Innkjøp-til-betaling-prosessen (Purchase-to-Pay, P2P) er den prosessen revisor ser hardest på i de fleste mid-size selskap, og den der det er enklest å gjøre kostbare feil — både i form av reelle tap og i form av svake kontroller som vekker oppmerksomhet under revisjon.
Etter mange P2P-walkthroughs over årene er det noen mønstre som gjentar seg. Denne artikkelen oppsummerer hvordan en moden P2P-prosess ser ut, hvilke kontroller som forventes, og hvor norske SMB-er typisk har svakheter.
P2P-prosessen på 30 sekunder
Kjerneflyten i P2P er:
- Behov identifiseres (innkjøper eller bruker)
- Innkjøpsordre (PO) opprettes
- Bestillingen godkjennes
- Bestilling sendes til leverandør
- Varer eller tjenester mottas (varemottak)
- Faktura mottas fra leverandør
- Faktura matches mot PO og varemottak
- Faktura godkjennes
- Betaling utføres
- Bokføring og rapportering
I praksis varierer dette mye. Mange SMB-er kjører "no PO, no problem" — faktura kommer inn uten formell bestilling. Andre har strenge regler. Begge kan være moden, så lenge prosessen er konsistent og kontrollert.
Tre-veis matching
Det grunnleggende prinsippet for kontrollert P2P er tre-veis matching: ingen faktura skal betales uten at den matches mot:
- En godkjent innkjøpsordre
- Et registrert varemottak
Hvis pris, antall og produkt på fakturaen matcher PO og varemottak, kan den behandles automatisk eller med minimal godkjenning. Hvis det er avvik, må de eskaleres og forklares før betaling.
Tre-veis matching forhindrer fire vanlige problemer:
- Falske fakturaer fra ikke-leverandører
- Fakturaer for varer som ikke ble levert
- Fakturaer med høyere pris enn avtalt
- Dobbel-fakturaer
Det er overraskende mange SMB-er som ikke har full tre-veis matching — særlig for tjeneste-fakturaer som er vanskeligere å verifisere mot et fysisk varemottak.
Kjerne-kontroller i en moden P2P
For en moden P2P-prosess forventer revisor å se:
Forebyggende kontroller
- To-personers godkjenning ved opprettelse av ny leverandør. En person registrerer, en annen godkjenner. Reduserer risiko for falsk leverandør.
- Beløpsbaserte godkjenningsterskler for PO. Eksempelvis: under 10 000 godkjennes av innkjøper, 10 000–50 000 av leder, over 50 000 av daglig leder.
- Segregering av oppgaver. Den som registrerer faktura kan ikke godkjenne den. Den som godkjenner kan ikke utføre betaling. Den som utfører betaling kan ikke endre bankkontoen til leverandøren.
- Verifisering av bankkonto ved endring. Hvis en leverandør melder ny bankkonto, må endringen verifiseres mot en bekreftet kilde (telefonkontakt på kjent nummer, ikke via samme e-post som varslet endringen). Dette er den mest vanlige svindelvinkelen.
- Tre-veis matching i systemet (PO–varemottak–faktura).
Detekterende kontroller
- Daglig kontroll mot duplikat-fakturanummer per leverandør.
- Månedlig avstemming av leverandørreskontro mot hovedbok.
- Månedlig review av nye leverandører opprettet siste 30 dager. Bekreft at de er reelle og at det finnes en forretningsmessig grunn.
- Kvartalsvis review av "inaktive" leverandører. Leverandører som ikke har hatt aktivitet på 12+ måneder bør deaktiveres.
- Kvartalsvis review av leverandører med kun manuell fakturering (uten PO).
Korrektive kontroller
- Dokumentert prosess for hvordan duplikat-betaling oppdages og refunderes.
- Hendelseslogg for svindelforsøk og hvordan de ble håndtert.
Vanlige svakheter
Etter mange walkthroughs er disse de vanligste svakhetene:
Svakhet 1: For mange "no PO" fakturaer
Hvis over 30 % av faktura-volumet kommer uten PO, har du i praksis ikke en kontrollert P2P-prosess for den delen. Tjeneste-fakturaer (konsulenter, lisenser, husleie) ender ofte her. Løsningen er enten faste avtaler med periodisk fakturering, eller å introdusere "blanket PO" for forutsigbare utgifter.
Svakhet 2: Manglende segregering av oppgaver
I små selskap er det vanlig at én person registrerer, godkjenner og utfører betaling. Det er forståelig — det er ikke nok folk — men det er en kontroll-svakhet revisor må vurdere. Kompenserende kontroll: månedlig review fra daglig leder eller styreleder.
Svakhet 3: Manuell håndtering av leverandørmaster
Nye leverandører opprettes ofte av regnskapsmedarbeider uten dual control. Eller endringer i bankkonto gjøres uten verifisering. Dette er hvor svindel typisk inntreffer.
Svakhet 4: Begrenset kvalitet på varemottak
Varemottak registreres ofte sjuskete eller etterskuddsvis. Det gjør tre-veis matching ineffektiv.
Svakhet 5: Manglende dokumentasjon
Det er mye P2P-praksis som ikke står skrevet noe sted — godkjenningsterskler, unntakshåndtering, spesialavtaler. For en grundigere diskusjon, se artikkelen om walkthrough-forberedelse.
Modenhets-nivåer i P2P
En enkel modenhetsskala fra 1 til 5:
- Nivå 1: Ad-hoc. Faktura kommer, noen godkjenner, betaling utføres. Lite system-støtte.
- Nivå 2: Definert. Det finnes en prosess på papir, men praksis varierer.
- Nivå 3: Kontrollert. Prosessen følges, kjerne-kontroller er på plass, men dokumentasjon kan være ufullstendig.
- Nivå 4: Målt. Det finnes KPI-er (gjennomstrømningstid, andel match, antall avvik), og prosessen forbedres basert på data.
- Nivå 5: Optimalisert. Automatisert matching, RPA-håndtering av unntak, kontinuerlig forbedring.
De fleste norske SMB-er er på nivå 2–3. Revisor er typisk fornøyd med nivå 3 med solid dokumentasjon.
Et komplett dokumentasjons-eksempel
For å se hvordan en moden P2P-prosess ser ut dokumentert — komplett med BPMN-diagram, narrativ, 14 kontroller og 10 risikoer — se eksempel-leveransen vår. Det er bygget rundt en P2P-prosess for en fiktiv grossist.
Hva NorthControl gjør i P2P-kontekst
For selskap som ønsker å løfte P2P-modenhet, leverer vi:
- BPMN-diagram av nåværende prosess
- Identifisering av de 10–15 viktigste kontrollene
- Risikoregister knyttet til prosessen
- Anbefalinger for forbedring, basert på modenhetsnivå
Leveransen er åpen og kan brukes som grunnlag i system-prosjekter, revisjonsforberedelse eller intern kontrollarbeid. Se pakkene.
Oppsummering
P2P er en av de viktigste prosessene å ha kontroll på — både for forretningens egen del og for revisor. Tre-veis matching er kjernen, men det er mange sekundære kontroller som må være på plass for å lukke alle vesentlige risikoer.
Den vanligste feilen er å tro at fordi en prosess fungerer i dag, er den kontrollert. Det å fungere er ikke det samme som å være kontrollert. Forskjellen avdekkes typisk når noe går galt — eller når revisor spør.