Den utveckling som skett de senaste tjugo åren av internrevisionsfunktionen är mycket genomgripande.

– Få inser vilken annorlunda roll vi har idag. Den finansiella kontrollen sköts oftast av en internkontrollfunktion medan vi jobbar med frågor som rör verksamhetens styrning, riskhantering och kontroll, berättar Anna Blondell, Chef för internrevisionen på ICA-gruppen.

Företag och organisationer blir alltmer komplexa

Den tidigare enbart granskande och utvärderande rollen har nu kompletterats med även rådgivning. De bidrar också till att verksamheten kan nå sina uppsatta mål.

– Ett skäl till att rollen förändrats så drastiskt är att företag och organisationer blir alltmer komplexa. Internrevisionen har därför blivit en viktig del av governance-strukturen, fortsätter hon.

Även riskbilden förändras

Parallellt med samhällsutvecklingen sker också en förändring i den riskbild som organisationer har att hantera. Bland de förändringar som skapar nya risker finns:

  • Digitaliseringen – då alltfler funktioner blir uppkopplade mot internet och molnfunktionerna ökar i snabb takt, så skapas risker för företag och organisationer som de inte tidigare varit utsatta för. Sårbarheten ökar betydligt då exempelvis processer och styrfunktioner nu delas mellan dotterbolag runt om i världen via molnet. Det kan vara cyberattacker med syfte att komma över kritisk information som sedan används felaktigt eller intrång som kan skada patentprocesser eller störa produktionen.
  • Ökat fokus på hållbarhet -  i takt med att hållbarhetsfrågorna blir allt intressantare för medborgarna så måste ett företag eller organisation kunna säkerställa att deras verksamheter både lokalt och globalt följer de hållbarhetsplaner man satt upp. Det innebär att inte bara den egna verksamheten måste utvärderas, utan även leverantörskedjan i flera led bakåt. Riskerna kan handla om barnarbete i fabriker flera leverantörsled bort som kan bli ödesdigert för varumärket.
  • Performance management -  med en ny generation medarbetare krävs en ny typ av ledarskap och tydligare karriärutvecklingsprocesser. Riskbilden i detta sammanhang handlar bland annat om att inte vara en attraktiv arbetsgivare för de bästa kompetenserna.

Ser övergripande sammanhang

Interrevisionen arbetar brett över hela organisationen och kan se samband inga andra ser.

– Det är ett otroligt spännande arbete vi har med möjlighet att genomlysa organisationen på tvärs och se perspektiv och sammanhang som få andra får en möjlighet att se. Det gör att vi också kan bidra till verksamhetens övergripande effektivitet genom att exempelvis kunna förmedla goda exempel mellan verksamheter och att kunna se samordningsmöjligheter, berättar Anna Blondell.

Ett av våra viktigaste syften är att hjälpa verksamheten att kunna nå sina mål

De tar fram årliga riskplaner baserade på kontinuerliga riskanalyser av både verksamhetsdelar och hela verksamheten. Det de primärt jobbar med är att utvärdera effektiviteten i olika processer och funktioner.

– Ett av våra viktigaste syften är att hjälpa verksamheten att kunna nå sina mål bland annat genom att se till att deras processer fungerar effektivt och ändamålsenligt, förklarar hon vidare.

För att kunna göra det så jobbar de med att identifiera riskfyllda områden som inte fungerar så bra och göra utvärderingar av dessa  som sedan leder till förslag till förbättringar. De har inte mandat att fatta några beslut själva, utan jobbar hela tiden med rekommendationer. Tillsammans med olika verksamhetsdelar tar de även fram åtgärdsplaner som kan öka effektiviteten.

Agerar på styrelsens uppdrag

En av grundförutsättningarna för att de ska fylla den avsedda funktionen är att de är helt oberoende. Och genom att deras uppdrag kommer direkt från styrelsen så står de vid sidan av den ordinarie verksamheten rent lojalitetsmässigt, även om de arbetar mycket operativt i densamma.

Genom att ledningen ser värdet av internrevisionens arbete är vi en naturlig del att i rätt sammanhang

– I vår roll är kommunikationen till ledning och styrelse mycket viktig, inte minst hur vi utformar den. På ICA tycker jag att vi har en bra modell; kvartalsvis träffar jag dotterbolagsledningsgrupperna, koncernledningen och styrelsens revisionsutskott för att gå igenom och diskutera aktuella observationer och rekommendationer. Genom att ledningen ser värdet av internrevisionens arbete är vi en naturlig del att i rätt sammanhang ges möjlighet att vara relevanta och därmed skapa värde för ICA Gruppen.

Kraven på när internrevision krävs varierar med vilken typ av verksamhet det är. Inom staten styr förordningar vilken typ av internrevision olika myndigheter och statliga bolag ska ha. För företag är det mer på frivillig basis man tillsätter interrevisorer, förutom inom finansvärlden där det är obligatoriskt.

– ICA Gruppen har under drygt 15 år haft en internrevision och har under senare år ytterligare utvecklat  revisionens roll , liksom utvecklat  risk- och kontrollorganisationerna. förklarar Anna Blondell.

Riskutvärdering

För att kunna bidra till att verksamheten både har insikt i vilka risker de kan utsättas för och hur de bör hantera dem, så gör man genomgående riskanalyser som pekar ut vilka delar av verksamheten som är viktigast att hantera, för allt går inte att skydda.

Det är också mycket viktigt att ledningen är involverad i riskanalysen

– Även där har vår roll förändrats de senaste åren. Från att förut mycket ha handlat om att minska eller helst eliminera risker som verksamheten kan utsättas för, så handlar det idag mer om att balansera risker, förklarar hon.

Och för att kunna balansera riskerna måste analyser kontinuerligt utvärdera var riskerna är som störst. Därefter görs en prioriteringsordning som avgör var man lägger den största kraften på skyddet och utifrån det utformas sedan riskplanerna som följs upp kontinuerligt.

– Det är också mycket viktigt att ledningen är involverad i riskanalysen. Risk- och internrevisionsfrågor har därför numera etablerats på styrelse och ledningsagendan som en naturlig förutsättning för organisationers framgång.

Interrevisorerna utvärderar och effektiviserar också själva riskprocessen, som inkluderar kontinuitetsplanering och tester av systemen som måste ske med jämna mellanrum så alla är förberedda på vad de ska göra vid exempelvis en cyberattack.

Vanligaste misstagen

Bland de vanligare felen man kan göra när man jobbar med riskhantering är att man arbetar separat med verksamhetsplanen respektive riskanalysen.

Det är ofta klokare att fundera en vända till och analysera helheten

– Det är lätt hänt att en grupp jobbar med riskhantering på sitt håll medan en annan utvecklar verksamhetsplanen, vilket inte är så lyckat. Riskanalysen är helt enkelt en så viktig del i styrningen av organisationen att den måste ske i nära samband med verksamhetsplaneringen, förklarar Anna Blondell.

Ett annat vanligt misstag är att gå lite för fort fram. Att när man identifierat ett riskområde sätta igång med åtgärder direkt.

– Men, det är ofta klokare att fundera en vända till och analysera helheten och se så man verkligen hittar rätt riskbalans och fokuserar på rätt saker, avslutar hon.