I detta kapitel redogörs för de viktigaste slutsatserna som kunnat göras av den föregående analysen. Här besvaras det inledande problemet och syftet
5. Analys
I analysen kopplas teori och empiri samman för att utreda problemet och syftet som formulerades i inledningen.
2. Teoretiskt ramverk
Denna del verkar som en grund för uppsatsens fortsatta inriktning och för att ge läsaren en klar bild över de områden som undersöks.
3. Metod
I metodkapitlet tar vi upp det synsätt som präglar uppsatsen, urvalet och de metodproblem som kan uppstå och har uppstått.
2 Teoretiskt ramverk
Detta kapitel inleds med en modell som visar hur intern kontroll påverkar internrevisionens betydelse och roll. Därefter ges en introduktion till interna kontroller följt av vad som menas med god intern kontroll samt en diskussion kring de senaste årens ökade fokus på intern kon-troll. Efter de ökade kraven följer en förklaring till internrevisionen och ramverken den styrs av och slutligen redogör vi för internrevisionens betydelse och roll.
2.1 Interna kontroller
I detta kapitel kommer vi att visa hur intern kontroll påverkar internrevisionens betydelse och internrevisionens roll. Sambanden förklaras i denna modell:
2.1.1 Vad är intern kontroll
Interna kontroller i ett bolag bygger på rutiner som är utformade efter bolagets resurser och målet med de interna kontrollerna är att se till att exempelvis transaktioner utförs enligt före-tagsledningens allmänna eller särskilda godkännande (FAR, 2003).
Eftersom felaktigheter kan uppstå, i redovisningen och i de mätsystem som används, är det viktigt att ledningen är medveten om riskerna. Felkällorna kan exempelvis vara att outbildad arbetskraft utför transaktioner felaktigt och att erfarna medarbetare gör fel till följd av ett högt arbetstempo (Simons, 2000). I extrema fall kan även anställda förskingra bolagets resurser, det vill säga bedrägeri. Till följd av dessa oundvikliga risker är det ett måste att varje bolag implementerar kontroller som säkerställer kvaliteten på bolagets redovisningsdata. (Ibid.) En
Intern kontroll
– COSO’s ramverk
– Ökat fokus med SOX och Koden – Ökat ansvar på företagsledningen – Krav på revisionskommitté Internrevisionens betydelse – Användningen ökar – Ökat oberoende – Ökad status Internrevisionens roller – Mer övervakande – Mindre rådgivande
riktig och fullständig redovisning är oftast en förutsättning för god planering och kontroll inom bolaget. (FAR, 2003)
En god intern kontroll kan enligt FAR3 (2003) erhållas genom att kombinera generella och rutinorienterade kontroller. Generella kontroller bygger på att bolaget har en klart utformad ansvars- och arbetsfördelning. Rutinorienterade kontroller handlar om att lägga in olika kon-troller i kontrollsystemet. Dessa konkon-troller kan exempelvis vara manuella konkon-troller, pro-grammerade kontroller eller en kombination av dessa och syftar främst till att säkerställa full-ständighet och riktighet samt till att endast godkända transaktioner behandlas.
2.1.2 COSO
The Committee of Sponsoring Organizations of the Treadway Commission4 (COSO) är en organisation som jobbar med att ta fram ramverk för hur bolag kan höja kvalitén på den eko-nomiska rapporteringen genom bedömningar av bolagsetiken, effektiviteten på de interna kontrollerna och bolagsstyrningen. Idag är det tusentals bolag över hela världen som använder COSO’s ramverk och har för många blivit en standard för utformningen av intern kontroll. COSO definierar intern kontroll som en process där hela organisationen tillsammans arbetar för att kunna ge en rimlig försäkran beträffande måluppfyllelse genom: effektivitet i verksam-heten, trovärdighet i den finansiella rapporteringen och uppfyllande av förordningar. För att skapa ett effektivt intern kontrollsystem måste fem centrala komponenter beaktas. Dessa är kontrollmiljö, riskbedömning, information och kommunikation, kontrollaktiviteter och över-vakning. (COSO, 2005)
2.1.3 Interna kontroller i fokus
Till följd av de senaste årens redovisningsskandaler, till exempel Enron och WorldCom, har regelverket SOX skapats i USA och nya rekommendationer getts ut i flertalet länder däribland den svenska Koden. SOX är en tvingande amerikansk lag som trädde i kraft juni 20025 men berör alla bolag som har aktier inregistrerade på de amerikanska börserna eller har tagit upp publika lån i USA. Detta innebär att några svenska bolag även berörs av SOX. Syftet med
3 FAR är en vedertagen förkortning av Föreningen för revisionsbyråbranschen.
4 Den vedertagna förkortningen COSO kommer fortsättningsvis att användas som referens till The Committee of Sponsoring Organizations of the Treadway Commission.
lagen är att minska risken för felaktig rapportering och bedrägerier samt skydda investerare genom en ökad noggrannhet och pålitlighet i bolagens finansiella rapportering och annan in-formation som lämnas till aktiemarknaden (Svernlöv och Blomberg, 2003). Enligt Securities and Exchange Committee, amerikanska motsvarigheten till finansinspektionen, ska alla bolag som omfattas av SOX uppfylla nedanstående krav (Svernlöv och Blomberg, 2003, s1).
- Tillsätta oberoende revisionskommittéer
- Kräva att VD och ekonomichef intygar redovisningens riktighet. - Byta huvudansvarig revisor vart femte år.
- Under vissa förutsättningar upphöra med att lämna penninglån till sina företrädare. Lagen är uppdelad i flera olika avsnitt varav avsnitt 404 är den del som av många anses ha störst påverkan på bolagen (Deloitte, 2005). Avsnitt 404 handlar om ledningens ansvar för att det finns väl fungerande interna kontroller och att alla processer och risker i verksamheten dokumenteras. Med lagen har VD och finanschef fått ett tydligare ansvar och skall i årsredo-visningen intyga och skriva under på att de interna kontrollerna är i överensstämmelse med de krav som ställs i lagen samt lämna en bedömning av effektiviteten i den interna kontroll-strukturen (Sarbanes-Oxley, 2005).
Huvudsyftet med den svenska Koden är att den ska ge vägledningen för hur svenska bolag ska förbättra styrningen i bolagen. Koden kan ses som en förenklad version av SOX men skiljer sig genom att den är anpassad efter aktiebolagslagen och att den bygger på principen ”följ eller förklara” (”comply or explain”) som tillämpas i flertalet utländska koder (Kodgruppen, 2004). Principen innebär att bolag som väljer att avvika helt från koden eller enskilda regler måste avge en förklaring där skälen för avvikelsen anges.6 En annan skillnad är att styrelsen är ansvarig för bolagets interna kontroller istället för VD och CFO. Styrelsen är också i likhet med SOX tvungen tillsätta en revisionskommitté. Koden riktar sig främst till börsnoterade bolag eftersom frågor angående bolagsstyrning har sin främsta betydelse i bolag med bred ägarspridning. Meningen är att stärka effektiviteten, konkurrenskraften och förtro-endet på den svenska kapitalmarknaden och samhället i stort (Kodgruppen, 2004).
Det har varit mycket debatt kring Kodens utformning och även SOX har fått stor uppmärk-samhet. Det är inte alla som är positiva till att ramverket kan uppfylla sitt syfte. I en tidskrift,
Agenda, från PriceWaterhouseCoopers (2004 s 18) påpekar Magnus Lindqvist, CFO Autoliv, att:
”Vill man lura systemet, så kan man göra det även i fortsättningen. Jag tycker det här är överbyråkratisering av detaljer. Visst är det bra att man ser över sina ruti-ner och kontrollmekanismer och att man kvalitetssäkrar sina processer. Men pen-deln har slagit över för långt åt regleringshållet.”
Denna inställning till intern kontroll kan enligt Kropatkin (1987) vara till skada för bolaget. Han menar att det inom många bolag finns oenighet om vad god intern kontroll är och hur den skall utföras. Det är därför viktigt att företagsledningen har en positiv inställning till den in-terna kontrollen och ramverken eftersom deras handlingar påverkar organisationens attityder. Dessa ökade krav på intern kontroll kommer med all säkerhet att leda till att komplexiteten ökar och att ledningens ansvar utökas. Detta skulle enligt Ouchi (1975) och Woolf (1994) vara en indikator på att företagsledningens styrsystem, internrevisionen, får en allt viktigare roll och betydelse när företagsledningen har ett större incitament att försäkra sig om att den interna kontrollen fungerar väl.
2.2 Internrevision
2.2.1 Internrevision och ramverken den styrs av
Till skillnad från den externa revisorn arbetar internrevisorn på företagsledningens uppdrag och är ett av företagsledningens instrument för granskning och värdering av den interna styr-funktionens effektivitet och säkerhet. Internrevisionen arbetar främst med att utvärdera och föreslå förbättringar i de interna kontrollerna och bör inom bolaget ligga som en funktion un-der styrelsen. Internrevision definieras enligt The Institute of Internal Auditors7 enligt följande (IIA, 20058):
“Internrevision är en oberoende, objektiv försäkrings- och konsultaktivitet utfmad för att skapa värde och förbättra organisationens processer. Den hjälper
7 The Institute of Internal Auditors är en organisation som startades 1941 och dess syfte är att vara en global röst för yrkesgruppen interna revisorer. De utger standards på området och certifierar interna revisorer. The Institute of Internal Auditors benämns fortsättningsvis IIA.
ganisationen att uppnå sina mål genom en systematisk och disciplinerad utvärde-ring och förbättutvärde-ring av effektiviteten i riskhanteutvärde-ring, styrning och ledningsproces-ser”.
Internrevisionsprofessionen har genom IIA ett uppställt ramverk, Professional Practices
Framework9, för hur en internrevisor bör agera, förhålla sig till bolaget och vilken dennes syfte skall vara (IIA, 2005). I Sverige arbetar organisationen Internrevisorerna, som är en del av IIA, med att försöka översätta och anpassa PPF till svenskt regelverk (Internrevisorerna, 2005). PPF handlar om syfte, professionalism, oberoende och objektivitet. Internrevisionens syfte är att utvärdera och upptäcka brister i kontroll, styrning och riskhantering och ge förslag på förbättringar till företagsledningen i en konsulterande oberoende roll. Genom olika krite-rier för utvärdering av kontrollprocesser kan internrevisionen upptäcka om målen med kon-trollen har nåtts och effektiviteten i kontrollprocessen är tillfredsställande. Om så inte är fallet skall internrevisionen arbeta med företagsledningen för att förbättra dem. De etiska reglerna som också ryms inom PPF säger att internrevisionen skall vara oberoende från företagsled-ningen och skall även undvika att hamna i situationer där deras arbete och roll kräver att de kan försäkra en process från fel som de tidigare har varit med att utforma (IIA, 2005).
2.2.2 Varför skall bolagen ha en internrevision
Enligt Simons (2000) spenderar företagsledningen normalt lite tid med att designa och överse interna kontrollsystem trots att det är deras ansvar att ta beslut kring detta. De delegerar istäl-let ansvaret till utbildade redovisare eller revisorer som enligt Burch och Sardinas (1978) normalt sett har ett ansvar att rekommendera och ge synpunkter på hur kontrollfunktionen är utformad. Trots detta måste företagsledningen ta ansvaret för en dålig intern kontroll och det ligger på företagsledningen att väga kostnaderna för mer styrning mot nyttan, det vill säga minimeringen av riskerna (Burch och Sardinas, 1978). Chambers et al (1987) menar i sin tur att det finns ett behov från företagsledningen att kunna försäkra sig om att de interna kontrol-lerna fungerar tillfredsställande och ger den information som är nödvändig för att ta beslut. Denna försäkran kan fås genom egna ansträngningar och övervakningar eller genom internre-visionen. Chambers et al (1987) menar att behovet av en internrevision kommer att bli större i situationer som är svåra att kontrollera och där företagsledningen inte själva har kunskapen att
försäkra sig om riktigheten i informationen. Kropatkin (1987) anser att anledningen till att bolagen anställer internrevisorer är för att ge en professionell kritik av de interna systemen.
2.2.3 Internrevisionens betydelse
Enligt Nixon (2005) har internrevisionen under de senaste tio åren fått en allt större betydelse inom bolagen och de ökade kraven på intern kontroll har gjort att företagsledningens förtro-ende för internrevisionsfunktionen är stort och har ökat. I Nixons artikel (2005) påpekar James Paterson, chef för Internrevisionen inom Astra Zeneca, att det krävs en väldigt modig bolagsledning för att inte ta internrevisionens arbete på största allvar i det rådande klimatet. Paterson menar även att en stor skillnad från tidigare är att företagsledningen och även lägre chefer hellre frågar internrevisionen om råd före besluten fattas.
I föregående avsnitt introducerades IIA som en organisation som arbetar med att ge ut stan-dards men de arbetar även med att certifiera internrevisorer för att höja statusen på yrket. Att en certifiering ökar statusen styrks av Chambers et al (1987) som menar att en person med en uttalad profession kommer att få mer respekt inom en organisation eller av kollegorna. Detta eftersom respekten grundar sig på att kunskapen personen har är viktig för organisationen och en profession fungerar då som ett bevis på denna kunskap. En liknelse kan göras med den externa revisionens auktorisation vilket gör att denne anses lämplig att agera för aktieägarna och revidera stora börsbolag.
Införandet av revisionskommittéer, som är ett av kraven i Koden och SOX, kommer troligtvis också öka betydelsen och statusen för internrevisorerna. Att styrelsen inför en revisionskom-mitté betyder att internrevisionsfunktionerna får en speciell enhet inom styrelsen som de kan rapportera till. Revisionskommittén har som uppgift att koordinera revisionen vilket gör att internrevisionen blir direkt underställda dem istället för under den verkställande ledningen. Nackstad (1989) framhöll i en artikel i tidningen att det enda hållbara argument till revisions-kommittéernas fördel är att internrevisorernas status skulle öka genom att de blev mer obero-ende från ledningen.
Trots att internrevisionen spås få en ökad betydelse och starkare ställning inom bolaget kom-mer alltid dess arbete att granskas av de externa revisorerna som i sin revision vill försäkra sig om att internrevisionen är effektiv. Detta eftersom det är de externa revisorerna som har
hu-vudansvaret för att de interna kontrollerna fungerar tillfredsställande och att informationen är korrekt (Smith et al, 1968). Kropatkin (1987) anser att koordineringen mellan interna och externa revisorer ofta misslyckas trots att de har likvärdiga kunskaper och standards. Han menar därför att det är viktigt att företagsledningen förstår vikten av ett nära samarbete. Nackstad (1989) framhåller att det är ofta de externa revisorerna som får ta på sig ansvaret för att resultatet av internrevisorernas arbete får den uppmärksamhet det förtjänar.
För att internrevisionen skall kunna utföra sitt arbete krävs det att de har de resurser som behövs för att kunna utföra internrevisionen på bästa möjliga sätt och det är något som före-tagsledningen och styrelsen ansvarar för. IIA (2005) anser att bolagen har störst nytta med en internrevisionsfunktion som har stora resurser och kompetent personal. En sådan internrevi-sionsfunktion har möjligheten att förse organisationen med värdehöjande tjänster som är kritiska för att öka effektiviteten. Enligt en artikel av Herolf, i tidskriften Agenda (PriceWaterhouseCoopers, 2004), innebär de nya regelverken att bolagen måste utöka sina resurser för intern kontroll vilket leder till att särskilt internrevisionsavdelningarna kommer att behöva utökas. Denna åsikt stöds även av Hult och Bernhardtz (2004) som tror att införan-det, av det som Koden kräver, tar betydande resurser i anspråk och att bolagen i många fall behöver inrätta en internrevisionsfunktion.
2.2.4 Internrevisionens roller
Inom bolaget kan internrevisorn ikläda sig flera olika roller där rollerna som övervakare och rådgivare är de centrala.
Den övervakande och granskande rollen handlar om att se över och utvärdera de interna kon-trollerna enligt den interna revisionsplanen framtagen av revisionskommittén. Woolf (1994) menar även att internrevisionen sätter upp mål för managers och övervakar utfallet det vill säga operationell revision. Rollen som övervakare och granskare kan dock uppfattas olika inom bolaget och enligt Chambers et al (1987) kan det hända att denne uppfattas som en polis av dem han granskar. Vad rollen egentligen ger uttryck för är att överse de interna kontrol-lerna så att de har den effektivitet och riktighet som lagstiftning och bolagsledning kräver. Chambers et al (1987) påpekar dock att internrevisionen aldrig tar över företagsledningens dagliga ansvar för den interna kontrollen och internrevisionen bör inte implementera och använda kontrollsystemen. Enligt dem skiljer sig därför internrevisionen från andra
medlemmar av organisationen som ska implementera sina rekommendationer och sedan utforma system för att upprätthålla dem. Chambers et al (1987) menar också att internrevisionen ofta utför rutinärenden såsom att utföra avstämningar av till exempel betalningar innan de slutförs. Problemet med detta enligt dem är att alla kontroller av rutinärenden som görs av internrevisionen hindrar internrevisionen från att senare utföra en effektiv och objektiv kontroll av dessa avstämningar. Chambers et al (1987) ställer sig därför frågande till hur internrevisionen kan kontrollera det de själva har varit med att utföra.
Utvecklingen av rollen har enligt Chambers et al (1987) gått från att vara redovisnings och finansiellt inriktad till mer operationell. På senare tid har också riskhantering blivit en mycket viktig del av övervakningen och enligt Nixon (2005) fokuserar nu internrevisionen mer på affärsrisker som helhet istället för andra mer specifika frågor. Matyjewicz och D’Arcangelo (2004) menar att internrevisionen främst arbetar med att bestämma och utvärdera risk mana-gement aktiviteter uppsatta för att styra riskerna till en acceptabel nivå och bedöma effektiviteten i dessa aktiviteter. När risker i de interna kontrollerna har identifierats kan internrevisionen gå över till en rådgivande roll där de rekommenderar hur företagsledningen skall angripa problemet (ibid.)
Den rådgivande rollen är kanske den mest intressanta ur internrevisorns perspektiv eftersom de då får chansen att påverka framtida beslut och inte som den traditionella rollen varit mer tillbakablickande. Internrevisionen kan, som en följd av granskningen, rekommendera kon-trollsystem till olika risker (IIA, 2004). Det som skall genomsyra hela arbetssättet är själva oberoendet från ledningen och det har därför diskuterats om internrevisionen verkligen kan ha en rådgivande roll eftersom detta kan påverka oberoendet. IIA har på grund av detta reglerat förhållandet i dess standards där oberoendet har fått en större betydelse (Fraser, 2005). IIA understryker också vikten av objektiviteten som standarden förespråkar och påpekar att det alltid åligger företagsledningen att ta besluten. Även denna konsulterande roll ifrågasätts av Chambers et al (1987) eftersom de menar att objektiviteten blir åsidosatt om internrevisionen är med och rekommenderar kontrollsystem eftersom de sedan skall kontrollera dessa system. Det är inte bara företagsledningen som har nytta av internrevisorns arbete utan även den ex-terna revisorn. Enligt revisionsstandarden RS 610 (FAR, 2003) skall den exex-terna revisorn göra en bedömning av den interna revisionens arbete. Hur mycket externrevisorn kan förlita sig på informationen och arbetet beror på internrevisionens kompetens, objektivitet eller
ställ-ning i bolaget respektive koncernen (ibid). Enligt Bridge och Moss (2003) har de externa revisorerna stor nytta av internrevisionens arbete och de tar denna i beaktande i fråga om vilken typ av kontroll som gjorts, när den utfördes och hur ofta. De påpekar att det är mycket viktigt med ett nära samarbete mellan internrevisor och externrevisor. Kropatkin (1987) är av samma åsikt och betonar att företagsledningen bör se till att internrevisionsfunktionen arbetar effektivt med de externa revisorerna. Enligt honom gör ett effektivt samarbete att den totala revisionen täcker in de väsentliga delarna bättre vilket leder till kostnadsbesparingar och att risken för fel i den finansiella rapporteringen minimeras.
2.2.4 Fokus på internrevision och rollkonflikter
Med en allt större medvetenhet från bolagens sida att det är nödvändigt med en stark intern kontroll har internrevisionens roll utökats markant (Nixon 2005). En allt större fokusering på att implementera de nya ramverken har dock skapat ett problem eftersom tid, pengar och personalbrist gör att internrevisionen får ikläda sig många olika roller (IIA, 2004). En viktig del av kontrollprocessen är själva dokumenteringen som ligger till grund för ledningens undertecknande (Bridge och Moss, 2003). Internrevisionen kan assistera med denna dokumentation i bolaget men det är viktigt att de gör det inom ramen för sitt oberoende. Enligt en artikel från IIA (2004) används också internrevisionen i allt högre grad när olika projekt skall utföras. Deras roll vid dessa är att samverka med projektledare och övervaka att utformningen av kontrollsystem inom det specifika projektet håller den kvalité som den övriga organisationen har.
I tidsskriften Agenda (PriceWaterhouseCoopers, 2003 s18) förklarar Hans Löfgren, specialist på internrevision, varför inte internrevisionen fungerar effektivt i många bolag:
”En värdeskapande effektiv internrevision bygger på ett tätt samspel mellan sty-relse, vd, externrevisorer och internrevisorer. Internrevisorn ska vara obero-ende/objektiv men involverad, många gånger igångsättare av förändringsarbete. Han eller hon ska följa och utvärdera risk management-, kontroll- och