Virksomhets- og internkontrollsystem basert på Coso-rammeverket og Tre forsvarslinje-modellen

I arbeidet med å få etablert et robust og effektiv system for styring av virksomheten er det to anerkjente rammeverk som ofte fremheves: COSO-rammeverket og Tre forsvarslinjer-modellen. Jeg vil derfor med dette gjøre et forsøk på å lage en enkel og lettfattet redegjørelse for hva disse rammeverkene representerer, hvordan de komplementerer hverandre og hvorfor prinsippene som følger av dem bidrar til å danne grunnlag for et velfungerende virksomhets- og internkontrollsystem (Styringssystem). 

Introduksjon:
COSO-rammeverket definerer hva som skal til for å få etablert et effektivt internkontrollsystem. Rammeverket består av fem integrerte komponenter: kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, samt overvåking, som samlet utgjør grunnlaget for et helhetlig og dynamisk system.

Tre forsvarslinje-modellen er en metode for å definere hvem som er ansvarlig for de ulike aktivitetene i et slikt system. Av modellen følger at;

1. Forsvarslinje representeres av alle i virksomheten, herunder altså styret, ledelse og alle øvrige ansatte som  i sin rolle vil være regulert av styringssystemet.

2. Forsvarslinje representeres av personell med rolle som innbefatter ansvar for å utvikle, implementere og overvåke styringssystemet så som en Internkontroll-, Risiko-, HR- eller Sikkerhetsansvarlig mv.

3. Forsvarslinje representeres  av personell  med ansvar for  å sikre nødvendig revisjon av systemet

Et internkontrollsystem basert på prinsippene i Coso-rammeverket  og Tre forsvarslinje-modellen gir således gi et godt grunnlag for at alle vet hvem som skal gjøre hva, når og hvordan innenfor virksomhetsstyrings- og internkontrollarbeidet.

Selv et slikt internkontrollsystem vil derimot ha begrenset effekt og verdi uten et solid styringssystem som fundament. For at internkontrollarbeidet skal fungere, må den operere innenfor et rammeverk med klare og definerte ansvarslinjer for virksomhetsstyring. Videre er det avgjørende med tydelige instrukser som beskriver hvordan arbeidet i virksomheten skal gjennomføres, dokumenteres og kvalitetssikres. Internkontrollsystemet trenger rett og slett "virksomhetsregler" å måle seg mot og avstemme sin funksjon opp mot, for å kunne identifisere avvik og sikre etterlevelse. Ethvert godt internkontrollarbeid følger således av et tilsvarende godt virksomhetsstyringsarbeid.

Kontrollmiljøet (Coso komponent 1) 

Kontrollmiljøet, som kanskje mer presist burde vært benevnt som styrings-, gjennomførings-, kvalitetssikrings- og kontrollmiljøet, er den første og grunnleggende komponenten i COSO-rammeverket og som utgjør selve fundamentet for alle øvrige elementer i systemet.

Et sterkt og positivt kontrollmiljø skaper en kultur som verdsetter styring, organisering, kvalitet og legger dermed grunnlaget for  effektiv og bærekraftig drift i samsvar med gjeldende lover og forskrifter.Kontrollmiljøet omfatter alle deler av organisasjonen, fra toppledelsen og styret til den enkelte ansatte. Styret har et overordnet ansvar for å etablere og opprettholde et effektivt kontrollmiljø gjennom sitt tilsyn med ledelsen, sin uavhengighet og sin kompetanse. Styrets engasjement og aktive deltakelse i internkontrollarbeidet sender et tydelig signal til resten av organisasjonen om viktigheten av disse forholdene. Toppledelsen, på sin side, har ansvaret for å omsette styrets forventninger til konkrete handlinger og for å skape en god organisasjonskultur . Dette innebærer å etablere klare retningslinjerog instrukser, sikre at disse kommuniseres effektivt til alle ansatte, og selv etterleve disse standardene i sin egen opptreden.

Videre omfatter kontrollmiljøet den øvrige organisasjonsstrukturen, som definerer hvordan ansvar, myndighet og rapporteringslinjer er fordelt i hele virksomheten. En hensiktsmessig organisasjonsstruktur bidrar til å sikre at det er klare ansvarsområder og at beslutninger tas på riktig nivå. I tillegg spiller menneskelige ressurser en avgjørende rolle i kontrollmiljøet.  Å sikre at ansatte har den nødvendige kompetansen og forstår viktigheten av sine roller i organisasjonen og kontrollmiljøet er essensielt. Hver enkelt ansatt utgjør også en del av kontrollmiljøet gjennom sin egen integritet, etiske bevissthet og etterlevelse av retningslinjer og instrukser. En positiv kontrollkultur oppmuntres når ansatte forstår viktigheten av internkontroll for å oppnå organisasjonens mål og bidrar aktivt til å identifisere og rapportere potensielle problemer. Samlet sett er kontrollmiljøet et komplekst samspill av holdninger, strukturer og standarder som gjennomsyrer hele organisasjonen og danner grunnlaget for et effektivt internkontrollsystem.

Risikovurdering (COSO Komponent 2) (For alle forhold som bidrar til risiko for drift/måloppnåelse herunder mangel på effektivitet, enhetlighet mv.)

Risikovurdering, som er den andre komponenten i COSO-rammeverket, utgjør en dynamisk og kontinuerlig prosess som virksomheten må gjennomføre for å identifisere, analysere og håndtere risikoer som kan påvirke dens evne til å nå sine fastsatte mål. Denne komponenten er avgjørende fordi den legger grunnlaget for å bestemme hvilke kontrollaktiviteter som er nødvendige og hvordan virksomhetens ressurser best kan allokeres for å redusere potensiell negativ innvirkning. Risikovurderingsprosessen omfatter alle deler av organisasjonen og involverer ulike nivåer og funksjoner.

Først og fremst innebærer risikovurdering en klar definering av virksomhetens mål på alle nivåer.– strategiske, operasjonelle, rapporterings- og etterlevelseselaterte. Disse målene må være spesifikke, målbare, oppnåelige, relevante og tidsbestemte (SMART) for å kunne danne et tydelig referansepunkt for identifisering av risikoer. Når målene er etablert, må organisasjonen identifisere potensielle hendelser eller forhold, både interne og eksterne, som kan hindre den i å nå disse målene. Dette krever en bred tilnærming som involverer alle relevante interessenter og tar hensyn til både historiske data, nåværende situasjon og fremtidige trender.

Etter at risikoene er identifisert, må de analyseres med hensyn til både sannsynligheten for at de vil inntreffe og de potensielle konsekvensene dersom de gjør det. Denne analysen hjelper virksomheten med å prioritere risikoene og fokusere sine ressurser på de områdene som utgjør den største trusselen mot måloppnåelsen. For å strukturere denne prosessen, benyttes ofte risikomatriser eller lignende verktøy som visualiserer risikoene basert på deres sannsynlighet og konsekvens.

Til slutt innebærer risikovurderingskomponenten å utvikle en hensiktsmessig risikohåndteringsstrategi for hver identifisert risiko. Dette kan inkludere å akseptere risikoen, unngå den, redusere den gjennom kontrolltiltak, eller overføre den til en annen part, for eksempel gjennom forsikring. Valget av risikohåndteringsstrategi skal være i tråd med virksomhetens risikotoleranse, som er det nivået av risiko organisasjonen er villig til å akseptere i jakten på sine mål. Risikovurdering er ikke en engangsøvelse, men en kontinuerlig prosess som må revideres og oppdateres i takt med endringer i virksomheten og dens eksterne omgivelser.

1. Forsvarslinje vil som del av risikovurderingsarbeidet ha et ansvar får å identifisere og vurdere risikoer som er direkte knyttet til deres spesifikke oppgaver og ansvar. Dette innebærer å være oppmerksom på potensielle hendelser som kan hindre måloppnåelse, og å gi innspill til vurderingen av sannsynlighet og konsekvens. De er også ansvarlige for å rapportere nye og endrede risikoer til de relevante funksjonene i andre forsvarslinje.

2. Forsvarslinje vil som del av kontrollmiljøet ha et ansvar får å utvikle og vedlikeholde metodikker og rammeverk for risikovurdering som skal brukes i hele organisasjonen. De bistår første linje i gjennomføringen av risikovurderinger, konsoliderer risikoinformasjon fra ulike deler av virksomheten for å gi et helhetlig bilde av risikoeksponeringen, og vurderer sannsynligheten og konsekvensene av identifiserte risikoer ved bruk av spesialistkompetanse. De overvåker også endringer i det interne og eksterne miljøet som kan påvirke risikobildet.

3. Forsvarslinje vil som del av kontrollmiljøet ha et ansvar får å vurdere uavhengig kvaliteten og effektiviteten av organisasjonens risikovurderingsprosess. Dette inkluderer å evaluere om prosessen er hensiktsmessig utformet, om den identifiserer og vurderer alle vesentlige risikoer, og om den er tilstrekkelig integrert i virksomhetens beslutningsprosesser. Internrevisjonen kan også foreta egne vurderinger av de viktigste risikoene for å bekrefte at ledelsens syn er realistisk og dekkende.

Kontrollaktiviteter (COSO Komponent 3) (Styrings-, gjennomføring- og kvalitetssikringsikringsaktiviter samt revisjon)

Kontrollaktiviteter, som utgjør den tredje komponenten i COSO-rammeverket, er de konkrete handlingene som etableres gjennom styringssystemet for å bidra til å sikre at de direktivene som er gitt blir utført, og at tiltak iverksettes for å håndtere risikoene som truer virksomhetens måloppnåelse. Disse aktivitetene finner sted på alle nivåer i organisasjonen og innenfor alle funksjoner. De er avgjørende for å sette risikohåndteringsstrategiene ut i livet og sikre at de identifiserte risikoene reduseres til et akseptabelt nivå.

Kontrollaktiviteter kan deles inn i ulike kategorier, blant annet forebyggende og detektive kontroller. Forebyggende kontroller er tiltak som er utformet for å hindre at feil eller uregelmessigheter oppstår i utgangspunktet. Eksempler på dette inkluderer arbeidsdeling, hvor kritiske oppgaver deles mellom flere personer for å redusere risikoen for svindel eller feil utført av én enkeltperson; autorisasjoner og godkjenninger, som sikrer at visse transaksjoner eller handlinger må godkjennes av en person med tilstrekkelig myndighet; og tilgangskontroller, som begrenser hvem som har tilgang til sensitive systemer og informasjon.

Detektive kontroller er tiltak som er utformet for å oppdage feil eller uregelmessigheter som har oppstått. Eksempler på dette inkluderer avstemminger, hvor ulike datasett sammenlignes for å identifisere eventuelle avvik; overvåking, som innebærer en kontinuerlig vurdering av viktige indikatorer og resultater for å avdekke potensielle problemer; og fysiske inventeringer, som sikrer at de fysiske beholdningene stemmer overens med de registrerte. I tillegg til disse kategoriene, finnes også korrigerende kontroller, som er handlinger som iverksettes for å rette opp feil eller avvik som er oppdaget.

Effektive kontrollaktiviteter kjennetegnes av at de er hensiktsmessige i forhold til de identifiserte risikoene, at de er klart definert og dokumentert gjennom policyer og prosedyrer, og at de blir implementert og etterlevd konsekvent i hele organisasjonen. Det er også viktig at ansvaret for utførelsen av kontrollaktivitetene er tydelig plassert. Kontrollaktiviteter er ikke en engangsforeteelse, men må tilpasses og oppdateres i takt med endringer i virksomheten og dens risikobilde for å sikre fortsatt relevans og effektivitet.

1. Forsvarslinje i kontrollmiljøet vil, som for Coso komponent 1, være at alle i virksomheten opererer iht. fastsatt organisasasjonsstruktur og  utfører og kvalitetssikrer sitt arbeid i samsvar med de  instrukser som følger av virksomhetens styringssystem.

2. Forsvarslinje i kontrollmiljøet vil, som for Coso komponent 1,  være at særskilt utpekte personell (Internkontrollansvarlig personell) løpende overvåker at virksomheten opererer iht. fastsatt styringssystem, og

3. Forsvarslinje i kontrollmiljøet være, som for Coso komponent 1,  at særskilt utpekt personell (Uavhengig revisjonsansvarlig personell) som del av dette ha et ansvar får å foreta en uavhengig vurdering av kvaliteten og effektiviteten i kontrollmiljøet. Dette innebærer å evaluere "tonen fra toppen" som settes av styret og toppledelsen, vurdere om retningslinjer og instrukser er hensiktsmessige , og undersøke om organisasjonsstrukturen og tildelingen av ansvar og myndighet utgjør et hensiktsmessig kontrollmiljø.

Informasjon og Kommunikasjon (COSO Komponent 4)

Informasjon og kommunikasjon, den fjerde komponenten i COSO-rammeverket, omfatter de systemene og prosessene som er etablert for å understøtte identifisering, innsamling, behandling og utveksling av relevant informasjon. Dette inkluderer både intern kommunikasjon, som sikrer at informasjon flyter effektivt mellom ulike nivåer og funksjoner innenfor organisasjonen, og ekstern kommunikasjon, som omhandler utveksling av informasjon med eksterne interessenter som kunder, leverandører, regulatoriske myndigheter og investorer. En velfungerende informasjons- og kommunikasjonskomponent er avgjørende for at alle ansatte skal kunne forstå sine ansvarsområder knyttet til internkontroll og for at ledelsen skal ha tilgang til den informasjonen som er nødvendig for å ta informerte beslutninger og overvåke virksomhetens ytelse.

Internt innebærer dette at relevant informasjon om organisasjonens mål, risikovurderinger, kontrollaktiviteter og resultater må kommuniseres på en klar, rettidig og forståelig måte til de som trenger den for å utføre sine oppgaver. Dette kan skje gjennom formelle kanaler som policyer, prosedyrer, rapporter, opplæringsprogrammer og interne nettverk, samt gjennom uformelle kanaler som møter og muntlig kommunikasjon. Det er viktig at informasjonsflyten er toveis, slik at ansatte også har mulighet til å gi tilbakemelding, rapportere avvik og dele relevant informasjon oppover i organisasjonen.

Ekstern kommunikasjon er like viktig for å bygge og opprettholde tillit hos eksterne interessenter. Dette omfatter finansiell rapportering som skal være pålitelig og transparent, kommunikasjon med regulatoriske myndigheter i henhold til gjeldende krav, og utveksling av informasjon med kunder og leverandører på en måte som er i tråd med etiske standarder og avtalevilkår. Virksomheten må også ha systemer for å motta og håndtere informasjon fra eksterne kilder, inkludert tilbakemeldinger fra kunder og signaler om potensielle risikoer eller muligheter i markedet.

For å sikre effektiv informasjon og kommunikasjon, må virksomheten ha hensiktsmessige informasjonssystemer som støtter innsamling, behandling og lagring av data. Disse systemene må være pålitelige, sikre og tilgjengelige for de som trenger dem. Videre er det viktig å ha klare retningslinjer for hvem som har ansvar for å generere, godkjenne og distribuere informasjon, samt for hvordan informasjonen skal beskyttes og oppbevares. En velfungerende informasjons- og kommunikasjonskomponent sikrer dermed at relevant informasjon når de riktige personene til rett tid, noe som er en forutsetning for effektiv internkontroll og god virksomhetsstyring.

1. Forsvarslinje vil som del av Informasjons- og kommunikasjonsarbeidet ha et ansvar får å sikre at relevant informasjon om risikoer, kontroller og resultater kommuniseres effektivt internt innenfor deres ansvarsområder. De må også forstå og følge de kommunikasjonskanalene som er etablert for å sikre en hensiktsmessig informasjonsflyt i hele organisasjonen.

2. Forsvarslinje vil som del av Informasjons- og kommunikasjonsarbeidet ha et ansvar får å utvikle og vedlikeholde systemer og kanaler for informasjonsflyt knyttet til risikostyring og compliance. De sikrer at relevant informasjon når de riktige mottakerne i tide og er tilstrekkelig for beslutningstaking og overvåking av risiko og kontroll. Dette inkluderer også å sikre at det er effektive kanaler for rapportering av risikoer og avvik fra første linje.

3. Forsvarslinje vil som del av Informasjons- og kommunikasjonsarbeidet ha et ansvar får å evaluere uavhengig om organisasjonens informasjonssystemer og kommunikasjonsprosesser sikrer at relevant, pålitelig og rettidig informasjon er tilgjengelig for internkontrollformål. Dette inkluderer vurdering av kvaliteten på finansiell og operasjonell rapportering, effektiviteten av kommunikasjonskanalene og om informasjonen som ledelsen mottar er tilstrekkelig for beslutningstaking og overvåking.

Overvåkingsaktiviteter (COSO Komponent 5) (Tilsyn, overvåking, avviksbehandling, revisjon)

Overvåkingsaktiviteter, den femte og siste komponenten i COSO-rammeverket, representerer den kontinuerlige prosessen med å vurdere kvaliteten på internkontrollsystemets funksjon over tid. Dette er avgjørende for å sikre at de etablerte kontrollene forblir relevante, hensiktsmessige og effektive i møte med endringer i virksomheten og dens eksterne omgivelser. Overvåking handler ikke om en engangsforeteelse, men om en integrert og dynamisk tilnærming for å verifisere at internkontrollsystemet fungerer som tiltenkt og identifisere behov for justeringer eller forbedringer.

Overvåkingsaktiviteter kan deles inn i to hovedtyper: løpende overvåking og separate evalueringer. Løpende overvåking er aktiviteter som er bygget inn i de daglige driftsprosessene. Dette kan inkludere ledelsens gjennomgang av nøkkelindikatorer, oppfølging av rapporter og ytelsesdata, samt automatiske kontroller som er integrert i informasjonssystemene. Fordelen med løpende overvåking er at den gir umiddelbar tilbakemelding og muliggjør raske korrigeringer ved behov.

Separate evalueringer, på den annen side, er mer periodiske vurderinger av spesifikke kontrollaktiviteter eller hele internkontrollsystemet. Disse evalueringene utføres ofte av personer som ikke er direkte ansvarlige for de kontrollene som vurderes, for å sikre en mer objektiv tilnærming. Internrevisjonen er en typisk funksjon som utfører separate evalueringer. Områder som kan være gjenstand for separate evalueringer inkluderer effektiviteten av spesifikke kontrollaktiviteter, etterlevelse av policyer og prosedyrer, og adekvatheten til risikostyringsprosessene.

Uavhengig av type overvåkingsaktivitet, er det essensielt at funnene fra overvåkingen blir kommunisert til de rette nivåene i organisasjonen, inkludert ledelsen og eventuelt styret. Dette muliggjør rask respons og iverksettelse av korrigerende tiltak der det er nødvendig. Oppfølging av implementerte tiltak er også en viktig del av overvåkingsfasen for å sikre at de har den ønskede effekten og at identifiserte svakheter blir adressert på en tilfredsstillende måte. En effektiv overvåkingskomponent bidrar dermed til kontinuerlig forbedring av internkontrollsystemet og sikrer at det forblir relevant og tilpasset virksomhetens utviklende behov og risikobilde.

1. Forsvarslinje vil som del av overvåkingssarbeidet ha et ansvar får å melde fra dersom det blir avdekket nye risikoforhold som påkrever systemvurdering og eventuelle tilhørende systemtiltak og besørge nødvendig avviksbehandling i de tilfeller det blir identifisert eventuelle avvik fra systeminstruksene.

2. Forsvarslinje vil som del av overvåkingssarbeidet ha et ansvar får å å overvåke effektiviteten av internkontrollsystemet som helhet. Dette inkluderer å analysere data og rapporter fra første linje, gjennomføre periodiske evalueringer av spesifikke kontrollaktiviteter eller prosesser, og følge opp implementeringen av korrigerende tiltak som følge av identifiserte svakheter eller avvik.

3. Forsvarslinje vil som del av overvåkingssarbeidet ha et ansvar får å gi en uavhengig vurdering av effektiviteten til organisasjonens samlede overvåkingsaktiviteter, inkludert de som utføres av første og andre linje. Internrevisjonen vurderer om omfanget og frekvensen av overvåkingen er tilstrekkelig, om funn blir rapportert og fulgt opp på en hensiktsmessig måte, og om det er etablert en kultur for kontinuerlig forbedring av internkontrollsystemet basert på resultatene av overvåkingen.

Oppsummeringsmessig forsøkes her å redegjøre for hvordan og hvorfor et virksomhets- og internkontrollsystem, basert på COSO-rammeverket og Tre forsvarslinjer-modellen, vil representere et hensiktsmessig verktøy for enhver virksomhet. COSO definerer og redegjør for de fem sentrale komponentene for effektiv internkontroll (kontrollmiljø, risikovurdering, kontrollaktiviteter, informasjon og kommunikasjon, overvåking). Tre forsvarslinjer-modellen tildeler ansvar for disse komponentene på tvers av organisasjonens nivåer: Første linje utfører daglige operasjoner og kontroller, andre linje overvåker og veileder, og tredje linje besørger gjennomføring av uavhengig revisjon. Det understrekes videre at internkontrollarbeidet er et kollektivt ansvar innenfor alle ledd av virksomheten, fra styret til den enkelte ansatte, og at en klar fordeling av roller og en kultur for samarbeid er essensielt. Det belyses også styrets overordnede ansvar for å etablere og vedlikeholde et slikt system, og detaljerer den eller de internkontrollansvarliges rolle og samspill med andre. Dette integrerte systemet sikrer, ved rettmessig bruk  i et egnet kontrollmiljø med rett kultur,, således ikke bare etterlevelse av myndighetskrav, men også operasjonell effektivitet, risikohåndtering og kontinuerlig forbedring.