COSO-modellen

Samtliga banker anger att de använder COSO-modellen inom verksamheten, även om anledningarna till detta är varierande. Anledningarna sträcker sig från att det är praxis, vilket överensstämmer med vad FAR (2006) anger, till att det är en bra modell. Haglund (2005) menar att ett syfte med COSO-modellen är att företag skall kunna erbjuda de externa aktörerna på finansmarknaden mer kunskap om företagets interna styrning, något bankerna genomför då de beskriver COSO-modellen i sina bolagsstyrningsrapporter. Dock uppvisar Handelsbanken och Nordea en ytterligare dimension då de även använder modellen som ett internt kommunikationsmedel. Detta antyder att bankerna ser ytterligare ett syfte med COSO-modellen än vad referensramen ger sken av. Anledningarna till detta anges vara att modellen kan förenkla beskrivningen av arbetssättet samt att flera personer i organisationen kan relatera till den. Ovanstående resonemang indikerar att en utökning av COSO-modellens kommunikationssyfte skett vilket kan bero på att det finns fler krav på företag än enbart lagefterlevnad (COSO, 1992).

62

I bankernas bolagsstyrningsrapporter utläses att ett stort fokus på korrekta finansiella rapporter föreligger vilket överensstämmer med FAR (2006) men särskiljer sig mot vad COSO (1992) anger, att alla tre målområden är lika viktiga. Dessutom indikerar en del av intervjusvaren att bekämpandet av IYEB inte är huvudsyftet med bankernas interna kontroll. Detta trots att Wikland (2006) anger att en ytterligare del av COSO-modellens syfte är att motverka bedrägerier. Här urskiljs återigen en differens mot COSO (1992) då bedrägeripreventionen får mindre uppmärksamhet än korrekta finansiella rapporter. Då en del av syftet, bedrägeriprevention, inte erhåller samma uppmärksamhet riskerar bankerna att i lägre utsträckning kunna motverka IYEB. Detta indikerar att bankerna i studien torde dra nytta av att ytterligare anpassa sitt fokus så att en större del av modellens syfte nyttjas. Detta skulle bland annat kunna leda till att IYEB motverkas i högre grad.

Intervjusvaren visar att COSO-modellen används som grund vid utformning av övriga modellerbankerna arbetar med. Detta indikerar att bankerna använder COSO-modellen men även kompletterar den med annan kunskap som är mer specifik för branschen, vilket styrks av intervjusvaren. Att bankerna använder modellen som grund för övriga modeller visar att bankerna vidareutvecklar syftet med COSO-modellen och använder den till mer än bara en modell för den interna kontrollen. En anledning till detta är enligt Strangert (Swedbank) att COSO-modellen enbart täcker en del av bankernas verksamhet, ett uttalande som tyder på att modellen kan vara för allmängiltig. Finansbranschen har enligt empirin en komplex verksamhet som skiljer sig från andra branscher vilket ytterligare förklarar behovet av en utökad modell.

6.3. Three Lines of Defence

Enbart Handelsbanken och Nordea omnämner TLD i sina bolagsstyrningsrapporter medan intervjusvaren visar att modellen används inom samtliga banker och är av stor vikt för dem. Majoriteten av intervjusvaren tyder på en samstämmighet både mellan bankerna inom empirin samt mellan empirin och referensramen. Denna samstämmighet anses inte häpnadsväckande med hänvisning till Arshamians uttalande i Edlund och Malms studie (2011) där hon klargör att de stora bankerna har liknande komplexitet i sina verksamheter vilket troligen medför en liknande riskhantering.

Några intervjusvar belyser dock en annan infallsvinkel. Medan internrevision har en klar roll inom den interna kontrollen enligt COSO (1992) är rollerna inom den första och andra försvarslinjen något oklara enligt Lansgård (Swedbank). Detta styrks av enkätsvaren då en majoritet av respondenterna inte är bekanta med sin roll inom modellen, vilket då är en åsikt som härleds från den första försvarslinjen. Även Lundén (SEB) belyser en problematik inom TLD då han menar att den andra försvarslinjen tilldelas allt mer ansvar. I praktiken har Finansinspektion (2012) uppmärksammat problematiken runt den andra försvarslinjen i samband med händelsen på Länsförsäkringar Bank, där för få anställda hade ett allt för stort complianceansvar.

63

Diskussionen runt att för mycket ansvar läggs på den andra försvarslinjen kan relateras till att internrevision enligt COSO (1992) har en tydlig roll inom den interna kontrollen. Med anledning av internrevisions klara roll kan det vara svårt att tilldela denna allt mer ansvar medan compliancefunktionen kan hållas ansvariga för allt fler områden då deras roll ännu inte är lika tydlig. Att internrevision är och skall vara oberoende kan vara ett skäl till att de inte kan tilldelas mer ansvar då deras roll är tydlig och inte kan innefatta aspekter som riskerar deras oberoende. Därmed erhåller compliancefunktionen även fler risker vilket troligen innebär ännu hårdare prioritering mellan risker, vilket kan leda till att IYEB erhåller mindre uppmärksamhet.

Med hänvisning till Finansinspektionens (2006) definition för operativ risk är det påtagligt att arbets- och ansvarsfördelningar behöver vara av tydlig karaktär då misslyckade interna processer kan leda till resursförluster. Ekobrottsmyndigheten (2009) samt Merchant och Van der Stede (2011) anger vidare att arbets- och ansvarsfördelningar är aktiviteter som vidtas för att motverka IYEB. Detta indikerar att oklar arbets- och ansvarsfördelning, vilket en del av intervjusvaren antyder finns, i sin tur riskerar att möjliggöra brott av denna typ. Anledningen är att de olika försvarslinjerna kan negligera risker relaterade till ovanstående brottslighet, medvetet eller omedvetet, till följd av att ansvaret för dessa är oklara. Bankerna torde därför arbeta för att klargöra rollerna för att på så sätt i större utsträckning motverka den ovan nämnda brottsligheten. En tendens till att detta håller på att ske är att compliancefunktionen idag är under utveckling enligt Lansgård (Swedbank).