Den 14 maj lanserade COSO (Committee of Sponsoring Organizations of the Treadway Commission) den uppdaterade versionen av sitt globalt etablerade ramverk för internkontroll ”Internal Control – Integrated Framework”. COSO motiverar behovet av en uppdatering med att det, sedan 1992 när originalversionen kom ut, hänt mycket i den globala affärsmiljön samt att man ville inarbeta alla erfarenheter från de gångna 20 åren då bolagen - med den gamla versionen som utgångspunkt -arbetat med sin interna kontroll.
Min gissning är att COSO’s ramverk också med den nya versionen inte bara i Sverige utan globalt förblir den mest tillämpade modellen för internkontroll. Samtidigt har det sedan lanseringen den 14 maj i olika globala digitala forum startats flitiga diskussioner om fördelar och nackdelar av det ”nya gamla” ramverket.
När jag för några dagar sedan fick den tryckta versionen av ramverket (bestående av 4 delar) i handen var min första reaktion ”Oj, det var mycket.” Visst, när jag sedan flög igenom allt, insåg jag att det var många ord och en hel del upprepningar som kanske kunde ha undvikits. Men samtidigt finns det en del lyckade förtydliganden i texten som gör det lättare än förr att förstå sammanhangen.
Jag vill inte gå för mycket i detalj om ramverkets utformning här, utan vill lyfta några få av mina reflektioner som kom upp under läsningen:
- Införandet av sk "Principles" som nu utgör varje "Component" är ett logiskt koncept. Också kopplingen mellan huvuddelarna Components, Principles och Points of Focus är tydlig vilket hjälper ”rookies” i ämnet att förstå hur man ska tänka för att bygga en process för internkontroll. Alla dessa delar är mycket väl utarbetade. Samtidigt finns en del mallar och verktyg som man ställer till förfogande för det praktiska arbetet.
- Ramverket i Executive Summary och huvuddelen är likt sig det ibland luddiga språket som alltid har betraktats som en nackdel i COSO's ramverk. Praktiska exemplen kunde vara fler och mer konkreta vilket också kunde ha hjälpt att spara på orden.
- Utifrån min mångåriga praktiska erfarenhet i tillämpningen av ramverket anser jag att COSO också med den nya versionen inte fullt ut har lyckats med att tydliggöra att allt internkontrollarbete ska vara risk-baserat, inte enbart princip-baserat. Jag tycker därför att det i detta avseende fortfarande inte är pedagogiskt helt lyckat med att komponenten ”Risk Assessment” ligger på samma nivå som de andra komponenterna i stället för att komponenten i min åsikt egentligen ska vara styrande i arbetet med de andra komponenterna. Därför skulle jag önska mig att ramverket någon gång integreras på riktigt med COSO’s andra ramverk ”Enterprise Risk Management – Integrated Framework”.
Avslutningsvis rekommenderar jag starkt att sätta sig in i det nya ramverket. Med tanke på att COSO’s ramverk för internkontroll i Sverige ligger till grund för ett antal regelverk som kräver hur organisationer ska utforma den interna kontrollen (som till exempel kod för bolagsstyrning, FISK, SKL’s principer) är det inte bara önskvärt utan helt nödvändigt att följa utvecklingen i frågan. Självklart står jag till förfogande för att i detalj diskutera ramverket och dess praktiska tillämpning.