Få styr på virksomhedens væsentligste forretningsgange - Basico
Få styr på virksomhedens væsentligste forretningsgange - Basico
Få styr på virksomhedens væsentligste forretningsgange - Basico
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Figur 1: Første fase i et<br />
internt kontrolprojekt<br />
White Paper:<br />
<strong>Få</strong> <strong>styr</strong> <strong>på</strong> <strong>virksomhedens</strong><br />
<strong>væsentligste</strong> <strong>forretningsgange</strong><br />
Planlægning af et internt kontrolprojekt<br />
<strong>Basico</strong> Consulting har både projekt erfaring og ressourcer til at hjælpe med planlægning<br />
og gennemførsel af et internt kontrolprojekt, og med denne artikel håber vi at bringe inspiration<br />
til igangsættelsen af projekterne.<br />
Et godt kontrolmiljø er ledelsens redskab til at <strong>styr</strong>e virk-<br />
somheden ud i alle processer, og de fleste interne kon-<br />
trolprojekter bibring er væsentlig værdi for virksomheden.<br />
Projektplanlægning<br />
Identificér<br />
nøgleprocesser og kontroller<br />
Dokumentér<br />
nøgleprocesser og kontroller<br />
Implementering af<br />
yderligere kontroller<br />
Test og evaluering<br />
Rapportering<br />
© <strong>Basico</strong> Consulting A/S. Indhold må gengives med kildeangivelse 1<br />
Siden Sarbanes-Oxley loven blev vedtaget i USA i 2002,<br />
har virksomheder over hele verden arbejdet hårdt <strong>på</strong> at<br />
gennemføre projekter, der skal sikre, at de lever op til kravene<br />
om etablering og dokumentation af interne kontroller.<br />
Faser<br />
For at minimere omkostningerne til et internt kontrolprojekt<br />
er det vigtigt, at projektet gennemgår et fast, foruddefineret<br />
projektforløb. <strong>Basico</strong> har defineret 6 faser i dette<br />
projektforløb (se figur 1 <strong>på</strong> næste side), og i denne artikel<br />
går vi tættere <strong>på</strong> projektplanlægningsfasen, da det er her,<br />
rammerne og omstændighederne sættes for hele projektet.<br />
I de kommende numre af <strong>Basico</strong> Content vil vi gå<br />
tættere <strong>på</strong> de næste faser, således at vi får beskrevet det<br />
samlede projektforløb.<br />
Fase 1: Projektplanlægning<br />
Formålet med grundig projektplanlægning er naturligvis<br />
at skabe en solid basis for den efterfølgende, egentlige<br />
gennemførsel af projektet herunder at få etableret selve<br />
projektteamet, samt at forberede de beslutninger og vurderinger<br />
der skal tages i projektforløbet.
Har virksomheden valgt at outsource<br />
dele af driften, bør man<br />
diskutere nødvendigheden af<br />
også at inddrage disse leverandører<br />
i et internt kontrolprojekt.<br />
Koordineringen begynder med at<br />
skabe konsensus omkring<br />
projektplanlægningen.<br />
Figur 2:<br />
Risikodiagram<br />
I planlægningen af et internt kontrolprojekt er det vigtigt,<br />
at man i denne fase får diskuteret og vurderet følgende<br />
forhold:<br />
• Risikovurdering<br />
• Afgrænsning<br />
• Etablering af projektteam<br />
• Koordinering med ekstern revision<br />
• Projektplan<br />
Risikovurdering<br />
Når man skal vurdere effektiviteten af de interne kontroller,<br />
er det ikke hensigtsmæs sigt at identificere, dokumentere<br />
og evaluere alle kontroller. I den indledende projektplanlægning<br />
er det derimod vigtig at skabe be gyndende forståelse<br />
for, hvilke faktorer der er bestemmende for den efterfølgende,<br />
konkrete udvælgelse af processer og kontroller.<br />
Sandsynlighed<br />
Væsentlighed<br />
Fokus<br />
Overordnet set sker udvælgelsen af de interne kontroller<br />
<strong>på</strong> baggrund af en risikovurdering, samt ud fra en vurdering<br />
af væsentligheden ved og sandsynligheden for at en<br />
fejl opstår (figur2).<br />
I den konkrete udvælgelse er det ydermere vigtigt at ind-<br />
drage en generel vurdering af den branche, virksomheden<br />
opererer i, samt den værdikæde og forretningsmodel virksomheden<br />
har valgt. Derudover er det vigtigt at skabe en<br />
solid forståelse for de økonomiske processer herunder de<br />
<strong>væsentligste</strong> bogførings- og rapporteringsprocesser samt<br />
de vigtigste konti i kontoplanen.<br />
Afgrænsning<br />
Ofte gennemføres et internt kontrolprojekt hos virksomheder,<br />
der opererer i flere lande og fra flere lokationer og<br />
forretningsenheder. Det er derfor vigtigt at foretage en<br />
vurdering af den relative betydning af den enkelte lokation<br />
– både ud fra et operationelt og finansielt perspektiv<br />
– for <strong>på</strong> den baggrund at kunne foretage en udvælgelse.<br />
I denne udvælgelse bør ydermere indgå en vurdering, af<br />
© <strong>Basico</strong> Consulting A/S. Indhold må gengives med kildeangivelse 2<br />
den tilgang virksomheden har til controlling af de en kelte<br />
lokationer og forretningsenheder. Har virksomheden valgt<br />
at outsource dele af driften, bør man diskutere nødvendigheden<br />
af også at inddrage disse leverandører i et internt<br />
kontrolprojekt.<br />
Etablering af projektteam<br />
I planlægningsfasen er det naturligvis også af afgørende<br />
betydning, at man får udvalgt de rigtige teammedlemmer<br />
og får struktureret teamarbejdet mest hensigtsmæssigt.<br />
Der skal defineres ansvarsområder for de enkelte medlemmer,<br />
og der skal defineres en overordnet projekt- og<br />
rapporteringsstruktur. Som udgangspunkt vil den øverst<br />
ansvarlige for projektet være CFO´en, om end der også<br />
ses eksempler <strong>på</strong>, at CEO´en er overordnet ansvarlig. Herunder<br />
er det egentlige projektteam, der har til ansvar at<br />
evaluere de interne kontroller.<br />
Selve teamet bør bestå af:<br />
• Eksterne ressourcer der bidrager med projekterfaring<br />
samt erfaring med beskrivelse og dokumentation af<br />
processer og kontroller<br />
• Specialister som bidrager med erfaring og metodik til at<br />
designe og teste kontroller<br />
• Driftsmedarbejdere som bidrager med en detaljeret<br />
forståelse og viden om eksisterende processer og kontroller<br />
• Tekniske specialister - afhængigt af <strong>virksomhedens</strong><br />
størrelse og kompleksitet kan der være behov for itspecialister<br />
med viden om, hvordan især ERP-systemet<br />
er sat op. Derudover kan der i eksempelvis banker og<br />
forsikringsselskaber være behov for medarbejdere med<br />
specialviden<br />
Koordinering med ekstern revision<br />
Både i planlægningsfasen såvel som i de øvrige faser er<br />
det vigtigt, at et internt kontrolprojektteam løbende koordinerer<br />
med den eksterne revisor. Dette skal sikre, at det<br />
samme arbejde og de samme tests ikke bliver foretaget to<br />
gange, og derudover skal det sikre en fælles forståelse for<br />
niveauet af væsentlighed.<br />
Projektplan<br />
Projektplanlægningsfasen munder ud i en projektplan.<br />
Derudover er det ved interne kontrolprojekter særdeles<br />
vigtigt, at alle væsentlige beslutninger bliver dokumenteret<br />
– både i denne fase samt i de senere faser. På denne<br />
måde skabes der klarhed over omstædighederne og<br />
grundlaget for eksempelvis valg af lokationer samt nøgleprocesser<br />
og kontroller.<br />
Når projektplanen er godkendt, kan de næste faser med<br />
identifikation og dokumentation af nøgleprocesser igangsættes.
Figur 3: Fase 2 og 3 i et<br />
internt kontrolprojekt<br />
Identificér og dokumentér nøgleprocesser og kontroller<br />
Forud for den egentlige test og evaluering af kontrollerne er det vigtigt at få identificeret<br />
og dokumenteret de <strong>væsentligste</strong> og mest betydende processer og kontroller i virksomheden<br />
for dermed at have rette grundlag for testfasen.<br />
Fase 2: Identificér nøgleprocesser<br />
og kontroller<br />
Virksomheder har nu i en årrække haft øget fokus <strong>på</strong> identifikation<br />
af kerneprocesser og -kompetencer. Mange virksomheder<br />
vælger at outsource de dele af driften, der ikke<br />
ligger inden for kernekompetencerne, til virksomheder der<br />
netop har dette område som kernekompetence. Fokus<br />
og bevidsthed om kerneprocesser og -kompetencer kan<br />
hjælpe os, når vi skal identificere og efterfølgende teste de<br />
interne kontroller.<br />
Generelt skelner man mellem kontroller <strong>på</strong> entitets- og<br />
aktivitetsniveau, hvor entiteten kan være defineret enten som<br />
enkelte forretningsenheder eller hele virksomheden afhængigt<br />
af størrelse og kompleksitet. Entitetsprocesser og kontroller<br />
er som udgangspunkt defineret som vigtige og overordnede<br />
i forhold til kontrollerne <strong>på</strong> aktivitetsniveauet, og<br />
effektiviteten af kontrollerne <strong>på</strong> entitetsniveauet har dermed<br />
betydning for mængden af kontroller <strong>på</strong> aktivitetsniveauet.<br />
Forretningskultur<br />
Det er vigtigt, at virksomheden har defineret, beskrevet<br />
og kommunikeret de værdier, normer og etiske principper,<br />
medarbejderne skal arbejde ud fra. Hvilke handlinger<br />
og hvilken adfærd er accepteret, og har man forsøgt at<br />
reducere risikoen for, at medarbejderne handler uden for<br />
disse. Dette kan eksempelvis gøres ved at beskrive konsekvenserne<br />
ved at handle uden for de valgte principper,<br />
samt ved at ledelsen aktivt og synligt handler inden for de<br />
samme principper. Ledelsen bør f.eks. bakke op om, at<br />
fejl ikke er tabu, men at de aktivt skal bruges til at lære af<br />
Projektplanlægning<br />
Identificér<br />
nøgleprocesser og kontroller<br />
Dokumentér<br />
nøgleprocesser og kontroller<br />
Implementering af<br />
yderligere kontroller<br />
Test og evaluering<br />
Rapportering<br />
© <strong>Basico</strong> Consulting A/S. Indhold må gengives med kildeangivelse 3<br />
både individuelt og som organisation. Derved skabes en<br />
stærkere forretningskultur, hvorved behovet for aktivitetskontroller<br />
reduceres.<br />
Personalepolitik<br />
Det er i <strong>virksomhedens</strong> interesse, at den enkelte medarbejder<br />
er så effektiv som mulig, og for at sikre dette må<br />
medarbejderen forstå sin rolle både i organisationen samt<br />
i forhold til egne kontrolrelaterede opgaver. Dette kan gøres<br />
ved at have udførlige stillingsbetegnelser, der indeholder<br />
opgaver samt finansielt, personale- og rapporteringsmæssigt<br />
ansvar.<br />
Generelle it-kontroller<br />
Mange kontroller er i dag implementeret i <strong>virksomhedens</strong><br />
ERP-system. Disse kontroller sker både <strong>på</strong> entitetsniveau,<br />
da de i praksis dækker hele virksomheden via ERP-systemet,<br />
men også <strong>på</strong> aktivitetsniveau, da kontrollerne typisk<br />
er defineret i forhold til de enkelte funktioner i systemet.<br />
Ikke desto mindre er det utrolig vigtigt, at virksomheden<br />
sørger for at ajourføre og skabe overblik over kontrollerne.<br />
Foretager man eksempelvis en versionsopdatering eller<br />
andre ændringer i systemet, er det af afgørende betydning,<br />
at kontrollerne igen testes og dokumenteres.<br />
Rapportering<br />
Den periodevise in- og eksterne rapportering er af stor<br />
vigtighed i enhver virksomhed, og det er derfor vigtigt at<br />
kigge nærmere <strong>på</strong> de processer, der ligger forud for rapporteringen.<br />
Procedurerne for periodeafslutningen herunder<br />
de principper og eventuelle skøn der ligger til grund<br />
for hensættelser og periodiseringer, skal dokumenteres,<br />
hvorved der sikres en så præcis og korrekt rapportering<br />
som muligt. Dette er vigtigt i forhold til ledelsens udvidede<br />
formelle ansvar for regnskabsaflæggelsen. Derudover forbedres<br />
fundamentet for kvalitet i den interne rapportering,<br />
herunder salgsopfølgning, øget omkostningskontrol samt<br />
generelt mere valide nøgletal, hvorved der skabes et mere<br />
solidt beslutningsgrundlag.<br />
Sammenhæng mellem strategi og<br />
aktivitetsbaserede kontroller<br />
Vigtigst ved identifikationen af nøgleprocesser og kontroller<br />
er, at disse tager udgangspunkt i den overordnede strategi<br />
for virksomheden.<br />
Traditionelt set udarbejder ledelsen en strategi, der skal sik-<br />
re, at <strong>virksomhedens</strong> mål bliver nået. På baggrund af stra-<br />
tegien udarbejdes en række politikker og handlingsplaner,
Figur 4: Eksempler <strong>på</strong> sammenhæng<br />
mellem strategi og kontroller<br />
som så bliver udført gennem de konkrete aktiviteter. Hertil er<br />
forbundet en række risici, som vil variere alt efter branche,<br />
konkurrencesituation samt <strong>virksomhedens</strong> valgte strategi,<br />
forretningsmodel og værdikæde. Som illustreret i figur 4 er<br />
det derfor vigtigt at skabe overblik og sikre den rette sammenhæng<br />
mellem aktiviteter og kontroller.<br />
Eksempel<br />
I det opstillede eksempel (se figur 4) er der knyttet to<br />
kontroller til aktivitet A, hvilket kan være ganske fornuftigt,<br />
hvis sandsynligheden for en fejl i aktivitet A er høj, og<br />
den samtidig er af væsentlig karakter. Hvis derimod både<br />
sandsynligheden og væsentligheden er lille, kan man måske<br />
udelade den ene kontrol.<br />
Eksemplet viser derudover, at der kan være aktiviteter uden<br />
kontroller - aktivitet B. At undlade at knytte en kontrol til en<br />
aktivitet kan være en velbegrundet beslutning taget ud fra<br />
en vurdering af omkostningerne forbundet med kontrollen<br />
i forhold til væsentligheden ved og sandsynligheden for, at<br />
en fejl opstår.<br />
Kontrol 3 dækker to aktiviteter, hvilket både ud fra et om-<br />
kostnings- og <strong>styr</strong>ingsmæssigt synspunkt er en god løsning.<br />
Kontrol 4 har ikke relation til nogle aktiviteter og er derfor<br />
overflødig og kan skæres bort. Især i omskiftelige brancher<br />
hvor risici ændrer sig ofte samt ved strategiskift, vil<br />
man opleve, at kontroller kan køre videre uden stillingtagen<br />
til, om den har relation til eksisterende aktiviteter.<br />
Faktiske eksempler <strong>på</strong> aktivitetskontroller kan være, at der<br />
skal være to personer, der godkender betalinger, samt at<br />
alle leverandørfakturaer er godkendt i henhold til de beskrevne<br />
beføjelser. Derudover kan det være opfølgning <strong>på</strong><br />
investeringsbudget, hvis man har defineret, at det er stra-<br />
© <strong>Basico</strong> Consulting A/S. Indhold må gengives med kildeangivelse 4<br />
tegisk vigtigt for virksomheden, at der skal investeres en<br />
procentdel af omsætningen i udvikling af nye produkter.<br />
Kontrol & Strategi<br />
Det er vigtigt, at man som virksomhed får vurderet aktiviteter<br />
i forhold til strategi, handlingsplaner samt risici for <strong>på</strong><br />
den baggrund at foretage en analyse af kontrolniveauet,<br />
herunder identificere hvilke kontroller der er vigtige for<br />
virksomheden.<br />
Fase 3: Dokumentér nøgleprocesser og<br />
kontroller<br />
Når relevante kontroller <strong>på</strong> både entitets- og aktivitetsniveau<br />
er blevet identificeret, er det vigtigt, at disse bliver<br />
dokumenteret tilstrækkeligt, samt at denne dokumentation<br />
løbende bliver opdateret, således at virksomheden til<br />
enhver tid har et validt overblik over effektiviteten af kontrollerne.<br />
Jo mere levende proces- og kontroldokumentationen<br />
er, jo større er sandsynligheden for anvendelse og<br />
dermed også løbende opdatering.<br />
Der er dog stor forskel <strong>på</strong> dokumentationen for henholds-<br />
vis entitets- og aktivitetsniveau, idet dokumentationen <strong>på</strong><br />
entitetsniveau primært består af politikker og retningslinier,<br />
mens kontrollerne <strong>på</strong> aktivitetsniveauet primært bliver<br />
dokumenteret via flowcharts og procedurebeskrivelser.<br />
På entitetsniveauet kan følgende dokumentation være re-<br />
levant:<br />
Virksomhedens vision og mål<br />
Strategi<br />
• Corporate Governance dokument indeholdende beskri-<br />
velse af forretningskultur – herunder værdier, normer og<br />
etiske principper. Derudover også ledelsesfilosofi, tilgang<br />
til risiko<strong>styr</strong>ing, overordnet ansvarsfordeling, offentliggørelse<br />
af perioderapporter samt rapportering om interne<br />
kontroller.<br />
Politikker og handlingsplaner Politikker og handlingsplaner<br />
Aktivitet A Aktivitet B Aktivitet C Aktivitet D<br />
Risici<br />
Kontrol 1 Kontrol 2 Kontrol 3 Kontrol 4
Figur 5: Fase 4, 5 og 6 i et<br />
internt kontrolprojekt<br />
• HR/personalehåndbog indeholdende en mere detal-<br />
jeret og praktisk orienteret gennemgang af værdier,<br />
normer og etiske principper – herunder beskrivelse af<br />
konsekvenser ved brud <strong>på</strong> disse. Derudover beskrivelse<br />
af procedure for medarbejdersamtaler, performanceevaluering,<br />
generelle ansættelsesforhold samt<br />
videreuddannelse.<br />
• Regnskabshåndbog indeholdende regnskabsprincipper,<br />
procedure for periodeafslutning samt rapportering.<br />
På aktivitetsniveau er den mest benyttede form for dokumentation<br />
flowcharts, da dette skaber et solidt overblik<br />
over ofte komplicerede processer og aktiviteter. Derved er<br />
det lettere at identificere svagheder og risici samt foretage<br />
© <strong>Basico</strong> Consulting A/S. Indhold må gengives med kildeangivelse 5<br />
generelle effektivitetsforbedringer. Et flowchart-diagram for<br />
en given proces vil typisk indeholde både manuelle aktiviteter<br />
samt aktiviteter, der udføres automatisk af ERP-systemet<br />
– ikke desto mindre er det vigtigt, at alle kontroller<br />
både manuelle og automatiserede bliver beskrevet og efterprøvet.<br />
Som supplement til flowchartet bruges procesbeskrivelse<br />
til med ord at beskrive processer samt ansvar og<br />
kontroller. De bedste løsninger er i dag baseret <strong>på</strong> processoftware,<br />
som ikke blot beskriver processer og kontroller,<br />
men også <strong>styr</strong>er arbejdsgange, og dermed sikrer, at kontrollerne<br />
foretages.<br />
Når nøgleprocesser og kontroller er iden ti fi ceret og dokumenteret,<br />
kan test og eva luering igangsættes.<br />
Test og evaluering af <strong>virksomhedens</strong> nøgleprocesser<br />
Nøgleprocesser og kontroller skal testes og evalueres, og der skal som oftest implementeres<br />
yderligere kontroller. Der skal derudover ske en struktureret rapportering af<br />
selve det interne kontrolprojekt samt af de efterfølgende tests og evalueringer.<br />
Fase 4: Test og evaluering<br />
Formålet med denne fase er at teste og evaluere effektiviteten<br />
af de kontroller, der er relateret til de nøgleprocesser,<br />
der er identificeret og dokumenteret i de foregående faser.<br />
Dette gælder både <strong>på</strong> entitets- og aktivitetsniveau.<br />
For at kunne foretage en meningsfuld evaluering er det<br />
nødvendigt at kigge nærmere <strong>på</strong> begrebet effektivitet. Er<br />
Projektplanlægning<br />
Identificér<br />
nøgleprocesser og kontroller<br />
Dokumentér<br />
nøgleprocesser og kontroller<br />
Implementering af<br />
yderligere kontroller<br />
Test og evaluering<br />
Rapportering<br />
vores interne kontroller effektive? Dette afhænger dels af,<br />
hvem vi sammenligner os med, og dels hvordan vi måler<br />
effektivitet. Vi har derfor brug for en model, der kan anvendes<br />
til at evaluere effektiviteten af de interne kontroller.<br />
For at skabe et ensartet vurderingsgrundlag anvender vi<br />
en model med fem niveauer af effektivitet – jf. tabel 1.<br />
Vurderingen i forhold til tabellen skal naturligvis ske ud fra<br />
alle de nøgleprocesser og kontroller, man i de foregående<br />
faser har identificeret og dokumenteret. Et eksempel <strong>på</strong> en<br />
evalueringsmodel kan ses i figur 6.<br />
Test og evaluering gælder både for kontroller <strong>på</strong> entitets- og<br />
aktivitetsniveau, og de vil i praksis ofte være tæt relateret.<br />
Et konkret eksempel, som vi ser jævnligt, er afstemning<br />
af intercompany-mellemværender. I <strong>virksomhedens</strong> regnskabsmanual<br />
er der krav om, at disse afstemmes månedligt,<br />
og eventuelle differencer skal afklares inden for<br />
en måned. Til årsafslutningen konstateres det, at langt<br />
de fleste mellemværender ikke har været afstemt i flere<br />
måneder, og de afstemninger der er foretaget, er udført<br />
i utilstrækkelig kvalitet. Ved nærmere undersøgelser viser<br />
det sig, at afstemning af intercompany-balancer generelt<br />
har lav prioritet i regnskabsafdelingen; regnskabschefen<br />
er overbebyrdet og har ikke tid til at coache sine medar-
Tabel 1: Karakteristika ved de<br />
fem effektivitetsniveauer<br />
Figur 6: Eksempel <strong>på</strong><br />
evalueringsmodel<br />
bejdere og kvalitetssikre deres arbejde. Medarbejderne<br />
har som følge af regnskabschefens manglende tid ikke<br />
modtaget instruktioner og feedback med hensyn til, hvordan<br />
afstemninger skal foretages. Kontrolproceduren <strong>på</strong><br />
aktivitetsniveau er korrekt designet, idet det er regnskabschefens<br />
opgave at kvalitetssikre afstemningerne. Bristen<br />
sker <strong>på</strong> entitetsniveau, idet man her ikke har formået at<br />
skabe et miljø og en forretningskultur, som bidrager til at<br />
skabe og vedligeholde effektive interne kontroller.<br />
Som oftest vil test og evaluering af nøgleprocesser <strong>på</strong><br />
både entitets- og aktivitetsniveau afsløre flere mangler i<br />
kontrolmiljøet, og man kan med fordel tage udgangspunkt<br />
i modellen, når det skal diskuteres og besluttes, hvilke<br />
yderligere tiltag der er nødvendige for at højne effektiviteten<br />
af de interne kontroller i virksomheden. Forud for<br />
implementering af yderligere kontroller er det som i ovenstående<br />
eksempel vigtigt at konstatere, hvorvidt bristen<br />
skyldes fejl i designet af kontrollen, eller om årsagen er<br />
performancerelateret og dermed en problemstilling <strong>på</strong><br />
entitetsniveau.<br />
Niveau Dokumentation<br />
5 – Optimeret Komplet og konsistent<br />
4 – Integreret Komplet og konsistent<br />
3 – Systematiseret Komplet og konsistent<br />
2 – Uformel Sporadisk, inkonsistent<br />
Kendskab og<br />
forståelse<br />
Formel kommunikation<br />
og komplet træning<br />
Formel kommunikation<br />
og komplet træning<br />
Formel kommunikation<br />
og nogen træning<br />
Intet kendskab og<br />
ingen forståelse ud<br />
over ledelsen<br />
© <strong>Basico</strong> Consulting A/S. Indhold må gengives med kildeangivelse 6<br />
Fase 5: Implementering af<br />
yderligere kontroller<br />
Jo større omfanget af yderligere kontroller, der skal implementeres,<br />
er, desto vigtigere er det at udarbejde en<br />
separat projektplan for dette. Her gælder naturligvis de<br />
samme overordnede spilleregler og retningslinier for projektplanlægningen,<br />
som vi gennemgik i første afsnit om<br />
det interne kontrolprojekt. Det er dog vigtigt at understrege<br />
vigtigheden af, at driftsmedarbejderne bliver involveret<br />
i større grad end i det egentlige kontrolprojekt. Ved at<br />
inddrage dem i implementeringen af yderligere kontroller<br />
sikrer man, at kontrollerne bliver bedre forankret i organisationen,<br />
samt at medarbejderne qua involveringen vil<br />
tage større ejerskab for kontrollerne i den efterfølgende<br />
driftsfase. Implementeringen af yderligere kontroller er en<br />
kontinuerlig proces, som med mellemrum skal foretages<br />
for at sikre, at det interne kontrolmiljø er tilstrækkeligt<br />
effektivt. Hvor ofte kontrollerne skal testes og evalueres<br />
afhænger overordnet af <strong>virksomhedens</strong> kompleksitet og<br />
omskiftelighed – både internt og <strong>på</strong> det marked virksomheden<br />
agerer.<br />
Attitude<br />
Ejerskab for at<br />
skabe kontinuerlige<br />
forbedringer<br />
Kontroller anses som<br />
en del af strategien<br />
Kontrollerne er<br />
integreret i funktionerne/<br />
afdelingerne<br />
Kontrollerne er ikke en<br />
integreret del af funktionerne/afdelingerne<br />
1 – Initial Meget begrænset Basal Ikke skabt endnu<br />
Niveau 5 – Optimeret<br />
Niveau 4 – Integreret<br />
Niveau 3 – Systematiseret<br />
Niveau 2 – Uformel<br />
Niveau 1 – Initial<br />
Kontrolprocedure<br />
Formel og<br />
standardiseret<br />
Formel og<br />
standardiseret<br />
Formel og<br />
standardiseret<br />
Intuitiv, kontinuerlig<br />
Ad hoc – som oftest<br />
ingen tilknytning til<br />
nøgleprocesser<br />
Forretningsproces Personalepolitik It-kontroller Løn<br />
Identificerede nøgleprocesser<br />
Tiltag<br />
Kontinuerlige<br />
forbedringer<br />
Kontinuerlige<br />
forbedringer<br />
Skab ejerskab<br />
Indfør standarder og<br />
skab konsistens<br />
Skab disciplin
Fase 6: Rapportering<br />
I Danmark vil rapportering i forhold til det interne kontrolprojekt<br />
som oftest udelukkende være af intern karakter.<br />
Mens der i USA via Sarbanes-Oxley Act er ganske specifikke<br />
krav til den eksterne rapportering og effektiviteten<br />
af de interne kontroller, har EU endnu ikke samme omfattende<br />
krav. Der er dog via Sarbanes-Oxley Act skabt et<br />
meget større fokus <strong>på</strong> de interne kontroller - også i danske<br />
virksomheder. Man kunne godt forestille sig, at dette fokus<br />
kunne udmønte sig i en frivillig ekstern rapportering for de<br />
største virksomheder.<br />
Den interne rapportering <strong>på</strong> projektet bør naturligvis inde-<br />
holde en beskrivelse af projektforløbet, og de beslutninger<br />
© <strong>Basico</strong> Consulting A/S. Indhold må gengives med kildeangivelse 7<br />
der er taget undervejs, samt vigtigst af alt, de konklusioner<br />
virksomheden kan drage omkring effektiviteten af de interne<br />
kontroller <strong>på</strong> entitets- og aktivitetsniveau. Derudover<br />
bør den interne rapportering indeholde en plan for yderligere<br />
kontroller, der skal implementeres for at øge effektiviteten<br />
af kontrollerne, samt øvrige tiltag, der skal iværksættes.<br />
Ydermere skal der være en plan for, hvornår og<br />
med hvilken frekvens der skal gentestes <strong>på</strong> eksisterende<br />
kontroller, og hvornår der skal testes <strong>på</strong> de nye kontroller,<br />
der skal implementeres.<br />
Har du brug for yderligere inspiration til et internt kontrol-<br />
projekt, er du naturligvis altid velkommen til at kontakte os<br />
<strong>på</strong> mail info@basico.dk eller telefon 702 703 71.<br />
<strong>Basico</strong> Consulting fokuserer <strong>på</strong> CFOens ansvarsområder. Vi løser projekt- og ressourcebaserede opgaver i økonomifunktionen.<br />
Vores kernekompetencer er økonomi<strong>styr</strong>ing, controlling og regnskab.<br />
Vores kunder oplever erfarne økonomikonsulenter, der tager ansvar og viser engagement.<br />
<strong>Basico</strong> Consulting A/S<br />
Store Kongensgade 59D<br />
1264 København K<br />
Tlf +45 702 703 71<br />
info@basico.dk / www.basico.dk