har relation til eksisterende aktiviteter.
Faktiske eksempler på aktivitetskontroller kan være, at der
skal være to personer, der godkender betalinger, samt at
alle leverandørfakturaer er godkendt i henhold til de beskrevne
beføjelser. Derudover kan det være opfølgning på
investeringsbudget, hvis man har defineret, at det er stra-
© Basico Consulting A/S. Indhold må gengives med kildeangivelse 4
tegisk vigtigt for virksomheden, at der skal investeres en
procentdel af omsætningen i udvikling af nye produkter.
Kontrol & Strategi
Det er vigtigt, at man som virksomhed får vurderet aktiviteter
i forhold til strategi, handlingsplaner samt risici for på
den baggrund at foretage en analyse af kontrolniveauet,
herunder identificere hvilke kontroller der er vigtige for
virksomheden.
Fase 3: Dokumentér nøgleprocesser og
kontroller
Når relevante kontroller på både entitets- og aktivitetsniveau
er blevet identificeret, er det vigtigt, at disse bliver
dokumenteret tilstrækkeligt, samt at denne dokumentation
løbende bliver opdateret, således at virksomheden til
enhver tid har et validt overblik over effektiviteten af kontrollerne.
Jo mere levende proces- og kontroldokumentationen
er, jo større er sandsynligheden for anvendelse og
dermed også løbende opdatering.
Der er dog stor forskel på dokumentationen for henholds-
vis entitets- og aktivitetsniveau, idet dokumentationen på
entitetsniveau primært består af politikker og retningslinier,
mens kontrollerne på aktivitetsniveauet primært bliver
dokumenteret via flowcharts og procedurebeskrivelser.
På entitetsniveauet kan følgende dokumentation være re-
levant:
Virksomhedens vision og mål
Strategi
• Corporate Governance dokument indeholdende beskri-
velse af forretningskultur – herunder værdier, normer og
etiske principper. Derudover også ledelsesfilosofi, tilgang
til risikostyring, overordnet ansvarsfordeling, offentliggørelse
af perioderapporter samt rapportering om interne
kontroller.
Politikker og handlingsplaner Politikker og handlingsplaner
Aktivitet A Aktivitet B Aktivitet C Aktivitet D
Risici
Kontrol 1 Kontrol 2 Kontrol 3 Kontrol 4

Figur 5: Fase 4, 5 og 6 i et
internt kontrolprojekt
• HR/personalehåndbog indeholdende en mere detal-
jeret og praktisk orienteret gennemgang af værdier,
normer og etiske principper – herunder beskrivelse af
konsekvenser ved brud på disse. Derudover beskrivelse
af procedure for medarbejdersamtaler, performanceevaluering,
generelle ansættelsesforhold samt
videreuddannelse.
• Regnskabshåndbog indeholdende regnskabsprincipper,
procedure for periodeafslutning samt rapportering.
På aktivitetsniveau er den mest benyttede form for dokumentation
flowcharts, da dette skaber et solidt overblik
over ofte komplicerede processer og aktiviteter. Derved er
det lettere at identificere svagheder og risici samt foretage
© Basico Consulting A/S. Indhold må gengives med kildeangivelse 5
generelle effektivitetsforbedringer. Et flowchart-diagram for
en given proces vil typisk indeholde både manuelle aktiviteter
samt aktiviteter, der udføres automatisk af ERP-systemet
– ikke desto mindre er det vigtigt, at alle kontroller
både manuelle og automatiserede bliver beskrevet og efterprøvet.
Som supplement til flowchartet bruges procesbeskrivelse
til med ord at beskrive processer samt ansvar og
kontroller. De bedste løsninger er i dag baseret på processoftware,
som ikke blot beskriver processer og kontroller,
men også styrer arbejdsgange, og dermed sikrer, at kontrollerne
foretages.
Når nøgleprocesser og kontroller er iden ti fi ceret og dokumenteret,
kan test og eva luering igangsættes.
Test og evaluering af virksomhedens nøgleprocesser
Nøgleprocesser og kontroller skal testes og evalueres, og der skal som oftest implementeres
yderligere kontroller. Der skal derudover ske en struktureret rapportering af
selve det interne kontrolprojekt samt af de efterfølgende tests og evalueringer.
Fase 4: Test og evaluering
Formålet med denne fase er at teste og evaluere effektiviteten
af de kontroller, der er relateret til de nøgleprocesser,
der er identificeret og dokumenteret i de foregående faser.
Dette gælder både på entitets- og aktivitetsniveau.
For at kunne foretage en meningsfuld evaluering er det
nødvendigt at kigge nærmere på begrebet effektivitet. Er
Projektplanlægning
Identificér
nøgleprocesser og kontroller
Dokumentér
nøgleprocesser og kontroller
Implementering af
yderligere kontroller
Test og evaluering
Rapportering
vores interne kontroller effektive? Dette afhænger dels af,
hvem vi sammenligner os med, og dels hvordan vi måler
effektivitet. Vi har derfor brug for en model, der kan anvendes
til at evaluere effektiviteten af de interne kontroller.
For at skabe et ensartet vurderingsgrundlag anvender vi
en model med fem niveauer af effektivitet – jf. tabel 1.
Vurderingen i forhold til tabellen skal naturligvis ske ud fra
alle de nøgleprocesser og kontroller, man i de foregående
faser har identificeret og dokumenteret. Et eksempel på en
evalueringsmodel kan ses i figur 6.
Test og evaluering gælder både for kontroller på entitets- og
aktivitetsniveau, og de vil i praksis ofte være tæt relateret.
Et konkret eksempel, som vi ser jævnligt, er afstemning
af intercompany-mellemværender. I virksomhedens regnskabsmanual
er der krav om, at disse afstemmes månedligt,
og eventuelle differencer skal afklares inden for
en måned. Til årsafslutningen konstateres det, at langt
de fleste mellemværender ikke har været afstemt i flere
måneder, og de afstemninger der er foretaget, er udført
i utilstrækkelig kvalitet. Ved nærmere undersøgelser viser
det sig, at afstemning af intercompany-balancer generelt
har lav prioritet i regnskabsafdelingen; regnskabschefen
er overbebyrdet og har ikke tid til at coache sine medar-

Tabel 1: Karakteristika ved de
fem effektivitetsniveauer
Figur 6: Eksempel på
evalueringsmodel
bejdere og kvalitetssikre deres arbejde. Medarbejderne
har som følge af regnskabschefens manglende tid ikke
modtaget instruktioner og feedback med hensyn til, hvordan
afstemninger skal foretages. Kontrolproceduren på
aktivitetsniveau er korrekt designet, idet det er regnskabschefens
opgave at kvalitetssikre afstemningerne. Bristen
sker på entitetsniveau, idet man her ikke har formået at
skabe et miljø og en forretningskultur, som bidrager til at
skabe og vedligeholde effektive interne kontroller.
Som oftest vil test og evaluering af nøgleprocesser på
både entitets- og aktivitetsniveau afsløre flere mangler i
kontrolmiljøet, og man kan med fordel tage udgangspunkt
i modellen, når det skal diskuteres og besluttes, hvilke
yderligere tiltag der er nødvendige for at højne effektiviteten
af de interne kontroller i virksomheden. Forud for
implementering af yderligere kontroller er det som i ovenstående
eksempel vigtigt at konstatere, hvorvidt bristen
skyldes fejl i designet af kontrollen, eller om årsagen er
performancerelateret og dermed en problemstilling på
entitetsniveau.
Niveau Dokumentation
5 – Optimeret Komplet og konsistent
4 – Integreret Komplet og konsistent
3 – Systematiseret Komplet og konsistent
2 – Uformel Sporadisk, inkonsistent
Kendskab og
forståelse
Formel kommunikation
og komplet træning
Formel kommunikation
og komplet træning
Formel kommunikation
og nogen træning
Intet kendskab og
ingen forståelse ud
over ledelsen
© Basico Consulting A/S. Indhold må gengives med kildeangivelse 6
Fase 5: Implementering af
yderligere kontroller
Jo større omfanget af yderligere kontroller, der skal implementeres,
er, desto vigtigere er det at udarbejde en
separat projektplan for dette. Her gælder naturligvis de
samme overordnede spilleregler og retningslinier for projektplanlægningen,
som vi gennemgik i første afsnit om
det interne kontrolprojekt. Det er dog vigtigt at understrege
vigtigheden af, at driftsmedarbejderne bliver involveret
i større grad end i det egentlige kontrolprojekt. Ved at
inddrage dem i implementeringen af yderligere kontroller
sikrer man, at kontrollerne bliver bedre forankret i organisationen,
samt at medarbejderne qua involveringen vil
tage større ejerskab for kontrollerne i den efterfølgende
driftsfase. Implementeringen af yderligere kontroller er en
kontinuerlig proces, som med mellemrum skal foretages
for at sikre, at det interne kontrolmiljø er tilstrækkeligt
effektivt. Hvor ofte kontrollerne skal testes og evalueres
afhænger overordnet af virksomhedens kompleksitet og
omskiftelighed – både internt og på det marked virksomheden
agerer.
Attitude
Ejerskab for at
skabe kontinuerlige
forbedringer
Kontroller anses som
en del af strategien
Kontrollerne er
integreret i funktionerne/
afdelingerne
Kontrollerne er ikke en
integreret del af funktionerne/afdelingerne
1 – Initial Meget begrænset Basal Ikke skabt endnu
Niveau 5 – Optimeret
Niveau 4 – Integreret
Niveau 3 – Systematiseret
Niveau 2 – Uformel
Niveau 1 – Initial
Kontrolprocedure
Formel og
standardiseret
Formel og
standardiseret
Formel og
standardiseret
Intuitiv, kontinuerlig
Ad hoc – som oftest
ingen tilknytning til
nøgleprocesser
Forretningsproces Personalepolitik It-kontroller Løn
Identificerede nøgleprocesser
Tiltag
Kontinuerlige
forbedringer
Kontinuerlige
forbedringer
Skab ejerskab
Indfør standarder og
skab konsistens
Skab disciplin

Fase 6: Rapportering
I Danmark vil rapportering i forhold til det interne kontrolprojekt
som oftest udelukkende være af intern karakter.
Mens der i USA via Sarbanes-Oxley Act er ganske specifikke
krav til den eksterne rapportering og effektiviteten
af de interne kontroller, har EU endnu ikke samme omfattende
krav. Der er dog via Sarbanes-Oxley Act skabt et
meget større fokus på de interne kontroller - også i danske
virksomheder. Man kunne godt forestille sig, at dette fokus
kunne udmønte sig i en frivillig ekstern rapportering for de
største virksomheder.
Den interne rapportering på projektet bør naturligvis inde-
holde en beskrivelse af projektforløbet, og de beslutninger
© Basico Consulting A/S. Indhold må gengives med kildeangivelse 7
der er taget undervejs, samt vigtigst af alt, de konklusioner
virksomheden kan drage omkring effektiviteten af de interne
kontroller på entitets- og aktivitetsniveau. Derudover
bør den interne rapportering indeholde en plan for yderligere
kontroller, der skal implementeres for at øge effektiviteten
af kontrollerne, samt øvrige tiltag, der skal iværksættes.
Ydermere skal der være en plan for, hvornår og
med hvilken frekvens der skal gentestes på eksisterende
kontroller, og hvornår der skal testes på de nye kontroller,
der skal implementeres.
Har du brug for yderligere inspiration til et internt kontrol-
projekt, er du naturligvis altid velkommen til at kontakte os
på mail info@basico.dk eller telefon 702 703 71.
Basico Consulting fokuserer på CFOens ansvarsområder. Vi løser projekt- og ressourcebaserede opgaver i økonomifunktionen.
Vores kernekompetencer er økonomistyring, controlling og regnskab.
Vores kunder oplever erfarne økonomikonsulenter, der tager ansvar og viser engagement.
Basico Consulting A/S
Store Kongensgade 59D
1264 København K
Tlf +45 702 703 71
info@basico.dk / www.basico.dk