risikovurdering

Intern risikokultur trumfer ekstern revision

Financial Times gik for nylig hårdt til verdens største revisionsfirmaer på lederplads. Hastighed i forandringer, digitalisering og stigende kompleksitet gør det imidlertid meget svært at levere topkvalitet udefra. Virksomhederne kan med fordel styrke egen risikostyring og droppe tiltroen til det eksterne ”stempel”. 

”Kun radikale reformer kan tvinge Big Four til at løfte revisionens kvalitet”. Sådan skrev Financial Times i en leder forleden, hvor verdens største revisionsfirmaer fik nogle ordentlige skud for boven. Fire ud af ti inspicerede revisioner i 2017 havde alvorlige fejl, da de blev gennemgået af en uafhængig instans. Avisen argumenterer for mere konkurrence og eliminering af de interessekonflikter, som opstår, når et eksternt konsulentfirma både er uafhængig revisor og leverandør af konsulentydelser. Opsplitning af konsulentgiganterne, store bøder for fejl og større budgetter til revision på kundesiden kan være vejen til pålidelig ekstern revision, som ikke efterplaprer selskabets topledelse, og som offentligheden derfor kan stole på.

Flyt kontrollen indenfor

Sådan konkluderer Financial Times, men jeg tror, at selve opgaven har ændret sig. Hastigheden i forandringerne, koncerners størrelse, kompleksitet og kompetence og ikke mindst den enorme datamængde komplicerer den eksterne revisionsopgave. Problemerne sætter spørgsmålstegn ved ideen om at udlevere data til en ekstern autoritet for at få et ”godkendt” stempel. Selve grundideen ”at kontrollere” må i stedet flytte ind i virksomhedens DNA og operationelle hverdag, fordi virksomhedens langsigtede overlevelse og kortsigtede lønsomhed hænger sammen med at styre risiko. Risikoelementet i alle forretningstiltag bør kvantificeres op mod sandsynligheden for at indtræffe. Selve den præcedens at man lader en ekstern part vurdere virksomheden udefra har den potentielle følgeslutning, at hvis bare man opnår en positiv erklæring, så er alt godt. Målet bliver at få et stempel i stedet for at minimere risici. På den måde modvirker en overdreven brug af ekstern audit, at man forankrer kontrollen dybt ind i sin egen kultur.

Opgør med nulfejlskultur

Virksomhedens egne medarbejdere er naturligvis rigtig gode til at finde fejl, risici og afvigelser i hverdagen. Hvis denne ressource skal bringes i spil, skal vi opbygge transparens og selvkontrol, som opstår når flere interne siloer, lag og flere individer kigger med på kontroller og procedurer, som er defineret i forhold til væsentlige og centrale risici. Denne integrerede risikostyring vinder frem i disse år, fordi den overtrumfer ekstern revision i evnen til at komme helt ud i hjørnerne. Man har den største chance for at lappe hullerne, stoppe krisen, før den opstår, og revidere sig selv, hvis man kan tale om fejl og mangler og nye risici. Vi skal gøre op med nulfejlskultur, og dette opgør må nødvendigvis komme fra de fremmeste kulturbærere. Den eksterne revisors væsentligste rolle er måske at påvirke topledelsen til at fremme en transparent og integreret risikokultur.

Af Tomas Hellum, direktør for LinkGRC og rådgiver inden for governance, risk og compliance