Vanliga missar inom intern styrning och kontroll – och hur du undviker dem
Reviderade riktlinjer för intern styrning (”GL11”) träder i kraft den 30 juni 2018, vilket gör att kraven på intern styrning och kontroll skärps. FCG rekommenderar branschen att flytta fram positionerna i frågorna och lyfter några vanliga missar i arbetet med styrning, riskhantering och kontroll hos finansiella institut. Hänger ditt företag med utvecklingen på området, eller känner du igen dem?
- Riskägare är inte utpekade
Riskhantering och regelefterlevnad misstas ofta för att höra hemma inom risk- och compliancefunktionen. Första linjens risktagare känner inte det ägandeskap de borde för riskerna och involveras inte heller i arbetet, vilket leder till att andra linjen blir för operativ. Effekten blir att kontrollfunktionerna blir för stödjande på bekostnad av analys och kontroll. Första linjen behöver tydligt utpekas som riskägare och utbildas i betydelsen av att ta, äga och hantera risk. Andra linjen kan då effektivare utföra styrande, stödjande och kontrollerande aktiviteter och på så sätt även behålla sitt oberoende.
- Styrdokumenten är inte tydligt strukturerade
Att styrdokument saknas, brister i förhållande till externa regler eller är inkonsekventa sinsemellan är inte ovanligt. Företag bör sätta en tydlig dokumentshierarki där de övergripande dokumenten (ofta kallat policyer) beslutas av styrelsen och beskriver vad som ska göras, medan mer verksamhetsnära styrdokument (instruktioner) beslutas av VD och beskriver hur rutinerna ska utföras. Tydligt strukturerade styrdokument bidrar till en god intern styrning av verksamheten.
- Proportionalitetsprincipen nyttjas felaktigt
Proportionalitetsprincipen innebär inte att företag kan borste från vissa regler eller att vissa institutstyper undantas från reglerna. Principen innebär istället att det finns möjlighet att anpassa omfattningen och typen av rutiner utifrån verksamheten. Man brukar tala om ”följ eller förklara” – fundera över vad som funkar bäst i er verksamhet och förklara hur ni har anpassat och tolkat reglerna.
- Styrdokument är inte verksamhetsanpassade
Om de interna reglerna är för generellt hållna, riskerar de att endast bli pappersprodukter som saknar förankring i och praktisk betydelse för verksamheten. Att det finns en diskrepans mellan verksamheten samt styrelsens och ledningens vision för verksamheten innebär även brister i den interna styrningen. Våga utforma styrdokument som är mindre generella och beskriver hur man faktiskt arbetar i verksamheten, och var noga med att hålla dem uppdaterade.
- Styrelsen har inte tillräcklig kompetens
Styrelsen har det yttersta ansvaret för verksamheten och att den bedrivs lönsamt och hållbart. Om styrelsen inte har adekvat kunskap om vad styrning, riskhantering och kontroll innebär, riskerar styrelsen att inte ta sitt fulla ansvar. Styrelsen bör vara tillräckligt insatt för att kunna ställa frågor om och kunna utmana verksamheten till sunt risktagande.