Internkontroll som middel for å oppnå kostnadsreduksjoner

10 NFT 1/1995 blitt laget for bankvirksomhet for senere å bli anvendt innen forsikring. Jeg tror denne tren- den vil fortsette, og etterhvert som skillelinjene mellom bank og forsikring blir mindre, vil forskriftsverket sannsynligvis bli ens. Lovkrav og forskrifter 1.1 Aksjeloven Lovens § 10-7 og 8-7 stiller de overordnete krav til virksomhetens ledelse med hensyn til betryggende formuesforvaltning, bokføring og kontroll. 1.2 Løsbladforskriften Forskriften omtaler blant annet krav til doku- mentasjon, presentasjon og oppbevaring av regnskapsmateriale. 1. Aktuelle lovkrav og forskrifter Tiltak for å sikre god internkontroll er regulert i en rekke lover og forskrifter samt i anbe- falinger vedtatt av NSRF. De mest sentrale er kortfattet beskrevet under. For øyeblikket er det finansnæringen, spesielt bank som er i myndighetenes søkelys. Årsaken er naturlig- vis at det er innenfor dette området risikoen er størst for økonomisk mislighold og feil i regn- skapet som følge av svake kontroller. Risiko- en øker også som følge av den utstrakte bru- ken av informasjonsteknologi (IT). Selv om IT i et kontrollert miljø kan bidra til redusert risiko, blir mest oppmerksomhet viet mulige feil eller svindel som kan inntreffe hvis kon- trollene er mangelfulle. Forskrifter og regler har i de senere år først Internkontroll som middel for å oppnå kostnadsreduksjoner av Hans Jørgen Struksnæs, leder IT-revisjon, Price Waterhouse a.s. Artikkelen tar opp den utfordringen som norske forsik- ringsselskaper står ovenfor med hensyn til å redusere kostnadene samtidig som intern kontrollen bibeholdes eller økes. Jeg ønsker på denne måten å bidra til at diskusjonen omkring kontroller kan tas opp på en positiv måte, og ikke kun fremstå som pålagte lovkrav og forskrif- ter. Artikkelen tar riktignok utgangspunkt i utvalgte lov- krav og en definisjon av intern kontroll, men tar deretter for seg områder med potensial for kostnadsreduksjoner. Hans Jørgen Struksnæs 11 1.3 Forskrift om bruk av informasjonsteknologi (IT) IT-forskriften har til hensikt å sikre at IT- systemer i bank og forsikring anskaffes, dri- ves, vedlikeholdes og avvikles på en ordnet og betryggende måte. Den skal bidra til at virksomhetens systemer som behandler øko- nomisk informasjon er i samsvar med lover og forskrifter. 1.4 Forskrift for banker om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll Styrets og ledelsens kontrollansvar defineres i tillegg til dokumentasjon, bekreftelse og rapporteringsplikt knyttet til internkontroll. Til tross for en kortfattet forskrift (kun 3 sider), stilles meget tøffe krav til bankens ledelse. Det er ventet at denne forskriften også vil bli gjort gjeldende for forsikringsselskaper. Opplistingen over viser at internkontroll er et svært regulert område. Dette er ingen garanti for at området prioriteres i virksomhetene, og fører i mange tilfelle tvert imot til en viss skepsis eller motvilje. Utfordringen ligger etter min mening i å gjøre internkontroll- begrepet mer attraktivt, eksemplifisere og synliggjøre de positive sidene ved god intern- kontroll. 2. Definisjon av internkontroll Ingen av lovene eller forskriftene omtalt over gir noen presis definisjon av begrepet intern- kontroll. Det nærmeste man kommer er i anbefaling til god revisjonsskikk — formues- forvaltning og intern kontroll. Under avsnitt to (ledelsens ansvar) define- res intern kontroll som følger: «Betryggende ordning av og kontroll med formuesforvaltning (Intern Kontroll) omfat- ter den organisasjonsplan og alle de metoder og tiltak som et foretak har satt i verk for å beskytte sine eiendeler, kontrollere nøyaktig- heten og påliteligheten av regnskapsmessige data, øke effektiviteten og sørge for at de retningslinjer som er fastlagt for forretnings- driften blir fulgt.» I denne artikkelen benyttes begrepet primært om rammeverk, rutiner, systemer og kon- trolltiltak som er iverksatt for å hindre feil- situasjoner eller uautoriserte handlinger (svin- del, sabotasje, innsyn) i å oppstå, oppdage dem og begrense konsekvensene når de først oppstår. Internkontroll har med andre ord både en forebyggende, oppdagende og be- grensende side. 3. Karakteristiske trekk for norske forsikringsselskaper I dette kapitlet har jeg pekt på en del karakter- istiske trekk når det gjelder internkontroll og kostnadsbelastede områder i bransjen. Obser- vasjonene og påstandene bygger på egen erfa- ring. 3.1 Evne til omstilling Rammebetingelsene for forsikringsselskaper har endret seg drastisk de senere årene. Av disse kan følgende nevnes: økende internasjonalisering og inngåelse av flernasjonale samarbeidsavtaler skjerpede regler og forskrifter fra myndig- hetenes side (f.eks. IT-forskriften og krav til kontoutskrift) store endringer innen informasjonstekno- logi (maskinvare, kommunikasjon, forsik- ringssystemer mm.) Bransjen har vist både kreativitet og omstil- lingsevne med hensyn til nye forsikringspro- dukter (EPES, unit linked mm.). Evnen til å endre interne rutiner, systemer og internkon- troll er imidlertid langt svakere. Jeg vil våge 12 den påstand at de selskapene som ikke klarer å endre rutiner, systemer og kontroller i takt med rammebetingelsene, reduserer sin kon- kurransekraft og evne til å overleve. 3.2 Manglende tilgjengelighet på data og svake integrasjons- løsninger Til tross for store endringer innen IT-området, er det få selskaper som fullt ut har klart å utnytte dette. Fortsatt sliter mesteparten av norsk forsikringsvirksomhet med gamle sys- temer som er lite integrerte. Et godt eksempel på dette er desentrale kundereskontri (inne- bygget i forsikrings- og utlånssystemene) og dårlig totaloversikt over kundenes samlete engasjementer. Målsetningen med IT-systemene frem til nå har i stor grad vært å automatisere manuelle rutineoppgaver uten at det har vært stilt kritis- ke spørsmål om virksomheten fortsatt skal utføre oppgavene, og om oppgavene skal ut- føres på samme måte som tidligere. Gamle IT-løsninger gir mangelfull over- sikt, ledelsesinformasjon og mulighet for opp- følging. Dette hindrer effektivitetsgevinster og bidrar til redusert internkontroll. 3.3 Rutiner og systemer på avdelingsnivå Organisasjonsstrukturen på de laveste nivå- ene i organisasjonen (avdelinger og funksjons- områder) har endret seg lite i løpet av det siste ti-året. Dette har ført til robuste og velprøvde rutiner med gode innebygde kontroller. De svake sidene er manglende fleksibilitet og innsikt i tilgrensende funksjoner. Et eksempel på dette kan være svak kontroll med innbe- talinger fra disse mottas i regnskapsavdeling- en til de er utlignet mot tilhørende forsikrings- fordring i kundebehandlingsavdelingen. Kon- sekvensene kan være store saldi på interims- konti og unødig purring av kundene. Etter min mening er det et stort potensial for forbedring av kontrollene på tvers av avde- lingsgrenser med tilhørende potensial for kost- nadsreduksjoner. 3.4 Økte administrasjons- kostnader Konsekvensene av manglende mulighet for rask omstilling har ført til at administrasjons- kostnadene jevnt over har økt i bransjen. Års- akene til dette kan være tyngre saks- behandlingsrutiner, stor ressursinnsats for å forandre eksisterende systemer og mere in- tern administrasjonstid. Dette er spesielt synlig innen livsforsikring hvor blant annet andel av administrasjons- kostnadene skal angis på kundenes konto- utdrag. 3.5 Typisk risikoprofil for norsk forsikring Tabellen på neste side gir en indikasjon på risikoen knyttet til utvalgte funksjonsområder i norsk forsikring. Med risiko menes i denne sammenheng den totale risiko for at vesentli- ge feil skal oppstå i regnskapet som følge av funksjonsområdets natur (iboende risiko) og iverksatte kontrolltiltak og organisering (kon- trollrisiko). Utfordringen for selskapene ligger i å defi- nere og innføre kontrolltiltak som korrespon- derer med risikoprofilen samtidig som kost- nadene kan reduseres. 4. Internkontroll som middel for å øke konkurranseevnen I denne seksjonen har jeg beskrevet en del tiltak som samlet vil kunne bidra til reduserte kostnader ved hjelp av bedret internkontroll i et konkurranseutsatt marked. Forenkling av prosesser og klargjøring av ansvar er helt nødvendig. Ved å bygge inn god internkon- troll i organisasjon og rutiner, kan store sum- mer spares. Jo bedre og mer effektivt linjen 13 fungerer, jo mindre ressurser behøver en å bruke på separat kontrollerende arbeid. 4.1 Effektivisering av saksbehandlerrutiner Et av de største potensialene er etter min mening på saksbehandlersiden. Når det for et amerikansk livsforsikringsselskap tok 27 dager å produsere et forsikringsbevis, men hvor den effektive behandlingstiden var kun 7 minut- ter, må det finnes et potensial! Følgende aks- joner kan bidra til mer effektiv saksbehandling og bedre internkontroll: økt kontroll med søknader og kundehen- vendelser ved on-line registrering i et saks- behandlersystem integrerte informasjonssystemer som sty- rer hele prosessen fra søknad, innhenting av tilleggsinformasjon, vurdering, tilbud, innbetaling, produksjon og utsendelse av forsikringsbevis mm. kontrollrapporter som viser ubehandlete saker. Tilsvarende kan også saksbehandlerproses- sen for utlån og oppgjørsfunksjonen forbed- res. 4.2 Forbedring av IT-systemene Utfordringene på IT-siden er foruten å erstatte foreldete systemer (behandles ikke her) og omsette data i eksisterende systemer til meningsfylt ledelses- og kontrollinformasjon. Systemene må i størst mulig grad utnytte felles basisregistre som kunderegister, for- sikringsbestand, låneportefølje mm. Dette hindrer at data må registreres flere ganger eller overføres mellom registre. Dernest bør det bygges ut kontrollrapporter som kan av- dekke unormale situasjoner, feil eller avvik. Det er spesielt viktig å erstatte tidkrevende manuelle avstemminger med automatisk av- stemming som elektronisk leser og sammen- stiller informasjon fra flere systemer. Dette krever riktignok spesialprogrammer, men når de først er utviklet vil avstemmingsarbeidet kunne reduseres betraktelig. FUNKSJON RISIKO KOMMENTAR Nytegning/premie Lav Velregulert område Erstatning/oppgjør Middels Mange subjektive vurderinger, manuell saksbehandling, høye enkeltbeløp Reassuranse Middels/høy Lite oversiktlig, store tall, avhengighet av nøkkelpersoner Utlån Lav/middels Pantsikkerhet, svakheter i systemene Lønn Lav Normalt gode kontroller Betalingsformidling Høy Store volumer og tall, svakt revisjonsspor Forsikringstekniske avsetninger Middels/høy Komplekse beregninger, store tall, avhengig av nøkkelpersoner (aktuarer) 14 4.3 Kontroller bør i mindre grad delegeres Det er sunt prinsipp at personer som utfører en oppgave også har ansvaret for å kontrollere at oppgaven er korrekt utført. Mange lever i den villfarelse at hvis person A utfører en oppgave så må person B sjekke at dette bli gjort kor- rekt. Etter min mening kan heller person B sjekke at person A virkelig har utført kontroll av eget arbeid. Eksempler på dette kan være avstemminger, kontrollsummeringer, attesta- sjoner, bruk av interne sjekklister mm. Det er også mulig å bygge inn flere fore- byggende kontroller i form av fullmaktsrutiner, registreringskontroller i systemer og kontroll/ avviksrapporter fra systemene. 4.4 Beregning av intern kostnad for utvalgte oppgaver og tjenes- ter Ved å beregne kostnaden forbundet med vik- tige oppgaver og tjenester kan selskapet få et godt grunnlag for å tallfeste kostnadsreduk- sjonsmål eller å prissette kundetjenester. Ek- sempler på oppgaver kan være etablering av lån (jfr. etableringsgebyr), flytting av for- sikring, skadeoppgjør, beregning av for- sikringstekniske avsetninger mm. Flere bransjer fokuserer på forholdet over, og metoder som «Activity Based Costing» m.fl. kan være til hjelp i en slik prosess. 5. Hvordan lykkes? Som for de fleste andre områder krever kost- nadsreduksjoner og forbedring av internkon- trollen lederengasjement og motivasjon. Selv om tradisjonelle instrukser, stillingsbeskri- velser, håndbøker o.l. har sin misjon, er det viktig at arbeidet levendegjøres, synliggjøres og belønnes i organisasjonen. For å lykkes anbefales følgende fire aktiviteter: Ledelsen må sette internkontroll og kost- nader på agendaen. Dette kan gjøres ved selv å ta ansvar for arbeidet, forklare mål- setninger og gi aktiv informasjon til de ansatte (møter, intern avis mm.). Medarbeidere må læres opp og motiveres. Etter min mening må de selv delta i pro- sessen dersom den skal gi resultater. Mål og resultater må synliggjøres. Dette kan f.eks. gjøres ved å benytte dagens kostnader eller måltall som utgangspunkt (ref. punkt 4.4) og deretter angi en mål- setning frem i tid. Eksempler: - Antall feil på systemlisten skal reduse- res fra 50 til 5. - Saksbehandlingstiden for nye forsik- ringer skal reduseres fra 10 dager til 3 timer (inkl. ventetid). - Saldo på interimskonto skal ned fra 1 million til 100,000. - Kostnadene ved å foreta et skadeopp- gjør skal ned fra 4,000 til 2,000 kroner. Oppnådde resultater må belønnes. Dette kan gjøres i form av bonus, sosiale samlin- ger, omtale etc. Det er viktig å påpeke at ikke-monetære belønninger ofte har best effekt! 6. Oppsummering Det er min påstand at norske forsikringssel- skaper har et stort potensial for både å redu- sere kostnadene og å styrke internkontrollen. Generelt kan forsikringsselskapene utnytte internkontroll som middel for å bedre effekti- viteten, styrke konkurranseevnen og heve det generelle kvalitetsnivået i virksomheten. I tillegg til å bygge internkontroll inn i orga- nisasjonen og rutiner, bør det fokuseres på fire områder. Disse omfatter saksbehandlerruti- ner (prosessen), IT-systemene, utøvelse av kontroll og måling av interne aktivitetskost- nader.