·Audun Martinussen

Innkjøp-til-betaling-prosessen (P2P) — beste praksis i Norge

P2P er den prosessen revisor ser hardest på, og den der det er enklest å gjøre kostbare feil. Her er en oversikt over hvordan en moden P2P-prosess ser ut, og de vanligste svakhetene i norske SMB-er.

Innkjøp-til-betaling-prosessen (Purchase-to-Pay, P2P) er den prosessen revisor ser hardest på i de fleste mid-size selskap, og den der det er enklest å gjøre kostbare feil — både i form av reelle tap og i form av svake kontroller som vekker oppmerksomhet under revisjon.

Etter mange P2P-walkthroughs over årene er det noen mønstre som gjentar seg. Denne artikkelen oppsummerer hvordan en moden P2P-prosess ser ut, hvilke kontroller som forventes, og hvor norske SMB-er typisk har svakheter.

P2P-prosessen på 30 sekunder

Kjerneflyten i P2P er:

  1. Behov identifiseres (innkjøper eller bruker)
  2. Innkjøpsordre (PO) opprettes
  3. Bestillingen godkjennes
  4. Bestilling sendes til leverandør
  5. Varer eller tjenester mottas (varemottak)
  6. Faktura mottas fra leverandør
  7. Faktura matches mot PO og varemottak
  8. Faktura godkjennes
  9. Betaling utføres
  10. Bokføring og rapportering

I praksis varierer dette mye. Mange SMB-er kjører "no PO, no problem" — faktura kommer inn uten formell bestilling. Andre har strenge regler. Begge kan være moden, så lenge prosessen er konsistent og kontrollert.

Tre-veis matching

Det grunnleggende prinsippet for kontrollert P2P er tre-veis matching: ingen faktura skal betales uten at den matches mot:

  1. En godkjent innkjøpsordre
  2. Et registrert varemottak

Hvis pris, antall og produkt på fakturaen matcher PO og varemottak, kan den behandles automatisk eller med minimal godkjenning. Hvis det er avvik, må de eskaleres og forklares før betaling.

Tre-veis matching forhindrer fire vanlige problemer:

  • Falske fakturaer fra ikke-leverandører
  • Fakturaer for varer som ikke ble levert
  • Fakturaer med høyere pris enn avtalt
  • Dobbel-fakturaer

Det er overraskende mange SMB-er som ikke har full tre-veis matching — særlig for tjeneste-fakturaer som er vanskeligere å verifisere mot et fysisk varemottak.

Kjerne-kontroller i en moden P2P

For en moden P2P-prosess forventer revisor å se:

Forebyggende kontroller

  1. To-personers godkjenning ved opprettelse av ny leverandør. En person registrerer, en annen godkjenner. Reduserer risiko for falsk leverandør.
  1. Beløpsbaserte godkjenningsterskler for PO. Eksempelvis: under 10 000 godkjennes av innkjøper, 10 000–50 000 av leder, over 50 000 av daglig leder.
  1. Segregering av oppgaver. Den som registrerer faktura kan ikke godkjenne den. Den som godkjenner kan ikke utføre betaling. Den som utfører betaling kan ikke endre bankkontoen til leverandøren.
  1. Verifisering av bankkonto ved endring. Hvis en leverandør melder ny bankkonto, må endringen verifiseres mot en bekreftet kilde (telefonkontakt på kjent nummer, ikke via samme e-post som varslet endringen). Dette er den mest vanlige svindelvinkelen.
  1. Tre-veis matching i systemet (PO–varemottak–faktura).

Detekterende kontroller

  1. Daglig kontroll mot duplikat-fakturanummer per leverandør.
  1. Månedlig avstemming av leverandørreskontro mot hovedbok.
  1. Månedlig review av nye leverandører opprettet siste 30 dager. Bekreft at de er reelle og at det finnes en forretningsmessig grunn.
  1. Kvartalsvis review av "inaktive" leverandører. Leverandører som ikke har hatt aktivitet på 12+ måneder bør deaktiveres.
  1. Kvartalsvis review av leverandører med kun manuell fakturering (uten PO).

Korrektive kontroller

  1. Dokumentert prosess for hvordan duplikat-betaling oppdages og refunderes.
  1. Hendelseslogg for svindelforsøk og hvordan de ble håndtert.

Vanlige svakheter

Etter mange walkthroughs er disse de vanligste svakhetene:

Svakhet 1: For mange "no PO" fakturaer

Hvis over 30 % av faktura-volumet kommer uten PO, har du i praksis ikke en kontrollert P2P-prosess for den delen. Tjeneste-fakturaer (konsulenter, lisenser, husleie) ender ofte her. Løsningen er enten faste avtaler med periodisk fakturering, eller å introdusere "blanket PO" for forutsigbare utgifter.

Svakhet 2: Manglende segregering av oppgaver

I små selskap er det vanlig at én person registrerer, godkjenner og utfører betaling. Det er forståelig — det er ikke nok folk — men det er en kontroll-svakhet revisor må vurdere. Kompenserende kontroll: månedlig review fra daglig leder eller styreleder.

Svakhet 3: Manuell håndtering av leverandørmaster

Nye leverandører opprettes ofte av regnskapsmedarbeider uten dual control. Eller endringer i bankkonto gjøres uten verifisering. Dette er hvor svindel typisk inntreffer.

Svakhet 4: Begrenset kvalitet på varemottak

Varemottak registreres ofte sjuskete eller etterskuddsvis. Det gjør tre-veis matching ineffektiv.

Svakhet 5: Manglende dokumentasjon

Det er mye P2P-praksis som ikke står skrevet noe sted — godkjenningsterskler, unntakshåndtering, spesialavtaler. For en grundigere diskusjon, se artikkelen om walkthrough-forberedelse.

Modenhets-nivåer i P2P

En enkel modenhetsskala fra 1 til 5:

  • Nivå 1: Ad-hoc. Faktura kommer, noen godkjenner, betaling utføres. Lite system-støtte.
  • Nivå 2: Definert. Det finnes en prosess på papir, men praksis varierer.
  • Nivå 3: Kontrollert. Prosessen følges, kjerne-kontroller er på plass, men dokumentasjon kan være ufullstendig.
  • Nivå 4: Målt. Det finnes KPI-er (gjennomstrømningstid, andel match, antall avvik), og prosessen forbedres basert på data.
  • Nivå 5: Optimalisert. Automatisert matching, RPA-håndtering av unntak, kontinuerlig forbedring.

De fleste norske SMB-er er på nivå 2–3. Revisor er typisk fornøyd med nivå 3 med solid dokumentasjon.

Et komplett dokumentasjons-eksempel

For å se hvordan en moden P2P-prosess ser ut dokumentert — komplett med BPMN-diagram, narrativ, 14 kontroller og 10 risikoer — se eksempel-leveransen vår. Det er bygget rundt en P2P-prosess for en fiktiv grossist.

Hva NorthControl gjør i P2P-kontekst

For selskap som ønsker å løfte P2P-modenhet, leverer vi:

  • BPMN-diagram av nåværende prosess
  • Identifisering av de 10–15 viktigste kontrollene
  • Risikoregister knyttet til prosessen
  • Anbefalinger for forbedring, basert på modenhetsnivå

Leveransen er åpen og kan brukes som grunnlag i system-prosjekter, revisjonsforberedelse eller intern kontrollarbeid. Se pakkene.

Oppsummering

P2P er en av de viktigste prosessene å ha kontroll på — både for forretningens egen del og for revisor. Tre-veis matching er kjernen, men det er mange sekundære kontroller som må være på plass for å lukke alle vesentlige risikoer.

Den vanligste feilen er å tro at fordi en prosess fungerer i dag, er den kontrollert. Det å fungere er ikke det samme som å være kontrollert. Forskjellen avdekkes typisk når noe går galt — eller når revisor spør.

Vil du se hvordan vi dokumenterer prosesser i praksis?

Et komplett eksempel — innkjøp-til-betaling for en 80-personers grossist — er publisert med BPMN, kontroller og risikoer.