Små virksomheter har vel ikke bruk for internkontroll … eller?

Gratulerer til årets gaseller i Hordaland, Sogn og Fjordane og Møre og Romsdal

At internkontroll over finansiell rapportering ikke er relevant for små virksomheter i vekst er en uttalelse jeg ofte hører fra mange hold. Inntil slike virksomheter blir større, mer modne og stabile, vil internkontroll være mer til bry enn til hjelp. Videre har man jo andre, og mye viktigere ting å bruke oppmerksomheten på. Det virker å være en bred oppfatning om at  internkontrollsystemer begrenser virksomhetens fleksibilitet og pålegger den fordyrende krav som er unødig ressurskrevende og av liten verdi. Jeg kunne ikke vært mer uenig!

Et pålitelig regnskap er helt nødvendig for å kunne ta riktige beslutninger og bygge tillit mot investorer og marked, og en liten virksomhet i startfasen er svært sårbar både for gale beslutninger og for tap av omdømme og tillit. God styring og kontroll fra starten av vil gjøre virksomheten mer robust og styrke ledelsens troverdighet, både internt og eksternt.

Et godt internkontrollsystem er tilpasset virksomhetens art, omfang og kompleksitet. Hva som er god og tilstrekkelig internkontroll varierer mellom ulike virksomheter og hvilke lovkrav de er underlagt.  For å si det enkelt er god internkontroll absolutt ikke synonymt med overdreven internkontroll, som kveler initiativ og handlingsfrihet. Tvert imot skal et godt kontrollsystem være rettet mot relevante og viktige risikoer for misligheter og feil, og den skal definere regler og rutiner for en effektiv og god regnskapsrapportering. Den skal mao. ikke påtvinge medarbeiderne unødvendig plunder og heft - den skal tvert imot sørge for at det er såpass orden i sysakene at det blir mindre plunder og heft. Og så må internkontrollen selvsagt være en levende organisme, som modnes, vokser og forbedres i takt med at virksomheten vokser og forandrer seg. Se for øvrig lenger ned i bloggen for å finne tips til hva små vekstvirksomheter minst bør ha på plass.

Videre handler et godt internkontrollsystem like mye om å forhindre at feil oppstår som å oppdage og korrigere feil. Det er mer effektivt å gjøre en innsats for at regnskapet skal bli riktig i første omgang enn å bruke tid og ressurser på å finne og rette opp i feil i etterkant. Om regnskapsavdelingen har få ansatte og høyt tidspress under regnskapavslutningen, er dette spesielt viktig å tenke på. God kontroll på regnskapsprosessen vil også bidra til at det bli mer tid og oppmerksomhet å bruke på de viktige tingene, som styring av økonomien og likviditeten.

Internkontroll bør innføres allerede ved etableringen av virksomheten

I etableringsfasen får man på plass vedtekter og andre viktige dokumenter som definerer roller, ansvar og kjøreregler for styret, ledelsen og andre sentrale funksjoner, som internkontrollen skal bygge på. Om man gjør en god jobb her, former disse kontrollmiljøet fra starten av, med god kultur for styring og kontroll fra toppen.

Ambisjonsnivået bør avklares så tidlig som mulig. Hvor stor grad av kontroll er nødvendig og hvor mye må man dokumentere og følge opp at kontrollen fungerer? Dette bestemmes i høy grad av virksomhetens egenart, hvilke eksterne krav som gjelder og hva som er risikoene for misligheter og feil i regnskapet. For små virksomheter kan slike risikoer typisk være knyttet til tilgang på kompetanse, avhengighet av enkeltpersoner, manuelle aktiviteter, muligheter for arbeidsdeling, bruk av regneark m.m.

I starten, når virksomheten er liten, kan det være at det bare er behov for noen få viktige kontroller og at oppfølgingen av kontrollene kan skje uformelt gjennom møter og samtaler mellom kolleger og ledere. Men for å utvikle en mer moden internkontroll som holder tritt med virksomheten over tid, bør risikovurderinger og kontroller oppdateres jevnlig (minst årlig) og kontrollaktivitetene bør dokumenteres og følges opp mer formelt. Dette vil gjøre kontrollsystemet mer effektivt, robust og mindre personavhengig.

Hva bør små virksomheter i vekst minst gjøre?

Små virksomheter i vekst kan etter min mening hente inspirasjon fra hva mer modne virksomheter gjør og tilpasse dette til egne behov. PwC har nettopp utført en undersøkelse blant 26 store selskaper i Norge. Rapporten er publisert på PwCs hjemmeside. Her kan du kanskje få noen gode idéer?

Nesten uavhengig av bransje og risiko, er det noen ting ledere i en mindre vekstbedrift bør passe få på plass helt fra starten av:

• Beskriv og vedta rollene til styret, daglig leder og ledergruppen, og hvordan disse fordeler oppgaver mellom seg. Gjør alle i styret og ledelsen godt kjent med kjørereglene.
• Sett en tydelig tone fra toppen. Være klar på at hos oss aksepterer vi ikke korrupsjon, trakassering, eller annen form for uetisk oppførsel. Men vær også tydelig på at om noen kommer i en vanskelig situasjon, så skal de si ifra slik at dere kan løse dette sammen. Ingen virkemidler er sterkere enn en klar beskjed fra styret og ledelsen om at her hos oss oppfører vi oss skikkelig. Formuler gjerne dette i et sett med skriftlige etiske retningslinjer som alle ansatte får tilgang til og opplæring i.
• Beskriv tydelig hvem som har fullmakter til å gjøre hva og når beslutninger skal tas av flere sammen eller kan tas alene. Har man en tydelig rollefordeling med klare fullmakter, vet hver enkelt ansatt akkurat hva de har å forholde seg til. Selgere vet eksempelvis hvor mye rabatter de selv kan gi i en forhandlingssituasjon, og når de skal ta med seg en kollega. Og IT-sjefen vet akkurat når hun kan signere en avtale alene, og når minst to i ledelsen skal signere sammen. Dette gjør ikke bare at dere får bedre oversikt og kontroll, men sannsynligvis kan dere ta raskere beslutninger når det virkelig gjelder.
• Pass på at dere har god arbeidsdeling, og særlig der risikoen for underslag er høyest. Noe av det viktigste er å sikre at det ikke er samme person som kan bestille varer, godkjenne faktura og utføre betaling fra bank.
• Forstå risikoen dere har for misligheter og feil i regnskapet, og sørg for at dere setter inn kontroller der risikoen er størst. Driver dere med kontantomsetning, er det alltid en risiko for at dere mister inntekter. Pass på å ha gode kasserutiner og kontroller som sikrer fullstendige inntekter. Har dere ansatte som reiser mye, er risikoen ofte stor for at selskapet dekker private utgifter. Gi alle klar beskjed om hvordan reisekostnader skal håndteres, og sørg for at reiseregninger sjekkes. Har dere lett omsettelige lagervarer, er risikoen for svinn høy. Ha lås og alarm på lageret og sørg for at det utføres jevnlige lagertellinger. Osv.
• Ikke glem å utnytte mulighetene som IT systemene deres kan gi, gjennom bla. automatiserte kontroller og gode rapporter. Det er ofte langt mindre kostbart å bygge inn dette fra starten av enn etter at systemene er implementert. Eksempler på automatiserte kontroller kan være avstemminger mellom hovedbok og lagersystem, systemsperre som stopper en kundeordre som en høyere enn kredittgrensen og matching av mottatt efaktura mot forhåndsgodkjent innkjøpsordre mot registrert mottatt vare.
• Noen ganger må ledelsen sjekke at kontrollaktivitetene faktisk gjennomføres. Er varelageret skikkelig låst og sikret etter stengetid? Ta deg en tur og se. Er salgskontrakter inngått i henhold til fullmakter? Sjekk signaturer på utvalgte kontrakter. Er avvik mellom regnskapstall og budsjett analysert skikkelig med tanke på om noe kan være feil? Still gravende spørsmål i møte med regnskapsleder. Osv.
• Oppfordre dine ansatte til å være åpne om usikkerhet, feil og avvik slik at dere sammen kan lære og utforme bedre rutiner fremover.

Kontroller trenger ikke å være kompliserte eller mange - de kan være enkle sjekklister, godkjenninger, at noen ser over hva andre har gjort eller ulike kontrollpunkter i en prosess, som påser at den går slik den skal. Men vær tydelig på hvor ofte kontrollene skal utføres og av hvem, om og evt. hvordan de skal dokumenteres og hvordan eventuelle avvik skal følges opp. Pass også på at dere også har tilstrekkelig kontroll over oppgaver som er outsourcet, for eksempel lønn, regnskapsføring eller IT-tjenester.

For å oppsummere veldig kort: Jo, god internkontroll er relevant og viktig for alle virksomheter, enten de er store eller små, komplekse eller enkle. Men selve omfanget av og innholdet i gode internkontrollsystemer vil variere med og tilpasses til den enkelte virksomhets egenart, kompleksitet, størrelse og ikke i minst vekst- og endringstakt.

Gasellebloggen 2016 er navnet på en serie blogginnlegg fra PwC i perioden oktober-desember, som retter seg særlig mot små og mellomstore bedrifter. Disse innleggene vil bli publisert på våre eksisterende blogger, Digital tranformasjonsbloggen, Granskingsbloggen, @stake-bloggen, Finansbloggen, Skattebloggen, og samles på pwc.no/gaselle. Gasellebloggen 2016 er en del av vårt samarbeid med Dagens Næringslivs Gasellekonferanser.