Definition af interne kontroller

Tilgangen til interne kontroller har ændret sig gennem årene, hvorfor revisionsprocessen derfor også har haft en påvirkning af dette. Det blev beskrevet af Poul Hansen i 1956 som et værktøj der skal forhindre at der sker fejl eller besvigelser⁴⁷. Hvor den i dagens revisionsproces bliver brugt som egentlige processor, der hjælper organisationer med at nå deres målsætning, gennem at imødegå risiciene der kan opstå omkring målsætningen. Kontrollerne kan bestå af afstemninger af fx bank, løn, moms og finansielle sammenligning af fx budgettet, konkurrenter og funktionsadskillelse⁴⁸. Figur 8 - Udvikling af definition for intern kontrol, illustrerer hvorledes de interne kontroller har ændret sig gennem tiden:

Figur 8 - Udvikling af definition for intern kontrol

Forståelsen af intern kontrol, på tværs af disciplin og professioner, er i dag først og fremmest baseret på COSO-begrebsramme for interne kontrol.⁴⁹ COSO-rapporten blev oprindeligt udviklet

47 Davidsen, C. (2007, nr. 11), Intern kontrol i revisionsprocessen, Inspi, s. 24

48 Davidsen, C. (2007, nr. 11), Intern kontrol i revisionsprocessen, Inspi, s. 24

49 Davidsen, C. (2007, nr. 11), Intern kontrol i revisionsprocessen, Inspi, s. 26

som et frivilligt ledelsesværktøj, med udsigt til større amerikanske virksomheder. Grunden til udviklingen af begrebsrammen var bl.a. for at oprette en fælles forståelse af interne kontroller, der kan assisterer ledelsen i at imødegå organisations risici der kunne true målopfyldelsen. Udviklingen af COSO var i kølvandet af flere større erhvervsskandaler, der havde påvirket tab for investorer for flere millioner samt arbejdsløshed i forbindelse med virksomheders kollaps. Erhvervsskandalerne var især tilskrevet besvigelser på ledelsesniveau, ved bl.a. personligt øget velstand eller for at give succes til organisationer.

COSO rapporten fra 1992 definerer intern kontrol således⁵⁰:

”Internal control is broadly defines as a process, effected by an entity’s board of director, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:

 Effectiveness and efficiency of operations

 Reliability of financial reporting

 Compliance with applicable laws and regulations”

På grund af de store erhvervsskandaler der var i perioden, hvor den oprindelige COSO-begrebsramme blev grundlagt, påvirkede det også revisionsprocessen. Skandalerne gjorde at samfundet fokuserer på andre kontrolmekanismer end den som revisor repræsenterer. Dette har gjort at der er sket en opstramning i lovgivningen og standarderne, hvilket har resulteret i mere revision end tidligere. Standarderne har indarbejdet en række principper og metodikker, der ikke har været nyheder indenfor revision, men nu er medtaget i revisionsstandarderne. De standarder der er grundstammen for intern kontrol er ISA 300, 315 og 330. Begrebsramme for interne kontroller illustreres ofte ved hjælp af kuberne jf.

50 COSO, (1992), COSO integrated framework

http://www.coso.org/documents/Internal%20Control-Integrated%20Framework.pdf

Figur 9 – COSO

Kilde: Executive’s guide to COSO internal controls, Robert R. Møller

Kontrolelementer

De tre sider i kuberne repræsenterer henholdsvis organisationers kontrolsystem/risikostyringssystem, målsætninger og de enkelte forretningsenheder/-aktiviteter.⁵¹ En organisations interne kontrolsystem består ifølge COSO-begrebsrammen af fem forbundne processer i form af, som bliver illustreret i kubernes front:⁵²

1. Overvågning af kontroller:

Overvågning af kontroller er en proces der skal vurderer kvaliteten og effektiviteten af kontroller der er blevet implementeret organisationen.

2. Information og kommunikation:

Oplysninger der er relevante skal identificeres og formidles på det rette tidspunkt, for at gøre det muligt for medarbejderne at udfører deres opgaver.

3. Kontrolaktiviteter:

Politikker og procedurer der er med til at sikre ledelsens direktiver. Aktiviteterne omfatter alle niveauer og funktioner i organisationer, og omfatter bl.a. godkendelser, tilladelser og funktionsadskillelse.

51 Davidsen, C. (2007, nr. 11), Intern kontrol i revisionsprocessen, Inspi, s. 27

52 COSO, (1992), COSO integrated framework

http://www.coso.org/documents/Internal%20Control-Integrated%20Framework.pdf

4. Organisationers risikovurderingsproces:

Vurdering af eksterne og interne risici, der står overfor virksomheden. Risiciene skal være relevante for organisationens målsætning.

5. Kontrolmiljø:

Sætter tonen i virksomheden, der påvirker kontrolbevidstheden hos medarbejderne.

Kontrolmiljø omfatter integritet, etiske værdier og kompetence for medarbejderne i organisationer.

Der er en sammenhæng mellem organisationens mål og det interne kontrolsystem i henhold til begrebsrammen. Målene er udtryk for, hvad organisationen vil opnå, mens intern kontrol er midlet der er med til at kunne gennemfører målene. Målene er illustreret øverste i kuberne⁵³, jf. Figur 1Figur 9:

1) Drift – Der skal være en effektiv brug af ressourcerne.

2) Pålidelig regnskabsrapportering – Der skal være en pålidelig rapportering.

3) Overholdelse af lovgivning – Det skal være i overensstemmelse med gældende love.

4) Strategi – Der skal være overordnede mål, der støtter missionen i virksomheden.

Direkte og indirekte kontrol

I intern kontrol, kan der skelnes mellem direkte og indirekte kontrol. Direkte kontrol er når forskellige interessegrupper der indgår i et netværk, dette kan være investorer, medarbejder osv., alle er frivillige deltagere. De indgår i en direkte kontrol, da de kan være at fratrække sig netværket.⁵⁴

Indirekte kontrol er de områder interessegrupperne ikke kan overvåge fuldt og kontrollerer de handlinger der finder sted i netværket. Det er strukturer, processer og mekanismer der derfor skal kompenserer for dette.⁵⁵

53 COSO, (2009), COSO ERM

http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Danish.pdf

54 Davidsen, C. (2007, nr. 11), Intern kontrol i revisionsprocessen, Inspi, s. 18

55 Davidsen, C. (2007, nr. 11), Intern kontrol i revisionsprocessen, Inspi, s. 18

Begrænsninger i intern kontrol

Uanset hvor effektiv intern kontrol er, er der altid muligheder for organisationens mål ikke kan opnås. Som det er nævnt tidligere i afsnit 3.2, er den iboende risiko, en påvirkning på de væsentlige fejlinformationer. Intern kontrol påvirkes derfor af de iboende begrænsninger de besidder.

Menneskelige fejl er den største iboende begrænsning der er i intern kontroller. Menneskelig bedømmelse kan være fejlagtig, når der skal træffes beslutninger og intern kontroller kan bryde sammen, som følge af menneskelige fejl.⁵⁶ Samtidig kan det være at den daglige ledelse tilsidesætter intern kontrol, ved f.eks. at indgå tillægsaftaler, der påvirker standardkontrakterne som virksomheden har. Dette resulterer i forkert indregning af indtægterne.

Mindre offentlige instanser har fx færre ansatte, hvilket begrænser muligheden for funktionsadskillelse. Dette kunne være institutioner, som f.eks. børnehaver.

Kritik af COSO-begrebsrammen

Der er rettet en kritik på brugen af COSO-begrebsrammen, da kritikken mener at revisors uafhængighed bliver påvirket af brugen af begrebsrammen. Kritikken på teoretisk plan er, at revisionsprocessen er påvirket af egeninteresse og sammenblander rådgivning og revisionsydelser.

Begrebsrammen er udviklet som et ledelsesværktøj til at imødegå risici, hvorfor rådgivning kommer ind i revisionsprocessen, ved at revisor benytter denne. Ved at revisor implementerer COSO-begrebsrammen ind i organisationen, afgiver revisor rapportering til ledelsen vedrørende organisationers interne kontroller, så yder revisor reelt rådgivning. Dog er der i IFAC’s etiske retningslinjer og i den danske revisorlovgivning undladt bevist at forbyde rådgivning i forbindelse med revisionsprocessen.⁵⁷

Manuelt kontrolsystem

En organisations interne kontrolsystem består af manuelle og automatiserede (it-afhængige manuel og applikation) elementer. Systemener har den indflydelse at de påvirker, hvordan hele systemet i organisationen foregår. Fra hvordan transaktioner bliver bogført, behandles og rapporters. De manueller kontroller bliver beskrevet i dette afsnit, hvorfor de it-afhængige manuel og applikations kontroller bliver beskrevet i afsnit 3.1.

Kontroller i et manuelt system kan omfatte processer som godkendelse og gennemgang af transaktioner og afstemninger, der bliver foretaget af organisationens medarbejder.

56 FSR Samlet internationale standarder, (2011), ISA 315, A46

57 Davidsen, C. (2007, nr. 11), Intern kontrol i revisionsprocessen, Inspi, s. 21

For både de manuelle kontroller som de automatiserede er der fordele og ulemper ved benyttelse af det.

Fordele⁵⁸:

Hvis der kræves skøn eller forsigtighed er det en fordel at benytte de manuelle kontroller. Dette er ved bl.a. store, usædvanlige eller ikke tilbagevendende transaktioner. Hvis der er omstændigheder, hvor det er vanskeligt at forudsige fejl, eller ændringer i omstændigheden der kræver en kontrolreaktion, der ligger uden for en automatiseret kontrol. Når der skal overvåges effektiviteten af de automatiserede kontroller, er det manuelt kontrolarbejde.

Ulempe⁵⁹:

Manuelle kontroller er mere udsatte for fejl, der derfor gør det mindre pålideligt end de automatiserede kontroller. Dette er grundet, at der er større mulighed for at omgå, ignorer eller tilsidesætte kontrollerne. Det kan derfor ikke forudsættes at de manueller kontroller anvendes ensartet. Derfor er der situationer, hvor de manueller kontroller kan være mindre anvendelige. Dette er bl.a. ved store antal transaktioner, hvor fejl kan forventes eller forudsiges, kan forebygges ved automatiserede kontroller.

Automatiseret kontrolsystem

Kontroller i et automatiseret kontrolsystem kan ligesom det manuelle kontrolsystem godkende og behandle transaktioner. Her bliver det sat ind i systemet og papirdokumenter bliver derfor erstattet af elektroniske registreringer. It kontroller kan opsættes til at vedrøre relevante revisionsmål eller være kritisk for registrering og behandlinger af transaktioner. Som før beskrevet er der fordele og ulemper ved at benytte automatiseret kontroller. Ved automatiseret kontrolsystem er der to muligheder, it-afhængig manuel kontrol og applikationskontrol. Ved it-afhængig manuel kontrol, skal det stadig manuelt kontrolles jævnligt. Mens ved applikationskontroller, er der mulighed for at sætte begrænsninger og lignende på. Dette kan f.eks. være at der sættes en beløbsgrænse på 3 mio., dvs. alt over 3 mio. kan ikke godkendes automatisk, men skal godkendes manuelt.

58 FSR Samlet internationale standarder, (2011), ISA 315, A57

59 FSR Samlet internationale standarder, (2011), ISA 315, A58

Fordele⁶⁰:

Der kan bruges foruddefinerede forretningsmæssige regler konsistent, hvorfor der ikke kan laves tillægsaftaler, der påvirker indregning af omsætningen og derfor mindsker risikoen for omgåelse af kontroller. Det kan gøre det nemmere at lave yderligere analyser af information. Samtidig kan der udføres komplekse beregninger, ved behandling af store mængder transaktioner.

Ved at bruge de automatiserede kontroller kan det forbedre tilgængeligheden og nøjagtigheden af informationer. Det gør det nemmere for virksomheder at overvåge deres aktiviteter og dens politikker og procedurer.

Kontrollerne forbedrer muligheden for en effektiv funktionsadskillelse, da der indføres sikkerhedskontroller i applikationer, databaser og operativsystemer.

Ulemper⁶¹:

Selvom automatiserede kontroller kan gøre det mere nøjagtigt ved behandling af data, er der stadig en risiko for at dataene bliver behandlet unøjagtigt. Dette er i forhold til, at programmerne kan være sat forkert op, eller at der kan ske en nedbrydning i systemet, samt manglende opdatering af ændringer i systemet.

Hvis der er uautoriseret adgang til data, kan det medføre ødelæggelse af data eller ugyldig ændringer af data, herunder bogføring af ikke godkendte eller eksisterende transaktioner. Dette er især tilfældet, hvis der er mange brugere til en fælles database. Hvis en it-medarbejder får adgangsrettigheder der er højere, end de burde, kan det nedbryde funktionsadskillelsen.

Uautoriserede ændringer i data, systemer eller programmer, samt upassende manuelle indgriben, medfører risici.

3.4.2. Test af kontroller

In document Interne kontroller og besvigelser i den offentlige sektor (Sider 43-49)