Den amerikanska organisationen The Committee of the Sponsoring Organizations of the Treadway Commission (COSO) har sedan 1992, då de gav ut sin rapport Internal Control – Integrated Framework (COSO-‐rapporten) utvecklat den mest etablerade modellen och definitionen på intern kontroll. Modellen är generell och kan användas av de flesta typer av företag då den ger både en teoretisk och praktisk inramning för vad intern kontroll är och hur det fortlöpande arbetet kring det kan och/eller ska se ut (Haglund m.fl., 2005).
COSO-‐modellens definition av intern kontroll lyder på följande sätt:
”Internal control is broadly defined as a process, effected by an entity´s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:
Effectiveness and efficiency of operations
Reliability of financial reporting
Compliance with applicable laws and regulations.” (se svensk översättning i det tidigare avsnittet 3.2. stycke 3)
Utifrån denna definition har COSO presenterat en modell (COSO-‐modellen) som är uppbyggd efter hur verksamheter generellt styrs och identifierar ett tredimensionellt förhållande mellan mål, processer och kontrollkomponenter. Dessa tre funktioner interageras med varandra för att den interna kontrollen ska beröra hela verksamheten och lättare kunna samordnas med de ordinarie arbetsuppgifterna i en organisation (Haglund m.fl., 2005).
3.5.1. Mål
Den interna kontrollen syftar som tidigare nämnt att med rimlig grad av säkerhet uppfylla verksamhetsmålen. Det gäller då att kartlägga och tydligt definiera sina mål för att sedan kunna systematisera tillvägagångssättet för att nå de. Med utgångspunkt i den ovan formulerade definitionen av intern kontroll har COSO identifierat tre huvudmål;
ändamålsenlig verksamhet, tillförlitlig rapportering samt efterlevnad av tillämpliga lagar och regler (Haglund m.fl., 2005). Med ändamålsenlig verksamhet menas att företagets resurser ska utnyttjas väl och att tillgångarna ska skyddas (FAR, 2006). För
att uppnå det målet förutsätts styrande dokument som flerårsplaner och årsbudgetar som ska vägleda det dagliga arbetet. Med rapportering avses att den interna kontrollen ska säkerställa att företaget lämnar tillförlitliga finansiella rapporter som i sin tur fungerar som viktiga beslutsunderlag. Det sista huvudmålet handlar om att säkerställa att företaget, i allt de gör, följer de föreskrivna lagar som finns för sin typ av verksamhet (Haglund m.fl., 2005).
3.5.2. Processer
Ett företag består ofta av flera olika processer, antingen enskilda eller samverkande, i syfte att samordna företagets olika aktiviteter. För att nå de mål som företaget har satt upp måste alla aktiviteter och därmed alla processer grundligt gås igenom och handlingsplaner måste presenteras för hela organisationen. Processerna ska således även de innefattas av den interna kontrollen för att säkerställa att verksamheten bedrivs på rätt sätt (Haglund m.fl., 2005).
3.5.3. Kontrollkomponenter
Den interna kontrollens största fokus ligger i de av COSO fem identifierade kontroll-‐
komponenterna; kontrollmiljö, riskanalys, kontrollaktiviteter, information och kommunikation samt tillsyn, vilka ska beskrivas utförligare nedan (Haglund m.fl., 2005).
Kontrollmiljön utgör basen i modellen och på så vis är den också basen i den interna kontrollen. Det är viktigt att kontrollkomponenterna samverkar och existerar inom alla de tre målkategorierna och i hela organisationen, på alla nivåer och även i dotterbolag.
Det är inte nödvändigt att komponenterna är uppbyggda och fungerar på samma sätt genom hela organisationen, utan fokus ligger i att den i alla fall finns där (FAR, 2006). Vi ska nedan gå in djupare på dessa kontrollkomponenter för att förstå vad de innebär och vad för typ av arbete de innefattar.
Figur 3: COSO-modellen Efter Haglund m.fl., 2005, s. 65
Kontrollmiljö
Med kontrollmiljön avses företagets kultur och bygger på människorna i företaget (Haglund m.fl., 2005). Det är de, oavsett ledningens uppsatta policys och föreskrifter, som i slutändan avgör både det sociala och professionella klimatet och jargongen i en organisation (COSO, 2010). På så sätt kan både formella och informella normer identifieras, till vilka en organisation måste förhålla sig. De formella normerna sätts av ledningen via mål, regler och policys och är viktiga för att försöka skapa en kultur där alla är medvetna om vilka spelregler och förhållningssätt som gäller (Haglund m.fl., 2005). Målet är att eftersträva en kontrollmiljö som fungerar utifrån den kultur som styrelsen och ledningen kommunicerar och arbetar efter. Det handlar således om att skapa disciplin och struktur för medarbetarna och på så sätt även för resten av processen för intern kontroll (FAR, 2006).
De informella normerna är oundvikliga då de präglas av varje enskild individs, omvärldens och företagets historia (Haglund m.fl., 2005). De viktiga faktorerna i kontrollmiljön är individers integritet, etiska värderingar och kompetens men influeras också av ledningens värderingar, ledarstil och engagemang (COSO, 2010). Kontrollmil-‐
jöns karaktär bygger också på ansvarfördelningen och organisationens struktur (FAR, 2006). De formella och informella normerna riskeras därför att kollidera med varandra och målet med den interna kontrollen vad gäller kontrollmiljön ligger på så vis på att dessa normer närmar sig varandra för att säkerställa att organisationens, och ingen annans, etik och moral efterlevs (Haglund m.fl., 2005).
Den problematik som små företag ofta kan stöta på vad gäller kontrollmiljön är att den sällan är formell, utan präglas starkt av den rådande företagskulturen och ägarens deltagande i det dagliga arbetet samt dennes förmåga att förmedla sina värderingar vidare till medarbetarna (FAR, 2006).
Riskanalys
I jakten på att uppnå sina mål stöter alla organisationer på hinder, i detta sammanhang nämns de oftast som risker, stora som små, interna och externa, som gör det svårare och ibland omöjligt att nå ända fram. Att säkerställa att dessa risker uteblir eller åtminstone dämpas är ett viktigt moment i den interna kontrollen (FAR, 2006). Denna aktivitet kallas riskanalys och är den andra kontrollkomponenten i COSO-‐modellen. För att kunna motarbeta att de eventuella riskerna inträffar måste de kartläggas och graden av deras osäkerhet måste analyseras. Detta är en ständig process som förändras med tiden då både företag och omvärlden också förändras. Därför är det viktigt att fokus ligger på de risker som tros ha störst inverkan på möjligheten att uppnå målen och som är mest sannolika till att inträffa.
Riskerna kan kartläggas i två kategorier; externa och interna risker. Dessa kan med fördel i sin tur också delas in i undergrupper för att ännu noggrannare kunna analysera riskernas karaktär (Haglund m.fl., 2005). Indelningen ser enligt Haglund m.fl. (2005) ut på följande sätt:
I mindre, onoterade, företag är riskanalysprocessen ofta mindre strukturerad och informell, men små företag har också mål som ska uppnås och tack vare att de ofta har färre nivåer i sin organisation har de bättre förutsättningar för att lättare kunna förmedla dessa mål vidare till sina medarbetare (FAR Förlag, 2006).
Kontrollaktiviteter
De reella åtgärder som vidtas för att motverka, minimera och eliminera risker kallas för kontrollaktiviteter. Dessa aktiviteter stödjer de tre stora punkterna ändamålsenlig verksamhet, rapportering samt efterlevnad av tillämpliga lagar och regler som beskrivits tidigare under avsnitt 3.5. stycke 2, och utformas speciellt efter varje verksamhet beroende på att varje verksamhet har olika riskbedömningar och kontrollmiljöer (Haglund m.fl., 2005). Aktiviteterna görs för att säkerställa att ledningens direktiv och uppsatta mål levs upp till och handlar om att upprätta olika styrdokument och handlingar som t.ex. policydokument, fördelning av arbete och ansvar, attestrutiner, avstämningar och uppföljning av resultat, som i slutändan ska upptäcka, förebygga och korrigera eventuella fel (FAR, 2006). Även kompetensutveck-‐
ling eller informationsinsatser är också exempel på sådana kontrollaktiviteter då de har som syfte att skapa större kunskap om verksamheten (Haglund m.fl., 2005).
Kontrollaktiviteter kan delas in i två grupper; resultat-‐ eller rutinorienterade kontroller.
De resultatorienterade kontrollerna används i syfte att säkerställa en verksamhets effektivitet och verksamhetsstyrning där det handlar om att skapa en god balans och bra samband mellan resursåtgång, prestationer, resultat och effekter (Haglund m.fl., 2005).
För att detta skall vara uppnåeligt krävs bl.a. att budget-‐ och kalkylsystem är utvecklade, att målformulering som satts upp kan brytas ned i delmål och att resultatanalyser kan visa hur prestationerna och kvaliteterna uppnår verksamhetens mål (Haglund m.fl., 2005).
I de rutinorienterade kontrollerna finns det ett direkt samband mellan de arbetsmoment som ska genomföras och den verkliga kontrollen. Vad som är tyngdpunkten här är att säkerställa att systemen och rutinerna fungerar på bra sätt samt att en tillförlitlig ekonomisk rapportering säkerställs. Denna typ av kontroll behandlar t.ex. avstämningar, kontrollräkningar samt inkomstkontroller i form av fakturering och kravrutiner (Haglund m.fl., 2005).
Information och kommunikation
Att det finns en väl fungerande kommunikation och informationssystem mellan alla led i en verksamhet är en given omständighet för att den interna kontrollen ska vara effektiv.
Det berör formell information likväl som informell att så länge informationen är korrekt är den också nödvändig. Däremot måste kvaliteten på informationen säkerställas innan
Externa risker
den går ut externt vilket gör att den interna kontrollen har en stor roll i informations-‐
och kommunikationsflödet. För att den interna kontrollen ska tjäna sitt syfte måste informationen om den och alla andra aktiviteter identifieras, registreras, bearbetas och kommuniceras i rätt form och inte minst i rätt tid (FAR, 2006). Det handlar om att styrdokument och värderingar ska vara tillgängliga och att en strävan mot att de ska vara kända och förstådda av hela organisationen, vilket i sin tur ska vara en viktig målsättning för att alla ska kunna jobba mot samma mål. För att få detta att praktiskt fungera krävs bra informationssystem, intranät och utbildning därom, vilket också gäller mindre företag, även om det hos dessa tenderar att finnas mer informella informations-‐
system (FAR, 2006).
Tillsyn
När företaget nu gjort sin riskbedömning, har skapat olika styrdokument och har kommunicerat ut dessa till organisationen krävs också en övervakning och uppföljning av de uppsatta kontrollerna. Detta kallas i COSO-‐modellen för tillsyn och avser att säkerställa att verksamheten och kontrollerna fungerar som de ska och att kontrollerna överhuvudtaget efterlevs (FAR, 2006). Utan tillsyn över processerna är inte verksamhe-‐
ten säkerställd och risken för att brister uppkommit under arbetets gång är stor. Detta är en ständigt pågående process där ledningen har största ansvaret att se till att systemen fungerar samt att stärka styrningen och den interna kontrollen genom att tillsynen slutligen resulterar i förslag till olika förbättringar. En aktiv tillsyn ger kontinuerlig kvalitetssäkring vilket förbereder verksamheten för risker då möjligheten att identifiera och prioritera dessa kan upptäckas tidigt i processen (Haglund m.fl., 2005). Moment som självutvärdering, löpande uppföljning och övervakning är således något som bör ske fortlöpande och bör vara ett naturligt inslag i den dagliga verksamhe-‐
ten (FAR, 2006).
3.6. FR2000
Den interna kontrollen kan styras genom ISO-‐certifiering vilket innebär att företag arbetar efter de standarder som ISO tagit fram. Idag är ISO en av världens största organisationer som utvecklar kvalitets och miljöstandarder som i sin tur appliceras i företag genom att dessa certifierar sig genom att uppnå dessa krav som standarderna ställer (ISO, 2010). ISO uppkom genom att två organisationer, ISA6 och UNSCC7 1947 slogs ihop till en ny internationell organisation i syfte att underlätta internationell samordning och sammanslagning av industriella standarder. Sedan starten har standarderna som getts ut utvecklats och omarbetats och är idag globalt accepterat och används internationellt som ett ledningsverktyg (ISO, 2010). Certifieringssystem existerar för att stärka varumärken genom att säkerställa krav för de lagar och förordningar som skall efterlevas i olika branscher. Certifiering genomförs framförallt av affärsmässiga skäl då alltfler intressenter idag ställer krav på ett fungerande kvalitets-‐
och miljösystem (Miljöbyrån, 2009).
FR2000 är också ett sådant system som togs fram av Rådet för FR2000 i Sverige och accepterades 2005 inom Företagarnas Riksorganisation för att underlätta miljö-‐ samt kvalitetsarbetet för små och medelstora företag (Certway, 2010). Anledningen till att ett
6 International Federation of National Standardization Associations
7 United Nations Standards Coordinating Committee
nytt certifieringssystem skapades var att ISO ansågs av många vara för komplicerat och för dyrt för att appliceras. Dock var inte tanken med det nya styrningssystemet att FR2000 skulle bli ett eget system, utan att ISO skulle vara utgångspunkten för kvalitets-‐
och miljöhanteringen samt att certifieringssystemet skulle vara kostnadseffektivt för alla parter (FR2000, 2009).
Till skillnad från ISO som ger ut internationella certifieringsstandarder är FR2000 en nationell standard som utgår från vad ISO 90018, ISO 140019, arbetsmiljöverkets föreskrifter om systematiskt arbetsmiljöarbete säger samt vad räddningsverkets allmänna råd om systematiskt brandskyddsarbete föreskriver (Certway, 2010).
Detta gör att FR2000 inte skiljer sig radikalt från vad ISO-‐systemet säger. Däremot finns det en påtaglig skillnad i att FR2000 utöver krav på kvalitet och miljö också innehåller krav på kompetensförsörjning, hälsa samt säkerhet. Detta system kan anpassas och tillämpas i alla typer av organisationer utan extern hjälp och är uppbyggt i syfte att spegla en orders väg genom organisationen, från offert till avslutad affär. Med anpassning menas att standarden innehåller de baskrav som existerar samt de specifika krav som branschen ställer. Detta används dock bara i de verksamheter där huvudverk-‐
samheten är mer än 50 % av omsättningen (FR2000, 2009).
Att bli certifierad innebär att ledningssystemet i verksamheten motsvarar de krav som ställs från Rådet för FR2000 och detta avgörs av en behörig tredje part som granskar och bedömer om det dessutom efterlevs. Denna bedömning görs kontinuerligt i form av uppföljande revisioner och revisorerna kontrolleras i sin tur av Rådet för FR2000 (Miljöbyrån, 2009).
För att underlätta införandet av FR2000 kan företag anlita en FR2000-‐konsult som då arbetar tillsammans med berörda i företaget för att implementera verktyget i organisationen. Detta är ingen nödvändighet men kan underlätta införandet samt det fortlöpande arbetet med ledningssystemet (FR2000, 2009).
8 ISO:s accepterade standard angående kvalitetsledning.
9 ISO:s accepterade standard angående miljöledning.
4. Empiri
I empirikapitlet presenteras först företaget där fallstudien utfördes, varefter resultat läggs fram utifrån uppbyggnaden av COSO–modellens kontrollkomponenter. Därefter presenteras resultaten från de intervjuer som utfördes på de utvalda mindre tjänstebola-
gen. Intervjuerna baseras på de frågeformulär som finns bifogat till rapporten, se bilaga 1 och 2.