Vad innebär internkontroll? När, hur och varför?

Vad innebär internkontroll? När, hur och varför?

Internkontroll är systematiskt arbete för att säkerställa att din verksamhet når sina mål, följer lagar och hanterar risker effektivt. Lär dig när du behöver börja, hur du bygger ett system med COSO-modellen och vem som ansvarar för vad.

Lucas Rosvall

Lucas Rosvall

Stora betalningar, kritiska processer och växande komplexitet ökar riskerna i alla verksamheter. Vad händer när något går fel? En väldesignad internkontroll gör skillnaden mellan att arbeta proaktivt med risker och att behöva hantera kriser i efterhand.

Med systematisk övervakning och rätt rutiner kan du identifiera och åtgärda avvikelser innan de utvecklas till allvarliga problem. Internkontroll handlar om att skapa trygghet i verksamheten. I denna artikel går vi igenom vad internkontroll innebär, när du bör införa den, och hur du bygger ett effektivt system med beprövade ramverk som COSO-modellen.

Definition av internkontroll

Internkontroll styr hur ett företag arbetar, från dagliga rutiner till övergripande beslutsprocesser inom GRC (Governance, Risk och Compliance). Det skapar ordning och säkerhet genom att förebygga misstag och upptäcka avvikelser innan de påverkar verksamheten.

Ett internkontrollsystem är din verksamhets systematiska arbete för att:

  • Nå verksamhetens mål effektivt genom målstyrning
  • Säkerställa korrekt ekonomisk rapportering och transparent redovisning
  • Garantera regelefterlevnad inom områden som GDPR, NIS2 och bokföringslagen
  • Skydda tillgångar och information från förluster

I praktiken handlar det om ett ramverk av processer, rutiner och kontroller som tillsammans skapar trygghet i verksamheten. För företag med informationssäkerhetskrav kan internkontrollen också integreras med standarder som ISO 27001.

När ska man börja med internkontroll?

För riktigt små företag räcker det att börja med grundläggande egenkontroll. Ha koll på vem som får godkänna betalningar, dokumentera de viktigaste rutinerna och spara alla viktiga avtal på ett ställe. När företaget växer till över 20 anställda blir behovet av systematiskt förbättringsarbete mer påtagligt - fler personer hanterar pengar och överblicken minskar naturligt med tiden.

För större företag med över 50 anställda ökar behovet för en strukturerad intern styrning. Då behövs en väsentlighetsanalys för att identifiera kritiska processer som kräver särskild uppsikt. Ett tillverkande företag med många leverantörer behöver ofta mer omfattande system än ett konsultbolag, men principen är densamma - anpassa efter verksamhetens behov.

Vänta inte tills något går fel. Tyvärr börjar många först när en kund kräver det vid en upphandling, men då har möjligheter redan missats. Ett proaktivt arbete med internkontroll gör företaget mer attraktivt för partners och kunder. Det visar att ni tar risker och kvalitet på allvar.

Hur bygger man en effektiv internkontroll?

Börja enkelt och utgå från er verksamhet. Samla nyckelpersoner och identifiera era viktigaste processer. Var finns riskerna? Var skulle fel få störst konsekvenser? Fokusera först på det mest affärskritiska och dokumentera dessa risker i ett riskregister.

Många utgår sedan från COSO-modellen för sin internkontroll. Det är en beprövad standard som skapar struktur i arbetet genom fem samverkande komponenter:

  • Kontrollmiljö: Fastställer organisationens ton genom värderingar, ledarskap och ansvar.
  • Riskbedömning: Kartlägger och värderar risker som kan hindra verksamheten från att nå sina mål.
  • Kontrollaktiviteter: Skapar konkreta rutiner och kontroller som förebygger identifierade risker.
  • Information och kommunikation: Säkerställer att rätt personer får rätt information vid rätt tidpunkt.
  • Uppföljning: Utvärderar löpande om kontrollerna fungerar och ger önskad effekt.

För mindre företag behöver du sällan börja med alla dessa komponenter på en gång. Börja med enkla rutiner när företaget är litet - det ger en smidigare övergång när verksamheten växer och kraven ökar. Ett företag som tidigt byggt grundläggande struktur har mycket lättare att utveckla en fullskalig internkontroll när behovet uppstår.

Försök också att göra uppföljningen till en naturlig del av era befintliga möten. Dokumentera avvikelser och förbättringar, eftersom det visar värdet av arbetet och hjälper er att utvecklas. När ni växer kan ni gradvis bygga ut systemet.

Vem ska ansvara för vad i en internkontroll?

En effektiv internkontroll bygger på definierade ansvarsområden genom hela organisationen. På den högsta nivån har styrelse och ledning det övergripande ansvaret. De fastställer strategin och riskaptiten för internkontrollen, godkänner policies och säkerställer att resurser finns tillgängliga för implementeringen.

Mellanchefer och avdelningsansvariga är nyckelpersoner i själva genomförandet. De ansvarar för att utveckla rutiner och kontrollaktiviteter inom sina områden, säkerställa att medarbetarna har rätt kompetens och övervaka att kontroller genomförs enligt plan.

För att säkerställa en effektiv samverkan mellan olika nivåer krävs följande delar:

  • Dokumenterade rapporteringsvägar med tydliga eskaleringsregler.
  • Regelbundna avstämningsmöten mellan ansvarsnivåerna.
  • Systematisk hantering av avvikelser och förbättringsförslag.
  • Årlig utvärdering av ansvarsfördelningen.

På den operativa nivån utför sedan medarbetarna de dagliga kontrollaktiviteterna. De dokumenterar sitt arbete, rapporterar avvikelser och bidrar med förbättringsförslag baserat på sin praktiska erfarenhet. Deras aktiva deltagande är avgörande för systemets utveckling.

Vanliga frågor om internkontroll

Är internkontroll ett lagkrav?

Ja. Som aktiebolag är styrelsen enligt lag skyldig att ha kontroll över bolagets ekonomi och organisation, så att bokföring, pengar och andra viktiga ekonomiska delar hanteras på ett säkert och kontrollerat sätt. För större företag ställer årsredovisningslagen högre krav på dokumentation. Även regelverk som GDPR och NIS2 kräver lämpliga tekniska och organisatoriska åtgärder, vilket i praktiken innebär någon form av internkontroll.

Vad är skillnaden mellan internkontroll och intern revision?

Internkontroll är de processer och rutiner som alla i organisationen arbetar med dagligen för att säkerställa att verksamheten fungerar som den ska. Intern revision är en oberoende granskningsfunktion som utvärderar om internkontrollen faktiskt fungerar. Tänk på det som att internkontroll är "att göra rätt saker", medan intern revision är "att kontrollera att rätt saker görs".

Vilka verktyg behövs för internkontroll?

I början räcker ofta enkla verktyg som Excel, checklistor och delad dokumentation. När verksamheten växer kan en plattform som ChainSec underlätta hanteringen av riskregister, kontrollaktiviteter och uppföljning. Viktigast är dock inte verktyget, utan att processerna faktiskt följs.

Ta kontroll över er leverantörskedja idag.

Få full överblick över era leverantörer, hantera risker proaktivt och effektivisera ert arbete. Se hur ChainSec kan hjälpa er organisation att arbeta smartare med leverantörshantering.

App screenshot