·Audun Martinussen

Kontrollregister vs risikoregister — når trenger du begge?

Kontrollregister og risikoregister er to forskjellige verktøy som ofte blandes sammen. Her er hva som skiller dem, hvorfor begge er nyttige, og hvordan de henger sammen.

Kontrollregister og risikoregister er to dokumenter som ofte forveksles eller slås sammen. I praksis er de forskjellige verktøy med ulik funksjon, og hvis du forveksler dem mister du noe av verdien fra hver.

Denne artikkelen forklarer forskjellen, viser hvordan de henger sammen, og gir konkrete eksempler.

Risikoregister: hva kan gå galt

Et risikoregister er en oversikt over hva som kan gå galt — risikoer for at virksomheten ikke oppnår sine mål. Det handler om identifisering og vurdering av usikkerhet.

En typisk linje i et risikoregister inneholder:

  • Risiko-ID
  • Beskrivelse (hva kan skje)
  • Årsak (hvorfor det kan skje)
  • Konsekvens (hva er virkningen)
  • Sannsynlighet (lav/middels/høy eller 1–5)
  • Konsekvens (lav/middels/høy eller 1–5)
  • Risikoeier (hvem er ansvarlig)
  • Eksisterende kontroller (hva gjør vi allerede)
  • Restrisiko (etter eksisterende kontroller)
  • Planlagte tiltak (hva mer skal gjøres)

Eksempel:

Risiko: "Falsk leverandør opprettet i ERP." Årsak: Manglende kontroll ved opprettelse. Konsekvens: Tap, brudd på interne regler. Sannsynlighet: middels. Konsekvens: høy. Eier: Økonomisjef.

Kontrollregister: hva vi gjør for å håndtere risiko

Et kontrollregister er en oversikt over kontrollene som er på plass — de spesifikke handlingene, verktøyene, og prosedyrene som hindrer eller oppdager problemer.

En typisk linje i et kontrollregister inneholder:

  • Kontroll-ID
  • Beskrivelse (hva gjøres)
  • Type (preventiv, deteksjon, korrektiv)
  • Manuell eller automatisk
  • Frekvens (kontinuerlig, daglig, ukentlig, månedlig, ad-hoc)
  • Ansvarlig (hvem utfører)
  • Evidens (hvordan dokumenteres at det er gjort)
  • Tilknyttede risikoer (hvilke risikoer den håndterer)

Eksempel:

Kontroll: "To-personers godkjenning ved opprettelse av ny leverandør i ERP." Type: preventiv. Manuell: ja. Frekvens: kontinuerlig (ad-hoc ved opprettelse). Ansvarlig: regnskapsmedarbeider + økonomisjef. Evidens: signert opprettelsesskjema arkivert. Risikoer: R-12 (falsk leverandør).

Hvordan de henger sammen

Risikoregister og kontrollregister er to sider av samme sak: hva kan gå galt og hva vi gjør med det.

Sammenkoblingen ser typisk slik ut:

  • Risiko R-12 (falsk leverandør) håndteres av:
  • Kontroll K-23 — to-personers godkjenning ved opprettelse
  • Kontroll K-24 — månedlig avstemming av nye leverandører
  • Kontroll K-25 — årlig revisjon av leverandørlisten

En risiko kan ha flere kontroller. En kontroll kan håndtere flere risikoer. Det er et mange-til-mange-forhold.

Restrisiko = inherent risiko - effekten av kontrollene. Hvis kontrollene er gode, er restrisiko lav.

Hvorfor begge er nødvendige

Du kan ikke vurdere kontroller uten risiko. Hvis du har et kontrollregister men ikke et risikoregister, vet du ikke om kontrollene er nødvendige eller om de håndterer det viktigste. Du kan ha 50 kontroller mens den største risikoen står ubehandlet.

Du kan ikke håndtere risiko uten kontroller. Hvis du har et risikoregister men ikke et kontrollregister, har du en liste over bekymringer uten en konkret plan. Det blir et dokument for sjefen, ikke for organisasjonen.

I sammenheng utgjør de et risiko-kontroll-matrise (eller risk-and-control matrix, RCM) — en kobling som viser hvilke risikoer som håndteres av hvilke kontroller, og hvilke som har gap.

Vanlige mangler i SMB-er

Når jeg gjør prosess-kartlegging i mid-size selskap, ser jeg ofte:

  1. Kontroller eksisterer, men er ikke dokumentert som kontroller. Folk gjør sjekker, men de er ikke samlet eller navngitte. Revisor må gjette hvilke kontroller som er på plass.
  1. Risikoer er identifisert i hoder, men ikke skrevet ned. Ledelsen vet hvor det er svakt, men det er ikke et register som kan deles.
  1. Det finnes en risk-and-control-matrise, men den er tre år gammel. Den ble laget for en revisjon eller en ISO-sertifisering, og har ikke vært vedlikeholdt siden.
  1. Risikoregisteret er kopiert fra en bransjemal. Det er for generisk. "Sviktende økonomi" eller "manglende kompetanse" er ikke håndterbare risikoer.

Hvordan starte hvis du ikke har noen

For en SMB som ikke har dette på plass, en enkel start:

Uke 1: Identifiser nøkkelprosesser

Velg de 3–5 kjerneprosessene som er kritiske for virksomheten. Typisk inntekt, innkjøp, lønn — og kanskje en domene-spesifikk prosess (eksempelvis produksjon, kundeleveranse).

Uke 2–3: Per prosess, lag risikoregister

For hver kjerneprosess, identifiser 5–10 reelle risikoer. Ikke generiske ("dårlig kvalitet") — spesifikke ("kunde betaler ikke faktura innen 60 dager pga manglende kreditt-vurdering").

Uke 3–4: Per prosess, lag kontrollregister

For hver risiko, identifiser hvilke kontroller du allerede har. Hvis du ikke har noen — det er funn nummer én. Hvis du har noen, dokumenter dem strukturert.

Uke 4: Restrisiko-vurdering

For hver risiko-kontroll-par: hva er gjenværende eksponering? Trenger du å styrke kontrollen, eller akseptere risikoen?

Eksempel: P2P-prosess

For en innkjøp-til-betaling-prosess (P2P) ser typiske registre slik ut:

Risikoregister (utdrag)

  • R1: Falsk leverandør opprettet for å motta utbetaling
  • R2: Faktura uten reell bestilling betales
  • R3: Faktura betales to ganger
  • R4: For høy pris betales på grunn av uautoriserte endringer
  • R5: Betaling går til feil bankkonto

Kontrollregister (utdrag)

  • K1: To-personers godkjenning ved opprettelse av ny leverandør (håndterer R1)
  • K2: Tre-veis matching mellom innkjøpsordre, varemottak og faktura (håndterer R2 og R4)
  • K3: Daglig kontroll mot duplikat-fakturanummer (håndterer R3)
  • K4: Manuell verifisering av bankkonto-endring (håndterer R5)
  • K5: Månedlig avstemming av leverandører mot leverandørreskontro

For et komplett eksempel på P2P-kontroller, se P2P-best-practice-artikkelen.

Når du trenger eksternt blikk

Det er én ting som ofte trengs utenfra: identifisering av risikoer du selv ikke ser fordi du er for nær prosessen. En utenforstående med revisjons-bakgrunn ser typisk 5–15 risikoer per prosess som teamet ikke selv har skrevet ned.

NorthControl leverer kombinert risiko- og kontrollregister som del av prosess-kartleggingen. Se eksempel-leveransen for hvordan det ser ut i praksis.

Oppsummering

Risikoregister og kontrollregister er forskjellige verktøy som henger sammen. Risikoregister beskriver hva som kan gå galt; kontrollregister beskriver hva vi gjør med det. Sammen utgjør de et fungerende risiko- og kontrollrammeverk.

Hvis du bare har ett av dem, eller hvis de ikke er knyttet sammen, går du glipp av halve verdien. Start med begge, og hold dem oppdatert minst årlig.

Vil du se hvordan vi dokumenterer prosesser i praksis?

Et komplett eksempel — innkjøp-til-betaling for en 80-personers grossist — er publisert med BPMN, kontroller og risikoer.