Förändringen av intern kontroll är ett ständigt pågående arbete. Detta eftersom både organisationen i sig och dess omvärld ständigt förändras och utvecklas och den interna kontrollen måste följa med i denna utveckling. Under de senaste 10 åren har kulturen i Stadsmissionen blivit allt mer systematiserad. De hade exempelvis i slutet av 1990-talet cirka tio olika policys med riktlinjer gällande ledarskap, upphandling, personal med mera. Idag har de snarare 30 policys och dessa har mer utvecklade riktlinjer. Detta har lett till mer administrativt arbete för exempelvis mellanchefer,
38
men även till ett bättre stöd för arbetet i organisationen. Det är viktigt att de riktlinjer som finns i organisationen efterlevs, så att de inte bara blir oanvända dokument i någon pärm. (Hagman, 2009)
Hagman påpekar att risken för att drabbas av bedrägerier och oegentligheter egentligen inte är större idag än för hundra år sedan, men kanske på grund av att många organisationer idag är större så är kraven på organisationen och dess interna kontroll också större. Insikten om hur viktigt det är att uppträda förtroendeingivande och transparent mot gåvogivare och uppdragsgivare, samt kravbilden som ställs på organisationen, är faktorer som har förändrats under de senaste tio åren och detta är något som kan förklara den förändring som skett gällande den interna kontrollen. Stadsmissionen har inte själva blivit utsatta för några bedrägerier eller bedrägeriförsök, men de har haft stiftelser där försök till att manipulera system gjorts. (Hagman, 2009)
4.5.1 Kontrollmiljö
Den interna kontrollen i Stadsmissionen består av tre delar och har sin utgångspunkt i COSO-modellen. Dels är det kulturen, vilket respondenten beskriver som den psykosociala attityden, organisationens värdegrund samt dess moralfrågor och människosyn. Det handlar mycket om att skapa en kultur som genererar en god intern kontroll. Den andra beståndsdelen är teknik, till exempel system för attestering och delegering samt regelverk för bland annat beloppsgränser och underskrifter. Den tredje beståndsdelen är medveten reflektion. Det handlar om att göra riskbedömningar för hela verksamheten, både verksamhetsrisker och specifika risker, samt hur organisationen arbetar med dessa. En god intern kontroll handlar om en balans mellan dessa tre beståndsdelar. Syftet med den interna kontrollen är i första hand att förhindra att det ens är möjligt att begå bedrägerier, och i andra hand, om det ändå sker, att det upptäcks så snabbt som möjligt. (Hagman, 2009)
Stadsmissionen har olika instruktioner som anger vad varje funktion ansvarar för. Till exempel har de en styrelseinstruktion som bland annat anger att styrelsen är ytterst ansvarig för den interna kontrollen. Dock är det operativa arbetet med intern kontroll delegerat till organisationens direktor (att jämföra med VD). Det finns även en instruktion för ekonomichefens ansvar, en personalhandbok, en ekonomihandbok med mera. Gällande riktlinjer för de anställda finns det i Stadsmissionen ett stort antal policys. Det finns bland annat en löne- och kompensationspolicy, en personalpolicy, en miljöpolicy samt en arbetsmiljöpolicy. (Hagman, 2009)
På grund av den blandade och breda verksamhet som Stadsmissionen bedriver finns det flera olika riktlinjer för hur bedrägerier hanteras. Deras second hand-verksamhet är ett exempel på en enhet som har en relativt stor omsättning. Inom denna verksamhet är riskbilden speciell, eftersom gåvohantering är en risk. Därför finns det bland annat särskilda riktlinjer för hur gåvor ska
39
hanteras. Om en anställd upptäcker eller misstänker oegentligheter uppmanas de att rapportera till sin närmaste chef alternativt en annan chef. För att förebygga bedrägerier är kulturen viktig. Redan vid rekryteringen läggs vikt vid personens moral, trovärdighet, integritet och dylikt. (Hagman, 2009)
För att kunna behålla medarbetare och utveckla deras kompetens är det nödvändigt att viss utbildning ges, men samtidigt måste det ske utifrån de resurser som finns. Stadsmissionen håller nu på att formulera en kompetensutvecklingspolicy för att nyanställda ska förstå organisationens syn på detta. Stadsmissionen ger årligen cirka fyra-fem utbildningsdagar för enhetschefer, där bland annat den interna kontrollen berörs. Alla medarbetare ges kunskap att kunna bedöma, inom sin enhet, vad som är korrekt handläggning av uppgifter och att kunna hantera fall där så inte sker. (Hagman, 2009)
Stadsmissionen har inte någon särskild intern revisionsfunktion, men det finns vissa granskningskrav på bland annat ekonomi- och personalfunktionen (Hagman, 2009).
4.5.2 Riskanalys
På Stadsmissionen sker riskanalys på alla nivåer, från styrelsenivå till medarbetarnivå, men resonemanget ser lite olika ut. I styrelsen görs riskbedömningar. Ledningen identifierar risker kontinuerligt, och i samband med att verksamhetsplan och budget görs för nästkommande år formuleras dessa risker. Varje enhet har också ett ansvar att identifiera sina specifika risker. (Hagman, 2009)
Gällande riskhanteringsstrategi har Stadsmissionen krisstrategier som anger hur vissa särskilda situationer ska hanteras. Andra riskhanteringsstrategier som de arbetar med är att begränsa åtkomst till kassaskåp och andra tillgångar, samt att upprätthålla och se till att riktlinjer efterlevs. Utvärdering av riskhanteringsstrategier sker löpande, men en större utvärdering sker en gång per år i styrelsen. (Hagman, 2009)
För att identifiera och hantera risken att anställda begår brott arbetar Stadsmissionen med kravprofiler för tjänster, vilka de följer i rekryteringsprocessen. Vissa tjänster ställer högre krav på den anställda än andra, till exempel då kontanthantering är inblandat. Det finns dock riktlinjer för hur personalen ska arbeta med kontanthantering och det sker även slumpmässiga hemgångskontroller från Stadsmissionens butiker. (Hagman, 2009)
4.5.3 Kontrollaktiviteter
Det finns flera typer av ansvarsuppdelningar på Stadsmissionen. De har bland annat delegationsordning och attestordning. Exempelvis ska två personer signera en aktuell faktura, därefter är ytterligare tre personer inblandade vid utbetalning av fakturabeloppet. Ingenting betalas
40
ut om underlag, exempelvis faktura, saknas. Dessutom har de en tydlig ansvarsuppdelning i och med sina instruktioner som klargör vad varje funktion får och inte får göra. Ingen person får både utföra det operativa arbetet och samtidigt granska detta arbete. (Hagman, 2009)
Gällande dokumentation följer Stadsmissionen bokföringslagen, vilket innebär att all dokumentation sparas i tio år. För att minska möjligheten till bedrägeri och förskingring har Stadsmissionen olika metoder för åtkomstkontroll. Inga obehöriga personer har åtkomst till tillgångar, exempelvis arkiverade dokument. Dessutom har de begränsat åtkomsten till system, exempelvis ekonomi- och personalsystem genom personliga lösenord samt begränsningar i behörigheter. (Hagman, 2009)
När det gäller elektronisk data har varje anställd ett personligt lösenord och det finns tydliga regler kring hanteringen av detta. På vissa funktioner krävs även ett personligt kort för att få åtkomst till system med mera. Ett alternativ till detta som Stadsmissionen överväger är att använda fingeravtrycksläsare. (Hagman, 2009)
Stadsmissionen har en inköpspolicy, vilken idag är kort och otillräcklig men under revidering. Ett av problemen de funderar över är hur de rent praktiskt ska göra bakgrundskontroll av uppdragstagare. Ett exempel på hur detta görs är att de tar referenser från stora leverantörer. Dock leder begränsade resurser till att endast begränsade bakgrundskontroller kan göras. Bakgrundskontroller av anställda görs för vissa tjänster. Till exempel begärs utdrag ur belastningsregistret från personer som ska arbeta inom ungdomsverksamhet. (Hagman, 2009) 4.5.4 Information & kommunikation
Stadsmissionens riktlinjer och policys kommuniceras i första hand muntligen. Alla policys ska dessutom finnas tillgängliga skriftligt. I dagsläget har de ett ganska outvecklat intranät så än så länge finns många riktlinjer rent fysiskt tillgängliga i pärmar. Målet är dock att allt ska finnas tillgängligt på intranätet, för att på så sätt säkerställa att informationen är aktuell. Alla anställda har en arbetsrelaterad e-postadress genom vilken de får information. Dock ligger det i Stadsmissionens kultur stort fokus vid det fysiska mötet. Grundprincipen är att alla medarbetare ska kunna kontakta organisationens direktor utan att blockeras av sekreterare eller liknande. Dessutom hålls regelbundet, cirka två gånger per år, mötestillfällen med öppen dagordning, där medarbetare kan framföra synpunkter och får möta ledningen. (Hagman, 2009)
Därutöver finns möjligheten för de anställda att ta upp frågor med någon annan än sin närmaste chef om de misstänker oegentligheter inom den egna enheten. Dessutom diskuteras just nu införandet av en tydligare ”whistleblower-funktion”, där anställda ska ges ytterligare möjligheter att anonymt och tryggt kunna rapportera misstankar, exempelvis till organisationens externa revisorer. (Hagman, 2009)
41 4.5.5 Övervakning & uppföljning
Det är styrelsen som är ytterst ansvarig för den interna kontrollen och direktorn som har det operativa ansvaret. Dessutom har ekonomichefen, personalchefen samt revisorerna ett särskilt granskningsansvar. De externa revisorerna gör årligen en utvärdering av kontrollen. (Hagman, 2009)
Oegentligheter eller brister i kontrollen som upptäcks rapporteras till styrelsen och revisorerna samt till den aktuella enheten. Genom att följa upp avvikelser och reflektera över hur organisationen i stället bör göra säkerställs att den interna kontrollen fungerar och utvecklas. Förutom den årliga revideringen av den interna kontrollen är det viktigt att ständigt reflektera över den. (Hagman, 2009)
42
5 Analys
Undersökningen görs för att utreda hur fem svenska insamlingsorganisationer arbetar med intern kontroll, med huvudsaklig fokus på att förhindra bedrägerier. De intervjuade organisationerna ser olika ut till storlek och struktur, detta påverkar naturligtvis hur den interna kontrollen ser ut och vilka delar som är viktiga att fokusera på i respektive organisation. De är alla biståndsorganisationer med insamlingsverksamhet i någon omfattning. Däremot skiljer sig deras verksamhet åt på många sätt, och även upplägget på finansieringen av denna. Childhood skiljer sig åt från de andra organisationerna då de inte bedriver insamling från privatpersoner utan de finansierar sin verksamhet genom insamlingsavtal med företag och organisationer. Läkare Utan Gränser och Stadsmissionen är själva delaktiga i den verksamhet de samlar in pengar för, vilket innebär att de följer pengarna genom hela kedjan, från insamling till ändamål; de övriga organisationerna arbetar på annorlunda sätt. Childhood finansierar projekt genom samarbetsavtal med lokala organisationer i olika länder. Organisation X skickar sina insamlade medel vidare till sin internationella moderorganisation som sedan bedriver verksamhet utomlands. Barncancerfonden fördelar huvuddelen av sina pengar till projekt och organisationer som arbetar med forskning om barncancer. Viktigt är också att vara medveten om att organisationernas storlek skiljer sig åt väsentligt. Stadsmissionen är i fråga om antal anställda den största av de intervjuade organisationerna, med närmare 300 anställda. Childhood är en liten organisation med endast åtta anställda. Dessa faktorer kan tänkas påverka hur organisationerna arbetar med intern kontroll.
5.1 Kontrollmiljö
Flera av intervjurespondenterna framhäver organisationens kultur som en viktig och grundläggande del i den interna kontrollen. På grund av verksamhetens art i insamlingsorganisationer, faller det sig naturligt att de anställda är personer med liknande värderingar och som brinner för organisationens ändamål. Detta medverkar sannolikt till att kulturen i dessa organisationer är starkare än i andra typer av organisationer. Utöver kulturen är den viktigaste delen i kontrollmiljön de policys som finns för att klargöra och underlätta arbetet och kontrollaktiviteterna i organisationen. Både Stadsmissionen och Läkare Utan Gränser har ett stort antal policys som reglerar deras verksamhet och deras policys har blivit allt mer omfattande och formaliserade. Detta är sannolikt något som sker i de flesta organisationer. Många av de svenska insamlingsorganisationerna har vuxit de senaste åren och fortsätter att växa, vilket kan tänkas öka risken för bland annat bedrägeri. Följaktligen ökar även behovet av intern kontroll.
Enligt teorin bör organisationerna ha tydligt utformade policys för vilka regler som gäller inom organisationen. Detta är vanligt förekommande i de organisationer som intervjuats.
43
Dock verkar de större organisationerna i högre utsträckning ha formaliserat dessa policys medan det hos exempelvis Childhood förekommer informella policys. Detta är dock naturligt då en mindre organisation ofta har en mer platt och informell organisationsstruktur, vilket gör att riktlinjer och andra instruktioner lättare kan kommuniceras muntligen mellan ledning och medarbetare. Ju större organisationen blir, desto större blir behovet av formella och skriftliga riktlinjer. Detta bekräftas av Stadsmissionen som, till följd av deras tillväxt, sett ett behov av en mer systematiserad intern kontroll och kultur. När FRIIs kvalitetskod nu börjat gälla kommer troligtvis fler organisationer att formalisera sina policys då det i koden bland annat finns krav på policys/riktlinjer för anställda samt uppförandekod. Enligt informanten på KPMG är det viktigt att organisationerna har någon form av bedrägeripolicy, vilket enligt honom ofta saknas i svenska insamlingsorganisationer. Detta bekräftas av de flesta av våra respondenter, förutom av Stadsmissionen som bland annat har policys för hur mottagning av gåvor ska ske i deras butiker. Organisation X anger att de följer sin internationella moderorganisations riktlinjer gällande bedrägerier.
Utbildning och kompetensutveckling är en viktig del av kontrollmiljön. Det varierar dock hur stor vikt de intervjuade organisationerna lägger vid detta. Childhood har hittills inte haft någon strukturerad kompetensutveckling för medarbetare. De har i stället lagt stor vikt vid att rekrytera personer med rätt kompetens och de lägger ett stort ansvar på de anställda att själva hålla sig uppdaterade om aktuella frågor. Organisation X har inte någon generell utbildningsplan, eftersom arbetsuppgifterna varierar. Kompetensutveckling bestäms istället i samråd med närmaste chef. Även denna organisation lägger stor vikt vid att redan från början rekrytera personer med rätt kompetens för att undvika behov av omfattande utbildningar. Detta är förvisso förståeligt, men på grund av den föränderliga värld organisationerna agerar i kan det vara en god idé att även fokusera på kompetensutveckling. Dessutom kan detta vara ett bra medel för att attrahera och behålla duktiga medarbetare. Det är självklart också en fråga om resurser, vilket respondenten på Stadsmissionen påpekar. De håller just nu på med att utveckla en policy angående kompetensutveckling, och det är något som de lägger relativt stort fokus på. Dock kan detta sannolikt ha att göra med deras storlek, och kanske även organisationens ålder. Stadsmissionen är en både större och äldre organisation än de övriga intervjuade organisationerna. Utifrån dessa förutsättningar kan det även antas vara så att det är viktigare för Stadsmissionen att utbilda personal i att upptäcka bedrägerier, eftersom risken för att utsättas för detta torde vara större ju fler människor som är involverade i en organisation. Gällande utbildningar för att upptäcka bedrägerier arbetar Organisation X inte på något systematiskt sätt. Inte heller Läkare Utan Gränser eller Barncancerfonden har någon systematisk utbildning i att upptäcka bedrägerier. Däremot arbetar de på olika sätt med FRIIs kvalitetskod som en förebyggande åtgärd. På Läkare Utan Gränser deltar både styrelsen och anställda vid kurser och
44
utbildningar som anordnas av FRII. På Barncancerfonden anordnas regelbundet en genomgång för de anställda om innehållet i FRIIs kvalitetskod och även exemplifieringar av detta.
Internrevision är enligt FAR SRS en viktig del av kontrollmiljön. Flera av respondenterna har ett visst granskningsansvar inom sin funktion, men någon uttalad internrevisionsfunktion finns ofta inte. Detta kan tänkas bero på att flera av de intervjuade organisationerna är relativt små. Även kravet från SFI på att maximalt 25 procent av intäkterna får användas för administration, begränsar organisationernas möjligheter till omfattande internrevision. Det kan också vara på grund av att organisationerna anser att behovet av internrevision tillfredsställs genom den granskningsroll som exempelvis ekonomichefen innehar. Frågan är om nyttan med en formell internrevisionsfunktion skulle överstiga dess kostnad. Inte minst med tanke på att det är svårt att granska den egna verksamheten, framförallt i mindre organisationer. Detta är en avvägning som varje organisation måste göra. Huvudsaken är att det inom organisationen föreligger en medvetenhet kring granskning av verksamheten.
5.2 Riskanalys
De intervjuade organisationerna arbetar på olika sätt med riskanalys. Läkare Utan Gränser tar viss hjälp av sina revisorer för att ta fram en riskanalys. Barncancerfonden har inget systematiskt sätt att identifiera och analysera sina risker, men de har nyligen anlitat en extern konsult för att kartlägga riskerna. En fördel med extern hjälp är att det är lätt att missa risker i den egna verksamheten, på grund av att man är för ”hemmablind”. Detta är något som både Läkare Utan Gränser och Barncancerfonden lyfter fram under respektive intervju. Childhood gör dels en riskanalys för varje projekt och dels sker det en årlig riskutvärdering av hela organisationen. Organisation X arbetar med riskanalys i enlighet med riktlinjer från den internationella moderorganisationen, som har en riskhanteringsfunktion för att säkerställa att alla landkontor identifierar sina risker. På Stadsmissionen sker riskanalyser på alla nivåer i organisationen, även om de görs på olika sätt. Att metoder för riskanalys, och hur ofta de görs, varierar är något som sannolikt har sin grund i de olika organisationernas varierande struktur och verksamhet. Alla organisationer bör aktivt arbeta med riskanalys; detta bör dock ske utifrån deras egna förutsättningar, vilka resurser de har samt vilka processer som antas vara mest väsentliga eller riskfyllda. Stadsmissionen verkar ha de tydligaste riktlinjerna och den mest strukturerade arbetsfördelningen för riskanalys. Det är svårt att identifiera alla möjliga risker och det kan vara kostsamt att försöka. Det är ändå viktigt att reflektera över organisationens situation för att öka medvetenheten om tänkbara risker.
För att kunna hantera de identifierade riskerna bör organisationerna även ha en uttalad riskhanteringsstrategi. De intervjuade organisationerna har strategier för olika typer av risker. Det är
45
svårt att föra en generell diskussion kring riskhanteringsstrategier då alla organisationer står inför olika risker och aldrig kan förutse allt som kan tänkas inträffa. Alla organisationer bör dock tänka igenom möjliga riskhanteringsstrategier. En övergripande reflektion ökar organisationens medvetenhet; att de är förberedda och kan hantera olika situationer.
5.3 Kontrollaktiviteter
Det finns en mängd olika kontrollaktiviteter som organisationer kan arbeta med i sin interna kontroll. Enligt analysmodellen kan dessa delas in i fem olika kategorier. Den första handlar om ansvarsuppdelningar och segregering av viktiga arbetsuppgifter. Alla de intervjuade organisationerna har noggranna rutiner för attestering. Vanligast är att minst två personer godkänner fakturor med mera innan utbetalning. Dessutom bör olika personer bokföra och stämma av samma konto. Detta kan ses som en självklarhet och det är inte överraskande att samtliga organisationer har dessa rutiner. På Stadsmissionen är denna rutin än mer komplex. Det är minst fem personer som vanligtvis är involverade då en faktura ska betalas, vilket borde säkerställa att det inte uppstår problem i samband med denna. En annan vanlig kontrollaktivitet är att ha en beloppsgräns, där utbetalningar och dylikt över detta belopp kräver generalsekreterarens (eller jämförande rolls) godkännande. På Läkare Utan Gränser är detta belopp satt till 5 000 kronor, vilket är en medvetet lågt satt gräns. Som jämförelse har Organisation X denna gräns bestämd till 50 000 kronor.
Att begränsa åtkomsten till system, databaser och fysiska tillgångar är en viktig kontrollaktivitet i arbetet med att förhindra stöld och bedrägerier, och de intervjuade organisationerna har alla metoder för detta. På samtliga intervjuade organisationer har varje anställd ett personligt lösenord och begränsad åtkomst till system och program som de inte behöver ha tillgång till i sina arbetsuppgifter. Endast en av organisationerna, Läkare Utan Gränser, nämner att deras elektroniska data skyddas av virusprogram. Sannolikt beror detta dock inte på att de andra organisationerna saknar virusskydd, utan att det idag anses som en självklarhet.
Den sista punkten i den teoretiska modellens avsnitt om kontrollaktiviteter behandlar förebyggande åtgärder. Detta innebär till exempel bakgrundskontroller av anställda och uppdragstagare. Det är varierande i vilken grad organisationerna i undersökningen använder sig av dessa typer av förebyggande åtgärder. Barncancerfonden utför en mindre kontroll av uppdragstagare, men ingen av personer som ska anställas. Childhood tar referenser från samarbetspartners tidigare arbeten och gör bakgrundskontroller av anställda. Respondenten på Läkare Utan Gränser påpekar att de väljer att tro det bästa om sina anställda, varför de till exempel inte begär utdrag ur belastningsregistret. Vidare väljer de att samarbeta med stora och för dem välkända företag bland annat för att undvika problem med osäkra leverantörer. Att de väljer att tro
46
gott om personer är enligt teorin en av anledningarna till att insamlingsorganisationer utsätts för bedrägerier. Detta kan göra att personer med syfte att begå brott dras till denna typ av organisationer. Det kan därför tänkas vara en god idé att göra noggrannare kontroller av anställda