Blogg: Fullmakter og internkontroll

En fullmaktsstruktur handler om mer enn hvem som kan undertegne kontrakter og hvem som har tilgang til nettbanken. Fullmaktssystemet er en del av virksomhetens interne kontrolltiltak. I denne artikkelen skal vi gi en oversikt over de elementer som må dekkes i et effektivt fullmaktssystem.

 

Har din virksomhet et bevisst forhold til sitt fullmaktsystem?

Et fullstendig fullmaktssystem består av mer enn formelle fullmakter. Fullmaktene må knyttes sammen med virksomhetens risiko, ledelsesnærhet og etablert intern kontroll med arbeidsdeling, rutiner og tilgangsbegrensninger i systemer. Fullmakter består også av mye mer enn beløpsgrenser knyttet til innkjøp. Få virksomheter har et bevisst forhold til hvordan fullmaktssystemet virker inn på virksomhetens utvikling. Holmenkollutbyggingen, Terra-saken, Sykehushotellsaken og Murud-saken er eksempler der helheten i kontrollstrukturen har sviktet, selv om formelle fullmakter kanskje var på plass. Noen av spørsmålene vi oppfordrer virksomhetens styre og ledelse å stille seg selv, er:

  • Hvordan unngå at det tas beslutninger som påvirker virksomhetens omdømme, inntekter, kostnader og/eller prioriteringer på en måte som ikke er tråd med virksomhetens operative og strategiske mål?
  • Er det sammenheng mellom risikovurderingen og besluttet risikoprofil, strategi, budsjetter, stillingsinstrukser, fullmakter og tilgangsbegrensninger i IT-systemene?
  • Har bedriften definert klart og tydelig hvem i organisasjonen som har hvilke fullmakter innenfor ulike virksomhetsområder, herunder hvilke begrensninger som gjelder? Følges dette opp i systemer og arbeidsrutiner?
  • Er fullmaktsgrensene kun knyttet mot beløp, eller reflekteres også risiko? Hva avgjør for eksempel hvilke kunder som velges og hvilke vilkår den enkelte kunde innvilges?
  • Har styret i din virksomhet vedtatt i sammenheng en risikopolicy, fullmaktspolicy og fullmaktsmatrise? 

At styret og administrerende direktør i en virksomhet sitter med ansvaret for alle disposisjoner som til enhver tid foretas i virksomheten, er hevet over all tvil. Ansvar kan ikke delegeres, men fullmakter til å iverksette styrets beslutninger delegeres til daglig leder, og daglig leder skal sørge for å organisere utførelsen. Det er således også daglig leders ansvar å sikre et tilstrekkelig fullmaktssystem, og det er styrets ansvar å påse at dette er etablert. Hva som er et tilstrekkelig fullmaktssystem, må utledes av virksomhetens strategi og risikoprofil. Dette må styret og daglig leder ha et bevisst forhold til. 

 

Det overordnede målet

Det er viktig at virksomheten har et fullmakts- og kontrollsystem som sikrer best mulig forvaltning av virksomhetens verdier. Det er påkrevet å etablere en formell og en uformell arbeidsdeling som sikrer en tilfredsstillende kontroll av beslutninger som har en økonomisk konsekvens.

Vi snakker om å kvalitetssikre beslutninger slik at man reduserer risikoen for:

  • Tapte inntekter, tapt omdømme, tapt konkurransekraft
  • Økte kostnader
  • Manglende likviditet
  • Ulønnsom prioritering av investeringer
  • Ulønnsom finans- og likviditetsforvaltning 
  • Misligheter
  • Lovbrudd

Et godt fungerende fullmaktssystem skal øke sannsynligheten for at de etablerte kontrollene fanger opp uønskede hendelser.

 

Hva ligger så i de enkelte elementene som er beskrevet over?

Ulike virksomheter løser dette forskjellig, men vi ser i de mest velfungerende fullmaktssystemene at følgende elementer er dekket:

  • Fullmaktspolicy som beskriver de overordnede retningslinjene for fullmaktssystemet, fullmaktsadministrative bestemmelser, fullmaktsnivåene i virksomheten, beskrivelse av planprosessens (budsjett, strategi) stilling i fullmaktshierarkiet og viktige prinsippavklaringer. • En risikopolicy med risikovurdering knyttet til de enkelte fullmaktsområdene, og som legger føringer for hvilket nivå fullmaktene skal ligge på i organisasjonen, og hvilke kriterier som skal gjelde for fullmakten.
  • Økonomirutiner som beskriver krav til arbeidsdeling i de ulike økonomiprosessene. Dette vil påvirker nødvendig fullmaktsnivå og fullmaktskriterier. 
  • Fullmaktsmatrise som beskriver alle fullmaktene i en matrise, der den ene dimensjonen er fullmaktsområdet (innkjøp, salg, investeringer osv.) og den andre er fullmaktsnivåene (konsernstyret, konsernledelsen, selskapsstyret, selskapsledelsen osv.).
  • Organisasjonskart, lederavtaler/stillingsinstrukser som angir hvilke ansvarsområder den bemyndigede forutsettes å utøve sine fullmakter innenfor.
  • Budsjetter og strategi/virksomhetsplaner som beskriver hvilke grenser en fullmaktshaver kan bevege seg innenfor. Disposisjoner som bryter med strategien eller ikke har budsjettdekning, vil normalt være utenfor en persons fullmaktsområde.

 

Hvilke delelementer består en fullmakt av? 

Fullmakter bør konkretiseres og formaliseres. Innenfor alle områder hvor beslutninger, eller manglende sådanne, er egnet til å påføre organisasjonen en forpliktelse eller binde knappe ressurser, bør ansvar og myndighet konkretiseres. Fullmaktene bør inneholde følgende delelementer:

  • Fullmaktsnivå; konsernstyret, konsernledelsen, selskapsstyret, selskapsledelsen osv.
  • Fullmaktsområder; investeringer, plasseringer, personal, innkjøp, salg mv.
  • Fullmaktskategorier; avtaleinngåelser, omposteringer, avstemming, anvisning mv.
  • Fullmaktsbegrensninger; innenfor/utenfor strategisk satsningsområde, ansvarsområde, geografi, budsjett mv.
  • Terskelverdier; beløpsgrense, risikogrense, kundekategori, personalkategori (ved lønn/ansettelse) mv.

Spesielt personer i stillinger som innebærer stor grad av forhandlingsposisjon, for eksempel innkjøpere, forretningsutviklere og selgere, gjerne over landegrenser, vil kunne utvikle egne grenser for hva som er ”riktig og galt”, og dette kan utvikle seg over tid. Terra-saken synes å være av en slik karakter. Andre saker, for eksempel korrupsjonssaker, er ofte av tilsvarende karakter. En tydelig og godt beskrevet strategi vil derfor etter vår oppfatning være avgjørende for et velfungerende fullmaktssystem. Strategien bør suppleres med etikkreglement, forhandlingsreglement mv.  der dette anses relevant. Viktigheten av slike styringsdokumenter bør ikke undervurderes.

 

Forankring og oppfølging er avgjørende

Skal et fullmaktssystem fungere, må det være forankret i ledelsen, satt i et system, og kommunisert og forstått av hele organisasjonen. Ansvar for administrasjon og vedlikehold av systemet må være angitt. Rutiner som sikrer løpende kvalitetssikring må være etablert.

Det er viktig at informasjon om hvem som til enhver tid innehar hvilke fullmakter, er kjent i organisasjonen. Hvordan fullmakter skal tildeles og kan videredelegeres, må også avklares. Videre må det beskrives hvilke fullmaktsnivåer som finnes i organisasjonen: Lavere nivåer innstiller, høyere nivåer beslutter. Hvilket nivå i organisasjonen gjelder dette? Slike forhold må beskrives i en fullmaktspolicy som er kjent for alle ledere og mellomledere i virksomheten.

Intern kontroll består av mye mer enn fullmakter. Kontroller som avstemminger, logging, arbeidsdeling, tilgangsbegrensninger med mer er eksempler på kontrolltiltak. Det må være klart for alle at det er den enkelte leders ansvar å etablere et sett med kontrolltiltak som samsvarer med risikoprofilen og de fullmakter som er tildelt dennes ansvarsområde. Uten tilhørende kontrolltiltak, har fullmakter mindre verdi. Ledelsen bør således beskrive fullstendigheten av den interne kontrollen i for eksempel en intern kontroll policy. Ovennevnte fullmaktspolicy vil således være en del av denne. Intern kontroll policy bør omhandle lederes og mellomlederes ansvar for å utforme og følge opp den interne kontrollen, samt forventede etablerte kontrolltiltak; såkalte ”nøkkelkontroller” og målsettingene med disse; hvilken risiko nøkkelkontrollene demmer opp for.

Et helhetlig fullmaktssystem med gode rutiner gir i seg selv ingen garanti for god internkontroll. Det vil alltid være fare for menneskelige feil, misforståelser av instrukser eller bevisst omgåelse/utnyttelse av fullmakter. Skal systemet fungere etter sin hensikt, er det viktig at det også følges opp med stikkprøver, og at det er ”takhøyde” for å ta opp forhold som avdekkes slik at mulig svikt i kontrollrutinene avdekkes når ansatte er kjent med og opplever svikt.

Kost/nytte må alltid vurderes når kontroller skal etableres. Mange virksomheter har således etablert en intern revisjonsfunksjon eller controller med særskilt fokus og ansvar for oppfølging av den interne kontrollen i virksomheten. Videre bør linjeledere og mellomledere gjennomføre egenkontroll av internkontrollen innenfor sitt ansvarsområde.

Til slutt bør også styret gjennomføre en periodisk evaluering av internkontrollen, gjerne basert på innrapporterte egenkontroller, opplevde hendelser og/eller internrevisors oppsummeringer.

 

Test din virksomhet

(Listen er ikke ment å være fullstendig)

Har din virksomhet etablert kontrollrutiner som sikrer at:

  • Det kun gjennomføres prioriterte og lønnsomme investeringer?
  • Det ikke inngås salgskontrakter utenfor omforente satsningsområder?
  • Det ikke inngås salgskontrakter med ulønnsomme kunder?
  • Det ikke gis rabatter eller henstand til kunder ut over forretningsmessige avtalte vilkår?
  • Innkjøpsavtaler inngås til best mulig betingelser?
  • Det kun gis personalvilkår i tråd med retningslinjer fra ledelsen?
  • Ansatte kun får lønn, ferie, sykepenger mv. iht. avtalt vilkår?
  • Det kun foretas utbetalinger for reelt utført arbeid, eller reelt mottatte varer og tjenester?
  • Konkurransesensitiv informasjon ikke tilflyter uvedkommende?
  • Ansatte som endrer sin funksjon eller fratrer sin stilling fratas sine opprinnelige fullmakter og systemtilganger?
  • Alle transaksjoner belastes rett ansvarssted i rett periode?

 

Har du spørsmål? Ta gjerne kontakt med oss, du finner et BDO-kontor på mer enn 70 steder i Norge.