Internrevision, risk och compliance är tre närbesläktade funktioner, men hur ser samarbetet egentligen ut mellan dem, och vad kan det skapa för värde?
Petra Vikland har en lång bakgrund inom internrevision, både inom privat och offentlig sektor. Bland annat var hon i fem år på Bilprovningen, och hjälpte dem att sätta upp en internrevisionsavdelning. Idag är Petra Chief Compliance Officer på försäkringsbolaget If, Petra kom in som internrevisor, och efter några år blev hon tipsad om att söka en tjänst på complianceavdelningen.
– Jag hade en väldigt klok företrädare på den här posten, som såg att det fanns ett värde i att få in någon på compliance som hade en annan bakgrund än den traditionella. Med min bakgrund inom internrevision hade jag ett annat synfält, och andra styrkor. Jag var vanare vid implementering av regelverk, och arbetade mer med granskning, intern styrning och kontroll. Juridiken är ett område som jag de senaste åren verkligen lärt mig att älska, och implementering av regelverk ligger ibland utanför juristens klassiska verksamhetsområde.
Det är en minst lika viktig del av compliance, att säkra att det finns en tillräckligt bra intern styrning och kontroll för att faktiskt lyckas vara compliant. Och detta öppnar ju såklart för följdfrågan: hur vet vi att vi är compliant eller inte? Jag insåg att jag kunde använda den metodik som internrevisionen jobbat med länge som en tillgång i mitt compliancearbete, och eftersom jag redan kände alla på internrevisionen så blev det naturligt att börja samarbeta över avdelningarna.
Hur ser ert samarbete ut?
– Vi har ett väldigt brett samarbete, som varit igång i ungefär åtta år nu. Vi står alltid i dialog med varandra. En konstant och tydlig kommunikation med gemensamt språk har varit en nyckel för att lyckas med det här samarbetet. Vi måste förstå inte bara varandras roller, utan även vår egen roll i förhållande till de andra. Initialt jobbade vi mycket med internrevisionen, framförallt med reliance, bland annat genom att säkerställa att de kunde lita på vår metod. Om vi på compliance till exempel lyfter ett område där vi inte är compliant så kan internrevisionen använda slutsatserna i sin vidare riskbedömning. En annan viktig del av samarbetet är att vi samordnat våra planeringsprocesser, nu sitter vi tillsammans och diskuterar våra respektive riskbilder av bolaget. Sedan kommer vi tillsammans fram till initiativ vi kan ta för att motarbeta dem, och fördelar dem emellan oss för att undvika dubbelarbete. Ofta kan vi upptäcka lite olika risker i våra respektive arbeten, eftersom vi alla har olika infallsvinklar. Självklart är vi fristående funktioner som har sina egna inriktningar, men samarbetet är en otrolig tillgång för oss alla.
Hur ser förankringen ut med styrelsen?
– Styrelsen har en tydlig förväntan på oss med ett effektivt combined assurance-arbete, samtidigt som de har förståelse för våra respektive områden. För oss är det viktigt att alltid kunna presentera en sinsemellan avstämd bild av en situation för styrelsen, och komma in samstämda. Om våra bedömningar skiljer sig åt, vilket de ibland gör eftersom vi ser på saker med olika filter, ska det finnas en tydlig förklaring till det. Jag känner ett stort förtroende för styrelsen, hade det inte varit så hade jag nog inte varit kvar i elva år på If.
En invändning mot combined assurance som kommer upp ibland är att internrevisionens oberoende kan hotas, hur ser du på det?
– Jag tycker det är fel sätt att närma sig det. Både internrevision, compliance och risk har gemensamma mål – att företaget vi arbetar på ska vara sunt, välskött och uppfylla externa och interna krav – och vi har ibland överlappande eller åtminstone kompletterande roller. Utan samordning finns risk för att vi alla blir mindre effektiva.
Hur arbetar ni med de mjukare värdena i organisationen?
– Att inte bara sikta in sig på siffror och den rent legala delen tillför ett stort mervärde. Att ha rätt kapital för vår verksamhet, att ha en bra nivå av intern styrning och kontroll samt en förmåga att ge god finansiell utdelning till våra ägare är såklart vitalt, men att If tar ett stort ansvar därutöver, känns otroligt viktigt för mig. Dessutom är det viktigt att de värderingar som ett bolag signalerar utåt också genomsyrar hela verksamheten i praktiken, och att följa upp detta faller naturligt på compliance.
Kan combined assurance bidra till att bygga förtroende för de kontrollerande organen internt?
– Absolut! Inte alla i organisationen vet den exakta skillnaden mellan till exempel internrevision och compliance, men genom att vi har koll på varandras uppgifter och arbetsområden kan vi även här visa upp en enad front internt, och bygga förtroende för vårt arbete.
Vi vill finnas som en resurs i första hand, och vara ett rådgivande organ som både ledningen, styrelsen och verksamheten kan ta hjälp av. Jag har full förståelse för att det kan kännas läskigt att bli granskad, och den känslan måste man ha respekt för och försöka balansera. Vi på compliance blir ju själva granskade av både extern- och internrevisionen, så vi vet hur det känns. Vi försöker dock hela tiden bygga förtroende, och signalera att vi finns här för verksamhetens bästa. Om någonting inträffar är det nästan aldrig en specifik persons fel, och vi vill i första hand hjälpa, aldrig skuldbelägga.