Louise Brown, antikorruptionsexpert på Advisense
Vid en debatt i Lund tidigare i vår diskuterades styrning och kontroll. Kontexten var den ökande korruptionen i Sverige. I ena ringhörnan stod tillitsbaserad styrning och perspektivet att granskning och kontroll kan skada mer än göra nytta. Kontroller sker på fel sätt och i för stor omfattning. Det kväver en organisation och skapar rädsla. I andra ringhörnan stod anhängare av granskning och kontroll, med budskapet att det måste vara riskbaserade och ändamålsenliga kontroller. Temperaturen i rummet steg märkbart. Oegentligheter upptäcks ju inte av revisorer, menade en debattör i tillitslägret.
Visst stämmer det. Enligt en rapport från den amerikanska Association of Certified Fraud Examiners’ upptäcks bedrägerier och oegentligheter på arbetsplatsen endast i 3 procent av fallen av revisorer. En förklaring till denna låga nivå är att verksamheter hittar och hanterar mycket själva mycket genom interna kontroller och genom visselblåsarkanalen.
Financial Times rapporterar att det amerikanska intresseorganet Center for Audit Quality fastställt att 57 procent anser att tillvägagångssättet att revidera “ofta” missar att identifiera brott. Sammantaget antyds att revisorer inte möter förväntningarna på rollen som en tredje försvarslinje mot företagsbrottslingar.
Revisionsbyråerna som är i dialog med Center for Audit Quality menar att det är företagens egna ledning som ansvarar för att det som rapporteras är rätt och riktigt, och att revisorns roll handlar om säkerställan, att finansiella rapporter inte innehåller materiella felaktigheter. Revisorns arbete handlar om att granska huruvida processer och rutiner fungerar ändamålsenligt och enligt policy- och lagkrav, att verksamheten bedrivs i linje med satt riskaptit osv. Meningen är ju inte att revisorn ska gå in likt en målsökande missil för att hitta fel.
Men nu händer det saker. Röster börjar höras från intressenter att revisorernas roll måste både bli tydligare och utökas.
I USA omarbetar nu Public Company Accounting Oversight Board reglerna för hur revisorer måste söka efter och hantera bevis om en kund brister i efterlevnad av lagar och förordningar. Avsikten är att göra det ett krav för revisorer att söka bredare efter frågor som kan ha en väsentlig inverkan på ett företags finanser, även indirekt genom att leda till stora böter eller regulatoriska åtgärder som hotar verksamheten. Så långt har förslaget stött på viss patrull.
Även på andra sidan Nordsjön händer det saker. Brittiska International Auditing and Assurance Standards Board, ett organ som tar fram regler som används som mallar i ett stort antal länder i världen, föreslår att stärka standarderna för bedrägeridetektion för att betona att revisorer måste leta efter finansiella felaktigheter som kanske inte är ”kvantitativt väsentliga” men som kan vara ”kvalitativt väsentliga”, beroende på vem som initierade bedrägeriet och varför det genomfördes.
Helt klart finns det olika förväntningar på vad revisorn ska leverera. Skillnaden kan vara stor mellan vad exempelvis investerare tror och vill att en revision ska vara och vad det i verkligheten faktiskt handlar om. Detta kallas för förväntningsgapet, och är en “evighetsfråga” särskilt i relation till ekonomisk brottslighet och har belysts i Sverige av Peter Öhman, professor i företagsekonomi vid Mittuniversitet i Sundsvall.
Nästa fråga är om det finns en vilja att betala för att revisorn ska lägga mer tid på att granska. En högkvalitativ revision kallas ibland för en “tillitstjänst” eftersom dess värde är svårt att beräkna. Å andra sidan, kostnaderna för en revision som inte upptäcker felaktigheter kan vara enorm.
Den sista utposten. I den nya boken “Sector-Based Action Against Corruption A Guide for Organisations and Professionals”, skriver de internationella antikorruptionsveteraner Mark Pyman och Paul M. Heywood om problematiken kring mentaliteten och uppfattningen att “det är inte mitt ansvar”. Enligt Pyman och Heywood är just det en anledning att korruption har kunnat frodas så lätt – korruption gynnas alltid av tystnad och människor som tittar bort. Alla saker som landar i att det är både allas och ingens ansvar är ytterst prekära. Organisation, roller, ansvarsfördelning och incitament är lika avgörande som tonen på toppen.
För att ta ett destillerat grepp på utmaningen. Har du ansvar för att leverera resultat på en produkt eller tjänst är det det som du mäts på. Att bekämpa korruption blir bara intressant i det fall att din leverans begränsas eller på andra sätt påverkas negativt av korruption. Detsamma gäller penningtvätt och bedrägerier. Självklart finns det många grupper som arbetar hårt med att bekämpa korruption—från myndigheter, revisorer, grupper i det civila samhället, etik- och compliance-funktioner i företag. Men, menar Pyman och Heywood, ingen av dessa sitter ju i ansvarspositioner i de organisationer och institutioner som är centrala i den dagliga operativa verksamheten.
Det är alltid “affären”, den operativa verksamheten, det vill säga första försvarslinjen som ska motverka oegentligheter. Sen följer andra försvarslinjen i form av compliance och monitorering och vidare den tredje linjen, det vill säga internrevision. Extern tredjepartsrevision hänvisas till som den fjärde försvarslinjen, och tillsyn och myndigheter som den femte.
För att återkoppla till debatten i Lund, den tredje försvarslinjens uppdrag är inte att täcka upp för eller kompensera ett behov av riskmedvetenhet och riskhantering i resten av verksamheten. Samtidigt finns det en kritik mot revisionen, och här tillåter jag mig att hänvisa till både intern och extern, sällan hittar oegentligheter. I flera kända fall, från skandalerna i ENRON och Worldcom, ställs frågan “var fanns revisorerna”. Vi kan överföra detsamma till ett nu aktuellt fall i Sverige, nämligen åtalet gällande 16 fall av mutbrott i det kommunala bolaget Älvstranden. Här är problemet inte bara vad revisionen fångar upp eller inte, utan också att ledningen i en, i detta fall, kommunal verksamhet inte har någon skyldighet att anmäla brott. I statliga myndigheter gäller anmälningsplikt sedan decennier. En granskning av misstänkta oegentligheter beställdes visserligen av ledningen av en revisionsfirma, men var helt frånkopplat från revisionen och locket lades på. Om detta har jag skrivit tidigare och uppföljningen skulle kräva minst en egen artikelserie.
Men nu pratar vi om internrevision i hela näringslivet. På kort tid har riskerna i omvärlden förändrats kraftigt. Det gäller finansiell brottslighet, bedrägerier och korruption, cybersäkerhet men också miljö och socialt ansvar. Till denna ansvarsportfölj hör också sanktioner, som aktualiserats ytterligare de senaste dagarna givet hur varor, tjänster och kapital fortsätter att hitta vägar till Ryssland. Enligt ett nytt EU-direktiv (2024/1226) ska kringgående av sanktioner kriminaliseras och kunna resultera i böter på 5 procent av ett företags globala omsättning eller fängelse i några år för ansvarig person. Som en fingervisning, härrör 20 procent av Rysslands import fortfarande på något sätt från Europa.
Sammantaget, är det ingen högoddsare att intern styrning och kontroll nu får ett större utrymme på styrelsens och högsta ledningens radar. Det torde automatiskt leda till ett ökat intresse internrevisionens roll, och potential.
Resurs- och nyttomaximering. Framtidens revision måste kunna omfatta både finansiella och icke-finansiella delar. Vi kommer också alltmer att närma oss den djupare frågan om förväntningarna på internrevisionen. Det handlar om så mycket mer än en bedömning i absoluta termer av måluppfyllelse. Det handlar också, eller kanske mer om produktivitet. Det är en stor skillnad mellan att revidera om man mött mål, kontra om det finns en tillräcklig förståelse för företagets aktuella riskmiljön och i långa loppet hur effektiva de interna processerna och rutinerna är.
Nu tänker du som läser kanske, självklart, så är det ju. Det som inte är lika självklart är om internrevisionen har de resurser som behövs. Man kanske också tvekar på svaret vad gäller utrymmet att fokusera på saker som kommer upp under revisionen, för att gå mer på djupet. Pyman och Heywood pekar på att internrevisionen ofta är en underfinansierad och i deras mening marginaliserad funktion. Den tredje försvarslinjen skulle kunna leverera mycket mer men hamnar i skottlinjen när kostnader ska skäras ner. Det är inte heller uteslutet att man medvetet minimerar chansen för en oberoende funktion att upptäcka oegentligheter. En svagt resurssatt och dåligt fungerande internrevision, eller en internrevision som aktivt tystas eller slängs ut i kylan just på grund av att oegentligheter hittas, kan däremot bli en möjliggörare för brott.
För vad blir konsekvenserna av att saker identifieras som kräver ytterligare granskning? Och vad sker om det saknas nödvändig specialistkompetens i internrevisionen för att granska specifika problemområden? Tar tid och budget stopp, kastas bebisen ut med badvattnet. Här blir också beredskap en frågeställning som sträcker sig hela vägen till tonen på toppen. De senaste veckorna har jag sett ett nyväckt intresse för begreppet “svarta svanar”, det vill säga okända, otänkbara risker som inträffar och får en betydande påverkan. Det kan kopplas till styrelsens arbete med riskaptit och önskan att företaget verkar i linje med den. Risk, javisst, men under medvetna och kontrollerade former.
Apropå att internrevisionen inte ska vara en felsökande missil som letar oegentligheter, behöver den också förhålla sig till och revidera compliance-funktionen, inte de sakområden som compliance fokuserar på. Inom compliance görs en skillnad mellan ett regelverksbaserad respektive principbaserat förhållningssätt. Den förra bedömer om regelverk följs (e.g. det finns en process för kundkännedom), den senare bedömer effekten (e.g. processen för kundkännedom leder till att penningtvättare stoppas). Framledes kommer vi troligen se en liknande utveckling inom internrevisionen, som får utrymme och kan ta höjd för fler riskområden.
Det är dags att ta in internrevisorn som en rättmätig nyckelspelare i laget i kampen mot brottsligheten.
