Örebro universitet Handelshögskolan
Företagsekonomi C, Uppsats 15hp Handledare: Magnus Frostenson Examinator: Jan Greve
HT11 2012-01-09
Intern kontroll i praktiken
- en fallstudie
Johannes Axelsson, 860102 Emil Hedén, 860417 Håkan Sjölinder, 860327
Abstract
The need for effective internal control within companies has increased, due to the corporate scandals that have occurred in recent years. Several laws and frameworks have evolved to make sure that management is acting according to the desire of the shareholders. Although internal control is a widely used term, a lot of people find it hard to define what it actually means and how it should be implemented. The purpose of this paper is therefore to describe how the practical work with internal control is carried out and in this way we could contribute to a better understanding of the term. We conducted a case study, where three persons were interviewed and who all were involved in the company’s work with the internal control. We were also handed a couple of documents who, to some extent, complemented the information that the interviews generated. The study shows three different conclusions, where the first one is that the work with internal control more or less affects people at all levels of the company, since most parts of the company is being controlled. The second conclusion is that it is important to understand that identification of risks in the existing structures is the foundation for internal control. Finally the study also concludes that the control process should be continuously monitored and evaluated to ensure that it has had the desired effect.
Innehållsförteckning
1. Inledning………...3
1.1 Problemdiskussion………..3
1.2 Syfte………5
1.3 Frågeställningar………...5
1.4 Varför intern kontroll?...5
2. Teoretisk Referensram………6
2.1 Vad är intern kontroll?...6
2.2 Befintlig forskning inom intern kontroll-området………...9
2.3 Agentteorin………...12
3. Uppsatsens tillvägagångssätt………15
3.1Forskningsstrategi och -design……….15
3.2 Litteratursökning……….17
3.3 Metod för insamling och bearbetning av data……….17
3.4 Metodkritik………..18 3.5 Fallbeskrivning………19
4. Empiri……….21
4.1 Riskanalys………21 4.2 Ledningens ansvar………22 4.3 Mål och kontroll………...224.4 Beställningar och kundorders………...24
4.5 Attester……….26 4.6 Finansiell kontroll………26 4.7 Operativ kontroll………..27
5. Analys……….30
5.1 Riskanalys.………...30 5.2 Ledningens ansvar...……….30 5.3 Mål och kontroll………...315.4 Beställningar och kundorders………...32
5.5 Finansiell kontroll………32
5.6 Operativ kontroll...………...33
5.7 Övergripande process för intern kontroll...………..33
6. Slutsats………35
6.1Slutsatser & diskussion……….35
6.2 Förslag på fortsatt forskning………37
7. Källförteckning………..39
Appendix: Förkortningar……….42
Bilaga 1: Intervjuguide
3
1. Inledning
I detta inledande avsnitt beskriver vi först bakgrunden till varför det är intressant att studera intern kontroll. Denna bakgrund mynnar ut i en problematisering av begreppet intern
kontroll, som sedan resulterar i syfte och frågeställningar.
1. 1 Problemdiskussion
Under 2000-talets inledning inträffade ett antal händelser som påverkade allmänhetens förtroende för näringsliv och kapitalmarknader. Företagsskandaler, både utomlands och i Sverige, avslöjades till följd av att ledande befattningshavare på olika sätt utnyttjade sin makt på aktieägarnas bekostnad. Ett exempel på detta är Enronskandalen där aktieägarna förlorade enorma pengar efter att företaget gått i konkurs till följd av att ledningen under ett antal år bland annat manipulerat redovisningen, och själva tjänat stora summor pengar. Till följd av dessa skandaler har efterfrågan på god bolagsstyrning ökat och speciellt inom börsnoterade bolag, där ägandet är spritt, är frågan av högt allmänintresse (SOU 2004-47). För att skapa en god bolagsstyrning är effektiv intern kontroll en viktig faktor, och således har regler för ökad intern kontroll arbetats fram, både i Sverige och utomlands (FAR Förlag, 2006).
I USA resulterade dessa skandaler i att den amerikanska kongressen år 2002 godkände den så kallade Sarbanes-Oxley act, ett regelverk som syftar till att skärpa bolagsstyrningen och den interna och externa revisionen för att återupprätta förtroendet för näringslivet (Moeller, 2004). Även i Sverige har de skandaler som förekommit och som skadat förtroendet för näringsliv och kapitalmarknader, förklarats med brister i bolagsstyrningen (Skog, 2005). Till följd av detta lanserades i slutet av år 2004 den svenska koden för bolagsstyrning i syfte att öka förtroendet för svenska bolag och främja företagens förmåga att locka till sig investerare. Koden ställer bland annat ökade krav på arbetet med den interna kontrollen för att uppnå en förbättrad och mer effektiv bolagsstyrning. Det är enligt koden styrelsen som har ansvaret för att ett tillfredsställande system för intern kontroll finns i företaget. (Skog, 2005)
I Sverige har många företag haft problem med implementering av intern kontroll och många frågor har funnits kring hur arbetet med den interna kontrollen bör gå till. Detta har lett till att Svenskt näringsliv tillsammans med FAR har framfört en vägledning om hur företagen kan arbeta med och rapportera den interna kontrollen, rådet som gavs var att använda ett ramverk för intern kontroll, som till exempel COSO för att underlätta implementeringen. (Pwc, 2008)
4 Under 1980- och 1990-talen utvecklade The committee of sponsoring organizations of the Treadway commission (COSO) ett ramverk för god intern kontroll, Internal control-integrated framework, som lanserades 1992 och som sedan dess fått stort genomslag. COSOs definition av intern kontroll är:
”Intern kontroll är en process som påverkas av styrelsen, bolagsledningen och annan personal, och som utformats för att ge en rimlig försäkran om att bolagets mål uppnås inom följande kategorier:
Ändamålsenlig och effektiv verksamhet. Tillförlitlig finansiell rapportering.
Efterlevnad av tillämpliga lagar och förordningar. (FAR Förlag, 2006)
En god intern kontroll innebär alltså att företaget har kontroll över sina affärskritiska risker, vilket påverkar möjligheten att nå uppsatta mål. Den interna kontrollen är inget mål i sig utan en process för att uppnå en framgångsrik verksamhet med en tillförlitlig finansiell
rapportering som följer lagar och regler. (FAR Förlag, 2006)
Enligt Moeller (2004) är intern kontroll ett begrepp som ofta används, trots att många
företagsledare har svårt att definiera vad det egentligen innebär. När företagsledare får frågan om de kan definiera vad god intern kontroll innebär blir ofta svaren:
God intern kontroll innebär att allt är väldokumenterat. God intern kontroll innebär stark säkerhet.
God intern kontroll innebär att debet är lika med kredit.
Alla dessa svar är dock endast delar av vad god intern kontroll innebär. Intern kontroll kan också bidra till förvirring i företagen på grund av missförstånd och skillnader i förväntningar eftersom intern kontroll ofta uppfattas olika från person till person (COSO, 1994).
Även om det finns tidigare forskning kring intern kontroll är det få som har behandlat frågan om vad företag i praktiken gör när de arbetar med intern kontroll, alltså hur själva processen ser ut.
5
1.2 Syfte
Syftet med denna uppsats är att beskriva hur det praktiska arbetet med intern kontroll går till i ett företag. På så sätt skulle vi kunna bidra med en ökad förståelse för intern kontroll.
1.3 Frågeställningar:
Hur har den interna kontrollen utformats? Hur sker arbetet med den interna kontrollen?
1.4 Varför intern kontroll?
Debatten om bolagsstyrning kommer ursprungligen från USA eftersom att det var i det
amerikanska näringslivet som en specifik ägarstruktur utvecklades. Denna ägarstruktur brukar anses ligga till grund för bolagsstyrningsproblemet. Det var i slutet på 1800-talet och början på 1900-talet som nya storföretag börsintroducerades för att på så sätt skapa en bredare ägarkrets. Efter börsintroduktionen fick företagen en mer spridd ägarstruktur, vilket också ledde till att ägandet och ledningen gick isär. Med denna avskildhet dök också ett problem upp, en intressekonflikt uppstod mellan ägare och ledning som berodde på att det nu fanns en risk att ledningen inte skulle agera enligt aktieägarnas vilja. (Skog, 2005) Debatten om detta problem startade i USA under 1930-talet och handlade då om hur systemet av ägare,
institutioner och regler skulle utarbetas för att minska denna intressekonflikt (även kallad principal-agent problemet). Syftet med detta var att få ledningen att, i så stor utsträckning som möjligt, agera för aktieägarna. (Skog, 2005) Bolagsstyrningen syftar till att säkerställa att bolag drivs så att de skapar värde för ägarna på ett så tillfredställande sätt som möjligt, och fokuserar även på att påverka bolagsledningens beteende och genom dem, resten av bolaget (Merchant & Van der Stede, 2007). Ett sätt att förbättra bolagsstyrningen är att styrelsen utvecklar och implementerar lämpliga rutiner för intern kontroll i aktieägarnas intresse (Skog, 2005).
6
2. Teoretisk Referensram
I detta avsnitt fördjupar vi oss i, för vår uppsats, lämpliga teorier och modeller. Först ger vi en beskrivning av vad intern kontroll är och vad det kan innebära i ett företag. Här ger vi också en närmare beskrivning av vad COSO-ramverket innefattar. Efter detta presenterar vi
ett antal forskningsresultat som på olika sätt behandlar intern kontroll. Slutligen beskrivs agentteorin som kan kopplas till vår problematisering kring intern kontroll.
2.1 Vad är intern kontroll?
En god intern kontroll är något som är essentiellt för samtliga organisationer. Rätt hanterad kan den bidra till att ett företag får större förtroende från sina intressenter, skapa effektivare processer och undvika att kostsamma fel begås. (FAR Förlag, 2006) Synen på begreppet intern kontroll har förändrats över tiden. Förr begränsades begreppet till att vara ett sätt för en organisation att minska risken för felaktigheter vad gäller dess bokföring och finansiella rapportering. Utöver detta krävs numera att god intern kontroll ska kunna skydda ägarnas investeringar genom att möjliggöra att betydande risker inom företagets operativa och finansiella verksamhet hanteras effektivt. (Styf, 2011)
Som vi tidigare nämnt ser COSO intern kontroll som ”en process som påverkas av styrelsen, bolagsledningen och annan personal, och som utformats för att ge en rimlig försäkran om att bolagets mål uppnås inom följande kategorier:
Ändamålsenlig och effektiv verksamhet Tillförlitlig finansiell rapportering
Efterlevnad av tillämpliga lagar och förordningar”. (FAR Förlag, 2006)
Utöver att säkerställa de finansiella rapporterna kan intern kontroll hjälpa en organisation att uppnå sina resultat- och lönsamhetsmål och förhindra förlust av resurser. Dessutom kan det bidra till att säkerställa att företaget följer lagar och förordningar, för att på så sätt undvika att skada sitt rykte. Sammanfattningsvis kan det hjälpa en organisation att undvika
överraskningar och fallgropar för att på så sätt nå sina mål. (COSO, 1992)
The Institute of Internal Auditors – Sweden förklarar de grundläggande principerna för intern kontroll på följande sätt:
7 ”Intern kontroll är en process. Det är ett medel på vägen mot ett mål, inte ett mål i sig.
Intern kontroll utförs av människor. Det är inte bara manualer och formulär, utan människor på alla nivåer i en organisation.
Intern kontroll kan endast förväntas åstadkomma rimlig säkerhet, inte absolut säkerhet, till en styrelse och ledning avseende måluppfyllelsen.
Intern kontroll syftar till måluppfyllelse.” (IIA, 2011)
Som tidigare nämnts är The Committee of Sponsoring Organizations of the Treadway
Commission (COSO) och dess ramverk det som fått det största erkännandet vad gäller arbete med intern kontroll (FAR Förlag, 2006). Målen med detta ramverk är att uppnå tillförlitliga finansiella rapporter, ändamålsenlig och effektiv verksamhet samt efterlevnad av tillämpliga lagar och förordningar. Ramverket är användbart både vad gäller finansiell rapportering och i allmänna affärssammanhang och är dessutom avsedd att vara applicerbar i alla typer av företag. (Dickins & Houmes, 2011)
Enligt COSO-ramverket består intern kontroll av fem olika delar, där kontrollmiljön är den mest grundläggande eftersom det är den som ledningen/styrelsen arbetar utifrån. De övriga delarna är riskbedömning, kontrollaktiviteter, system för informationsspridning samt uppföljning och övervakning. (FAR Förlag, 2006) Alla dessa delar av ramverket är sammankopplade och bildar tillsammans ett integrerat system som dynamiskt reagerar på ändrade förhållanden. (COSO, 1992)
Effekten av hela ramverket kommer att bero på ledningens engagemang i att bygga upp och bibehålla en miljö som främjar kompetens och integritet samt att ha förmåga att identifiera risker och implementera kontroller som kan stävja dessa risker (Dickins & Houmes, 2011). Utöver de viktiga faktorer som nyligen nämnts innefattar kontrollmiljön även bland annat etik, ansvarsfördelning och organisatorisk uppbyggnad. Dessa faktorer påverkar företagets kontrollmedvetande och påverkar på så sätt även de övriga fyra delarna. (FAR Förlag, 2006) Efter grundandet av en stark kontrollmiljö bör företaget försöka identifiera och mäta de risker som företaget möter om man inte uppnår målen för finansiell rapportering och de
organisatoriska mål som fastställts. Vad gäller mål för finansiell rapportering innebär detta att producera finansiella rapporter som stämmer överens med de standards och lagar som
8 företaget följer. (Dickins & Houmes, 2011) I övrigt tas här särskild hänsyn till risker som innebär att en utomstående part obefogat har gynnats på bekostnad av företaget, risk för att företaget gör förlust samt risk för förskingring av tillgångar. (FAR Förlag, 2006)
Nästa steg enligt COSO-ramverket är att inrätta interna kontroller för att dämpa effekten av de identifierade riskerna. Valet av vilka kontroller som ett företag ska använda bör göras på grundval av ledningens tolerans för, och avsedda reaktion på, risk. De enstaka
kontrollaktiviteterna bör vara utformade för att antingen förhindra, upptäcka eller korrigera. (Dickins & Houmes, 2011) Medan de samlade aktiviteterna tillsammans bör uppfylla alla dessa kriterier. Mer konkret kan det till exempel handla om upprättande av policydokument, attestrutiner, uppföljning av resultat, systemutveckling och underhåll av applikationer. (FAR Förlag, 2006)
Alla delar i COSO-ramverket påverkas av hur effektiva och tidsenliga de informations- och kommunikationsstrategier som ett företag använder sig av är. (Dickins & Houmes, 2011) Detta innebär att företaget måste identifiera, registrera och bearbeta information som är relevant för att kunna bibehålla en god intern kontroll. Denna information bör sedan kommuniceras inom företaget genom till exempel interna policys och riktlinjer. Detta kan göras möjligt genom till exempel utbildning och utveckling av intranät. (FAR Förlag, 2006) Kommunikation av relevant information är dessutom viktig för att de anställda ska kunna utföra sina uppgifter på ett korrekt sätt. Det handlar inte endast om internt genererad information utan även om externa händelser, aktiviteter och villkor som har betydelse för beslutsfattandet i organisationen. (COSO, 1992)
När sedan kontrollaktiviteterna är upprättade måste de övervakas för att säkerställa att de verkar ändamålsenligt och effektivt. Övervakningsaktiviteter måste dessutom vara utformade för att säkerställa att förändringar som sker i organisationens interna och externa miljöer också återspeglas som förändringar i riskbedömning och i organisationens kontrollaktiviteter. (Dickins & Houmes, 2011) Utöver övervakning är det också viktigt att uppföljning sker kontinuerligt. Denna uppföljning görs på alla nivåer i företaget, från toppen till botten. Detta kan göras genom självutvärderingar, chefers löpande uppföljning samt styrelsens regelbundna övervakning av den finansiella rapporteringen. (FAR Förlag, 2006) Genom uppföljning kan områden i behov av förbättring upptäckas, som företagen sedan kan bearbeta. (COSO, 1992)
9 Figur 1. COSO-ramverket (källa: ENISA, 2011)
2.2 Befintlig forskning inom intern kontroll-området
Nedan presenteras kortfattat resultat som tidigare forskning har lett fram till i ämnet intern kontroll. Det finns ett antal frågor som rör intern kontroll och därmed är forskningen inom ämnet mångfacetterad. Vi har valt ut ett antal intressanta forskningsresultat som ger en bild av hur tidigare forskning har sett ut.
Franck & Sundgren (2010) genomförde en studie i syfte att undersöka hur noterade bolag i Sverige har satsat på intern kontroll och samtidigt utreda hur företagen bedömer nyttan av den interna kontrollen. Dessutom försökte författarna att göra en bedömning av olika trender inom området. De kom fram till att intern kontroll har varit ett prioriterat område för de berörda företagen under de senaste åren och att företag i framtiden kommer att lägga ner ännu mer resurser i arbetet med intern kontroll. Företagen anser att risken för fel i den finansiella rapporteringen har minskat, vilket i sin tur leder till att investerare lockas till företagen på grund av den ökade kontrollen över finanserna.
I en avhandling från 2011 skriver Styf om styrelsens ansvar för den interna kontrollen i syfte att öka kunskapen och förståelsen för innebörden av ansvaret. Resultatet visar bland annat att tillit och samarbete mellan styrelse och ledning utgör grunden för styrelsens övervakning av den interna kontrollen, vilket enligt författaren strider mot agentteorins argument för varför kontroll är nödvändigt i ett företag. Organisationer försöker enligt Styf (2011) skapa en god intern kontroll genom att tillsammans arbeta fram en effektiv företagskultur. Vidare krävs mer arbete med att utveckla styrelsen ansvar. För att ge ägarna en god uppfattning om strukturen av den interna kontrollen behöver styrelsen utveckla internkontrollrapportering som för tillfället är alltför allmängiltig. En tydligare handledning från normgivare och ökad kompetens om intern kontroll hos styrelsemedlemmarna är något som efterfrågas för att styrelsen ska kunna ta fullt ansvar i företagen och därmed skapa en tillfredsställande intern kontroll.
10 Avslutningsvis konstateras det att införandet av revisionsutskott har underlättat arbetet med den interna kontrollen då styrelsen fått större möjlighet att fördjupa sig.
Resultaten av en undersökning visade att risken för bedrägerier minskar i organisationer vid förekomst av effektiva revisionsutskott och internrevisorer. Även ledningens agerande som förebilder, etiska riktlinjer och policys är viktiga för avsaknaden av bedrägerier. Dessutom visade resultaten att revisorstyp, revisorers tidigare upptäckter av bedrägerier och att förekomsten av orena revisionsberättelser inte är av större vikt. (Law, 2011)
I en undersökning fann forskarna att lönsamheten av insiderhandeln är högre i företag med ineffektiv intern kontroll över den finansiella rapporteringen. Samtidigt visade resultaten att lönsamheten för insiders är ännu större i företag styrda av insiders som i högre grad agerar för eget intresse, mätt genom en svag ”tone at the top”. (Skaife, et al., 2011)
Hellman (2011) hade för avsikt att undersöka i vilken utsträckning som finanschefer för börsnoterade bolag försöker påverka revisionsplaneringen, vad det är de försöker påverka och hur de försvarar sitt försök att få inflytande. Han kom fram till att finanschefer söker
inflytande över revisionsplaneringen eftersom de har nytta av revisionsarbete som handlar om intern kontroll och att de dessutom känner sig berättigade till inflytande. Det var just
planeringen gällande intern kontroll som cheferna främst försökte skapa sig inflytande över och dessutom hur omfattande revisionen skulle vara och vilka enheter som skulle omfattas av den.
I en studie av Arwinge och Munkby som genomfördes 2011, kartlägger författarna brister i intern kontroll inom finansiell sektor med hjälp av Finansinspektionens beslut. De observerar att bristerna har ökat de senaste åren, vilket förklaras med att vikten av god intern kontroll ökat och att detta reflekteras i ändringar av lagstiftning och normgivning. Resultaten visar att funktionerna för riskhantering, compliance och styrelse/förvaltning är de mest förekommande bristerna. Bristerna bestod till största del av avsaknad eller en underutvecklad funktion för riskkontroll och compliance. Dessutom var policys obefintliga eller inte tillräckligt
omfattande. När det gäller styrelsen/förvaltningen låg bristerna exempelvis i otydligt beslutsfattande, ifrågasatta rutiner vid fastställande av instruktioner, ett lågt deltagande och låg frekvens på möten. Även att påträffade fel ignorerats såg som en stor brist.
En annan studie hade som syfte att undersöka frågor kring internrevisionens mål och funktion samt i vilken utsträckning internrevisionen riktar fokus mot risker i den finansiella
11 rapporteringen. Studien visade att det fanns en brist på samband mellan de uppgifter som internrevisorerna utför och internrevisionens vitala mål, med undantag för den interna kontrollen och riskhanteringen. För att internrevisorerna ska kunna bidra till god
bolagsstyrning på ett förebyggande sätt, måste de definiera hur och på vilket sätt detta kan utföras. Utöver detta visar studien också att problem kring intern kontroll, riskbedömning och ledningsprocesser kan ses som nyckelfaktorer för att internrevision ska bidra till god
bolagsstyrning. (Leung, et al., 2011)
I en artikel skriver Ionescu att de fem komponenterna i COSO’s ramverk måste fungera tillsammans för att uppnå en effektiv intern kontroll och därmed ge en rimlig försäkran om att organisationens mål uppnås. Det krävs dessutom att enskilda utvärderingar av systemet görs efterhand för att bibehålla kvaliteten i den interna kontrollen. Avsaknad av övervakning av någon av de fem komponenterna skulle kunna vara förödande för företaget, då deras specifika funktion kan förändras över tid. (Ionescu, 2011)
Arwinge (2010) skriver i sin licentiatavhandling att utformningen av interna kontrollsystem är beroende av både interna och externa variabler. Han nämner att företagsstorlek, grad av osäkerhet i omgivningen, regulatoriska förhållanden och bolagets mål och strategier kan vara sådant som styr utformningen. Dessutom är styrelsens riskaptit och ledningens inställning till kontroll och risk ytterligare variabler. För att kunna utforma effektiva kontroller ligger det i företagets intresse att skapa kompetens inom intern kontroll. (Arwinge, 2010) Vidare undersöker Jokipii (2010) i en studie av 741 finska företag, sammanhanget i vilket företag bedriver sin verksamhet, med avsikt att hitta faktorer som påverkar strukturen av den interna kontrollen och vad som är viktig för att uppnå en effektiv kontroll. Resultaten pekar på att framförallt hög risk i omgivningen och strategin är faktorer som företag anpassar sig till vid utformningen av interna kontroller.
Som beskrivits ovan finns det en omfattande forskning som på ett eller annat sätt berör ämnet intern kontroll. En stor del av den forskning som vi funnit har visat att det är olika faktorer som avgör hur intern kontroll bör utformas. Den visar även att företagen har nytta av intern kontroll och att arbetet med intern kontroll kommer att kräva ännu mer resurser i framtiden. Forskning har också visat att det är samarbete och tillit mellan styrelsen och ledningens som är grunden för styrelsens övervakning av den interna kontrollen. Vidare behöver styrelsen också arbeta med att utveckla internkontrollapporter för att ge ägarna en bättre inblick i den interna kontrollen. Vi har dock funnit att trots ramverk, modeller och omfattande befintlig
12 forskning i intern kontroll, råder det fortfarande en viss otydlighet i vad intern kontroll
egentligen innebär i praktisk mening. Vi har gjort en omfattande litteratursökning men ändå inte funnit att detta är ett problem som tidigare forskning har behandlat. Vi anser därför att en studie som ämnar besvara frågan hur det praktiska arbetet med intern kontroll egentligen går till, är något som med fördel bör genomföras.
2.3 Agentteorin
Agentteorin har sin grund i traditionella antaganden gällande ekonomisk teori, med andra ord att alla aktörer söker nyttomaximering och är fullt rationella i sina beteenden. Agentteorin kan sägas lägga störst fokus på relationerna mellan aktörerna inom redovisningsområdet. Dessa relationer är ofta föremål för konflikt, i och med att agenten utnyttjar sitt informationsmässiga överläge för att öka sin nytta på bekostnad av principalen. Inom redovisningsområdet (där ledningen är agenten) finns en mängd olika principaler, bl.a. aktieägare, kreditgivare och andra redovisningsmottagare. (Artsberg, 2005) Till följd av de konflikter som uppstår och den informationsassymetri som råder skapas det ett behov av revisorer och intern kontroll.
(Merchant & Van der Stede, 2007) Detta är anledningen till att denna teori är av betydelse för vår uppsats.
Redan i en artikel från 1976 skriver Jensen och Meckling om problemet som uppstår när ägandet är skilt från styrningen av ett företag. De menade att om värde skall maximeras för ägarna uppstår en rad kostnader. Dessa kostnader består av de effektiva kontroller som behöver införas för att övervaka ledningen över företaget, och av incitamentprogram som gör att ledningen agerar på ett sätt som skapar så högt värde för ägarna som möjligt samtidigt som ledningens egennytta maximeras. Jensen (2000) resonerar vidare att det nästintill är omöjligt att få agenten att agera enligt vad principalen anser vara optimalt, om inte principalen åtar sig olika agentkostnader. Dessa kostnader kan bland annat uppkomma genom upprättande av olika kontrakt som ger agenten incitament till att agera enligt principalens vilja. Dessutom kan principalen, genom övervakningskostnader, begränsa agentens avvikande aktiviteter. Detta lönar sig dock bara till den gräns då marginalkostnaden blir lika stor som marginalnyttan för de kontroller som införs. Med andra ord krävs effektiv intern kontroll för att säkerställa att ledningen agerar för ägarna, vilket samtidigt leder till ökade kostnader för principalen. Det ovanstående är enligt Mintz (2005) det huvudsakliga problemet med bolagsstyrning och intern kontroll, nämligen att konstruera regler och incitament (med andra ord implicita eller explicita kontrakt) för att få ledningen (agenten) att agera på det sätt som principalen önskar.
13 Det är dock möjligt att principalens mål och önskningar inte är i enighet med agentens och det är dessutom svårt för principalen att kontrollera företagets verksamhet. Detta brukar kallas för agentproblemet. Mintz förklarar dessutom att det vanligaste tillvägagångssättet för att lösa detta problem är att knyta ledningens ersättning till företagets finansiella prestation och aktiernas utveckling.
Fama (1980) hävdar att framtida ersättningar till ledningen minst måste väga upp till det de skulle tjäna på om de inte skulle agera i enighet med sitt kontrakt, utifrån vilket de blir utvärderade, för att lösa incitamentproblemet i företag. Vid avsaknad av
avvikelseutvärderingar från kontrakt, uppstår incitament att förbruka mer resurser än vad man borde, på bekostnad av ägarna.
För att kunna försäkra sig om att de finansiella rapporter som agenten ger ut är tillförlitliga, tillsätter principalen en externrevisor som ska granska dessa. Extern revisorn är vald av ägarna på bolagsstämman och bidrar, genom sin kontroll, till att informationsgapet minskar. (Merchant & Van der Stede, 2007) Samtidigt bidrar den interna kontrollen till att företaget styrs mer ändamålsenligt och effektivt samt ökar den finansiella rapporteringens
tillförlitlighet. Dessutom ställer Aktiebolagslagen (2005:551) nu krav på upprättande av revisionsutskott i varje publikt aktiebolag. Revisionsutskottet utses av styrelsen, som i sin tur är utsedd av aktieägarna och detta bidrar till att relationen mellan principalen och revisorn blir tydligare. Revisionsutskottet övervakar både den interna kontrollen och den finansiella
rapporteringen och kan på så sätt ytterligare stärka aktieägarnas förtroende för ledningen och dess finansiella rapporter.
Eisenhardt (1989) hade i sin studie Agency Theory: An Assessment and Review för avsikt att bringa klarhet i agentteorin och på så sätt få professionella forskare att använda denna teori när de studerar de många principal-agent frågor som företag tvingas hantera. Det hon kom fram till var att agentteorin tillhandahåller ett unikt, realistiskt och empiriskt perspektiv på problem gällande organisatoriska prestationer.
Fama och Jensen argumenterar 1983 vidare kring intressekonflikterna inom företag.
Författarna menar att när de som i slutänden bär riskerna inte är desamma som styr företaget, uppstår ett system där beslutsfattandet är skiljt från kontrollen av beslutsfattandet. Styrelsen blir en viktig del av kontrollen, eftersom att den skall representera ägarna. En av fördelarna med att dela upp beslutsfattandet och kontrollen inom företaget är att man kan allokera kunskap på sådant vis att personer får agera inom det område vilket de är specialister i. En
14 mer kunnig styrelse skulle således hindra möjligheterna för beslutsfattare och kontrollanter inom företaget att arbeta i maskopi, och bidra till en effektivare styrning och kontroll. Agentteorin hjälper oss att förstå intern kontroll, vad det innebär och varför det är viktigt. Principalen behöver implementera kontroller och incitamentsystem för att säkerställa agentens beteende. Detta leder till agentkostnader och att ett övervägande måste göras mellan
kostnaden för dessa kontroller och nyttan med dem. Principalen vill ha så låga agentkostnader som möjligt, vilket kan leda till oönskat beteende från agenten. I vår undersökning ses
ledningen som agenten och styrelsen som principalen.
Figur 2. Agent-Principalförhållandet med revisor (egen figur)
Revisor
Agent
(ledning)
Principal
(styrelse)
Val av revisorRapportering till styrelse
Finansiella rapporter Intern kontroll (agent
kostnad)
Belöning (agent kostnad) Förvaltning
15
3. Uppsatsens tillvägagångssätt
Under denna rubrik beskriver vi först vilken forskningsstrategi och – design som vi har använt samt motiverat varför dessa metodval är passande för denna studie. Vidare ges även en beskrivning av vårt studieobjekt, och varför denna verksamhet var intressant att studera. Det beskrivs även hur vi har gått tillväga vid insamling av data och hur denna sedan har
bearbetats.
3.1 Forskningsstrategi och -design
Syftet med denna uppsats är att beskriva hur det praktiska arbetet med intern kontroll går till i ett företag och på så sätt bidra med en ökad förståelse för intern kontroll. Enligt Darmer och Freytag (1995) kan en studies målsättning vara att göra en förståelseanalys, vilket innebär att söka kunskap om tingen i dess nuvarande form och inte i syfte att ändra dem. Detta är något vi gör i vår studie då vi genom teori och tidigare forskning har insett att det finns svårigheter i att förstå hur intern kontroll tillämpas i praktiken.
Hägg och Wiedersheim-Paul (1994) menar att när man som forskare har för avsikt att förstå exempelvis en händelse eller ett tillstånd är det ett syfte som är svårt att precisera. En forskare kan dock med hjälp av en referensram och lämpliga modeller sätta in beskrivningar av
verkligheten i ett samband och på så vis nå en ökad förståelse. Om forskaren lyckas bidra med ökad förståelse kan den sedan vara till hjälp vid beslutsfattande, prognosarbete och andra åtgärder i en verksamhet. (Hägg & Wiedersheim, 1994) För att kunna göra en bedömning av den interna kontrollen krävs det att vi som undersökare förstår och har goda kunskaper i studieobjektets verksamhet. Det räcker inte med att förstå de teoretiska modeller som finns tillhandahållna då dessa mer fungerar som ramverk vilka sedan anpassas efter verksamhetens behov. Hur företagen senare utformar den interna kontrollen, arbetar med den samt vilka effekterna blir är något vi valt att undersöka eftersom vi inte har tillräcklig kunskap om verksamheten för att kunna bedöma deras interna kontroll.
Bryman och Bell (2003) beskriver två olika teoretiska ansatser som en forskare kan använda som vägledning i sin forskning. Den första, deduktiva ansatsen innebär att forskaren utgår ifrån befintlig teori och genom den bildar ett antal hypoteser som sedan testas mot insamlad data för att på så sätt dra slutsatser om huruvida hypotesen/teorin stämmer eller inte. En induktiv ansats innebär istället att forskaren drar slutsatser utifrån insamlad empiri. Enligt
16 Fejes och Thornberg (2009) är det ovanligt att forskare endast har ett strängt induktivt eller deduktivt förhållningssätt utan dessa två korsas ofta under forskningens gång. Det har därför presenterats en tredje ansats, abduktion, som innebär en pendling mellan deduktion och induktion. En abduktiv ansats innebär att forskaren utgår från insamlad empiri men till skillnad från induktion så kombineras insamlad data med tidigare teori som inspirationskälla vid analysen, vilket mer liknas med deduktion.
Vår ansats för att uppnå önskade resultat med denna studie är att med hjälp av befintlig teori analysera insamlad data vilket kan liknas med en induktiv ansats med skillnaden att vår ambition är att våra empiriska resultat med hjälp av teori, modeller och tidigare forskning ska leda till ökad förståelse för intern kontroll i ett specifikt sammanhang. Vi kan alltså beskriva vår ansats som abduktiv, då vi växlar mellan våra empiriska resultat och tidigare teoretiska föreställningar i vår analys för att på så sätt se mönster som kan bidra till ökad förståelse. Enligt Bryman och Bell (2003) så innebär fallstudie som forskningsdesign att forskaren genomför ett djupgående studium av ett enskilt fall. Ett fall kan vara en viss plats,
organisation eller arbetsplats. En fallstudie förknippas ofta med kvalitativa metoder som till exempel observationer eller ostrukturerade intervjuer, eftersom dessa metoder anses gå hand i hand med en detaljerad och djupgående studie av ett specifikt fall. Kvalitativa metoder
beskrivs även som mer tolkningsinriktade, vilket innebär att forskaren fokuserar på att förstå respondenternas verklighet utifrån den miljö de verkar i. (Bryman och Bell, 2003) I vår uppsats blir fallstudie den naturliga undersökningsdesignen, eftersom vi anser att den är bäst lämpad med hänsyn tagen till denna uppsats syfte. Vi ämnar som tidigare nämnts att öka förståelsen för intern kontroll och har därför genomfört intervjuer och studier av interna dokument, dessa kvalitativa metoder passar vår undersökning då vi vill få förståelse för intern kontroll i ett verkligt sammanhang. Det diskuterades i gruppen vilken typ av företag som kunde passa som studieobjekt i denna studie. Det enades då om att ett större företag var att föredra där ägaren helst inte arbetar eller är verksam i bolaget, eftersom detta troligtvis påverkar den interna kontrollen ur ett agent-principal perspektiv, genom att ägaren har en direkt kontroll över hur företaget drivs. Det ansågs därför viktigt att det företag som studeras helst ska vara relativt fritt från direkt ägarkontroll, eftersom den interna kontrollen i företaget då blir extra viktig ur ett ägarintresse.
För att möjliggöra återbesök och olika intervjutillfällen valdes ett företag i närområdet. Det var viktigt att få access till ett företag som skulle passa vår undersökning och efter några
17 telefonsamtal fick vi slutligen kontakt med det som kom att bli vårt fallföretag. Detta företag var ett passande studieobjekt för denna uppsats då företaget ingår i en stor internationell koncern och därför har ett hårt tryck på den interna kontrollen från de utländska ägarna. Den första kontakten skedde genom ett telefonsamtal med ekonomichefen på företaget. Under detta samtal skedde en kortfattad presentation av vår studie och dess syfte. Vi fick därefter en tid för intervju med denne och han gav även förslag på andra personer i företaget som ansågs vara relevanta att kontakta. På ekonomichefens inrådan kontaktades även redovisningschefen och IT-chefen, vilka också ställde upp för intervju. Fallföretaget och respondenterna har valt att vara anonyma i denna undersökning.
3.2 Litteratursökning
Inledningsvis söktes litteratur genom Örebro universitetsbiblioteks katalog. De sökord som användes var exempelvis: bolagsstyrning, intern kontroll, agent teorin, COSO, internrevision, svensk kod, sarbanes-oxley och en kombination av dessa. Därefter valdes, utifrån
sökträffarna, de böcker som vi ansåg vara mest relevanta för vårt syfte. För att hitta
vetenskapliga artiklar användes databaserna: ABI/Inform, DiVA, Libris, Google Scholar och Statens offentliga utredningar. Ett kriterium som vi använde oss av vid sökning av artiklar på databaserna, var att de skulle vara ”peer-reviewed”, alltså att artikelns vetenskaplighet hade blivit bedömd. Ovanstående sökord användes även här men även med engelska översättningar som: corporate governance, internal control, agency theory och internal audit. Att studera referenslistor från andra studier med liknande forskningsområde var dessutom en metod vi använde oss av för att hitta intressanta artiklar.
3.3 Metod för insamling och bearbetning av data
Som insamlingsmetod har vi använt oss av semistrukturerade intervjuer. Semistrukturerade intervjuer innebär att intervjuaren har en lista med ett antal teman som utgångspunkt som denne ämnar behandla under intervjun. Intervjuobjektet är inte styrt av olika svarsalternativ utan kan svara helt fritt på frågorna. Vid kvalitativa intervjuer är det intervjuobjektets intressen som är det viktiga då det är dennes upplevelser som är av betydelse för studien. (Bryman och Bell, 2003) Vi ansåg att semistrukturerade intervjuer passade vår studie bra då vi är intresserade av intervjuobjektens upplevelser av arbetet med intern kontroll. Inför intervjuerna utformades en intervjuguide som vi hade som grund vid frågeställandet. Vid utformandet av intervjuguiden använde vi COSO-modellen som stöd för vad intern kontroll kan innebära. Själva utförandet av intervjuerna ägde rum på företaget, tisdagen den 29:e
18 november 2011, antingen på ett kontor eller också en gemensam samlingsplats, där vi hade möjlighet att låta intervjun framskrida ostört. Vi fick dessutom tillåtelse att spela in
intervjuerna vilket underlättade intervjusituationen då vi istället för att bara anteckna svaren, kunde fokusera på respondenternas svar. Inspelningarna var sedan till stor hjälp vid
bearbetningen av data eftersom vi kunde skriva ner resultaten av intervjuerna ord för ord. Intervjuerna kan mer jämföras med vanliga samtal, där vi inledde med en fråga som respondenten fick svara fritt. Allt eftersom samtalet pågick uppstod nya frågor som
behandlandes. Totalt sett uppgick intervjuerna till 157 minuter, vilket resulterade i 34 sidor med transkriberat material. Dessutom fick vi ta del av de interna dokumenten: Business and operation flows, Reklamationsprocess, Testformulär kundorder, Jämställdhetsplan,
Arbetsordning för styrelse, Instruction for managing director, Attestinstruktioner och Code of conduct; vilka innehöll mer eller mindre väsentlig information med hänsyn tagen till
uppsatsens syfte. Exempelvis visade dokumentet, Testformulär kundorder, hur det går till vid kontrollen i hanteringen av kundorders.
Vi började analysen med att bekanta oss med datamaterialet genom att sätta oss och läsa intervjuerna ett flertal gånger. Samtidigt skiljdes de mest intressanta uttalandena ut genom att stryka under olika meningar och stycken. I detta moment handlade det mycket om att hålla isär utsagor om kontroll från regler och styrning. Detta resulterade i att vi fann några olika processer i företaget som beskrev hur arbetet med den interna kontrollen går till och dessa processer presenteras under olika rubriker i empiriavsnittet. Vi har strävat efter att återge respondenterna svar så exakt som möjligt, dock något förkortat genom att bara presentera det viktigaste i deras utsagor. Talspråk, meningsbyggnader och dylikt har bidragit till att viss tolkning av svaren varit oundvikligt. Vi anser dock att de redigeringar som gjorts inte skadat budskapet i det som sagts under intervjuerna. För att försäkra oss om detta skickades
empiriavsnittet till respektive respondent och de har således haft möjlighet att komma med kommentarer om någonting har misstolkats. Empirin analyserades sedan med hjälp av teori i syfte att öka förståelsen genom att sätta den i ett sammanhang.
3.4 Metodkritik
Enligt Hollensen (1995) är det undersökaren själv som är det kritiska elementet vid kvalitativa metoder för insamling av data. Eftersom att datainsamlingen görs genom ett samspel mellan undersökaren och intervjupersonen, där nya frågor är beroende av svaren på tidigare frågor, blir undersökarens kunskap inom området vitalt. (Hollensen,
19 1995) Vid intervjuerna användes en ljudinspelare som gjorde att vi kunde fokusera på
intervjupersonen. Inför intervjuerna läste vi dessutom på om intern kontroll, vilket gjorde att vi kunde följa samtalet, ta in vad som sades och ställa nya frågor.
Vid bedömning av en studie måste hänsyn tas till trovärdigheten i den information som samlats in och presenterats och det är därför viktigt att det argumenteras för den. När det som studeras är en verklighet som många människor är involverade i, kan det finnas flera olika beskrivningar av densamma. Det är i slutänden trovärdigheten som avgör hur pass legitim den presenterade beskrivningen är för läsaren. (Bryman & Bell, 2003) Fallföretaget har 338 anställda på orten och därmed skulle vi förmodligen kunnat få lika många beskrivningar av den interna kontrollen. Detta var dock inte rimligt och en avvägning mellan bredd och djup var därför nödvändig, där förståelsen för arbetet med den interna kontrollen innebar att vi behövde gå in på djupet. Vid den första kontakten med företaget frågade vi efter personer som var insatta i den interna kontrollen vilket ledde fram till våra intervjuer och vi anser därför att vi har fått en bra bild av hur arbetet med intern kontroll går till. För att ytterligare öka
trovärdigheten fick dessutom de intervjuade läsa våra tolkningar av det som hade sagts och bekräfta att vår uppfattning var riktig.
3.5 Fallbeskrivning
Studien ägde rum på ett tillverkande företag på orten, med ungefär 500 anställda, varav 338 (2010) på orten, och en omsättning på 140 miljoner Euro. Företaget har tre dotterbolag som återfinns i Tyskland, USA och Kina. Det som skiljer vårt fallföretag mot många andra svenska företag är att det ägs av ett japanskt bolag, noterat på Tokyo Stock Exchange, och följer därmed en japansk version av Sarbanes-Oxley act, också kallad J-SOX. Företaget är världsledande i den nisch de verkar inom, med en global marknadsandel på 30-35%, och efterfrågan på de högkvalitativa produkterna ökar ständigt. Företaget strävar efter ständiga förbättringar och målet är att vara kundernas första val. Genom långa relationer med sina partners arbetar de för att utveckla, tillverka och sälja produkter med hög prestationsförmåga. Ser man till organisationsstrukturen är det en hierarkisk ansvarfördelning med på sin höjd fyra steg i kommunikationsflödet från högsta ansvarig till operatör. Rollfördelningen är tydlig och det finns en varierande handlingsfrihet inom ramarna för regler och rutiner beroende på vilken roll den anställde har. Arbetsdelningen kan till stor del sägas vara funktionsbaserad.
Produktionen sker i en stor industribyggnad vilken är uppdelad i olika avdelningar där
20 byggnad och fackförbundet har dessutom en egen byggnad intill industribyggnaden. Mellan våra intervjuer passade vi på att gå en rundtur i produktionshallarna. Kontrasten från att först ha varit på ekonomiavdelningen till att komma ut i fabriken var påtaglig. Ljudnivån var inte helt oväntat högre och vi kunde känna lukten av rök och olja. Vi stannade till och
uppmärksammade några samlingsplatser med stora whiteboard-tavlor och tv-skärmar fyllda med information.
21
4. Empiri
Nedan presenteras det datamaterial som samlats in genom intervjuer och som vi anser är mest relevant med hänsyn tagen till syftet med denna studie. Vi har strukturerat det insamlade
materialet genom att sortera efter olika processer. Dessa processer beskrivs sedan i ordningen efter vad processen innebär, vem som ansvarar/utför den samt hur den genomförs.
4.1 Riskanalys
Ekonomichefen (2011-11-29) beskriver att sedan företaget fick japanska ägare, har de börjat arbeta mer med riskanalyser. Anledningen till den ökade fokuseringen på risker är de nya regler som ägarna har implementerat i företaget. Analyserna går ut på att kartlägga processflöden där väsentliga skeenden identifieras och dessa fungerar sedan som kontrollpunkter. Redovisningschefen (2011-11-29) ger oss ett exempel på detta arbete, nämligen en riskmatris som företaget har arbetat fram. Företaget identifierar först
problemen/riskerna, sedan värderas de och avslutningsvis beskrivs hur företaget, på lång och kort sikt, kan åtgärda problemen/riskerna. Denna matris följs sedan upp kontinuerligt. Redovisningschefen (2011-11-29) nämnde dock att intresset för dessa riskmatriser är relativt svalt då det är mer fokus på att affärerna ska gå bra. Ekonomichefen (2012-01-06) menar istället att intresset finns men att kraven från ägarna har varit för omfattande och svåra att för förstå jämfört med tiden med svenska börsnoterade ägare.
Vad gäller IT och teknologi handlar mycket om att arbeta i olika projekt för att bygga upp företagets infrastruktur. IT-chefen och ekonomichefen ansvarar för säkringen av vissa
tillgångar och analyserar tillsammans de risker som finns och upprättar sedan handlingsplaner för vad som behöver göras. Riskmomenten diskuteras sedan också med företagsledningen eller koncernledningen en gång i kvartalet och när åtgärder vidtagits sker uppföljning på ledningsmötena. (IT-chefen, 2011-11-29) IT-chefen beskriver vidare att när riskerna identifierats, ges de en viss prioritet och därmed får de största riskerna en högre säkerhet. Denna prioritering beror till stor del på att det inte är lönsamt att skydda allt och därför måste värdering av riskerna göras.
Företaget har dessutom ett ärendehanteringssystem där incidenter och
förändringsförfrågningar registreras och ges olika prioritet beroende på ärendets art. Vad gäller förändringsförfrågningar måste riskerna behandlas, alltså vilka risker som den
22 eventuella förändringen skulle medföra. Trots vikten i att analysera vilka risker som finns innan förändringar genomförs, sker inte uppföljning och utvärdering i lika stor utsträckning. (IT-chefen, 2011-11-29) IT-chefen beskriver att vid förändringsförfrågningar skrivs ett business-case där problemet tas upp, det redogörs för hur företaget kan tjäna på denna förändring och de eventuella riskerna behandlas.
4.2 Ledningens ansvar
Det japanska moderbolaget har en kommitté som arbetar med intern kontroll. I fallföretaget finns dock ingen sådan stab, däremot är det ekonomichefens ansvar att rutinerna för intern kontroll efterföljs. Ekonomichefen menar att det är speciellt viktigt att ha rutiner för kontroll kring människor i ledande ställning då det är de som kan göra störst skada i ett företag, antingen direkt eller genom att påverka andra. (Ekonomichefen, 2011-11-29)
Till styrelsen rapporteras det exempelvis om den finansiella situationen; i fall det finns en risk för reklamationer som kan innebära att företaget åker på en större förlust. Det måste också rapporteras om investeringar över fem miljoner. Den verkställande direktören i fallföretaget får instruktioner från styrelsen. Dessa instruktioner innefattar att han ska driva verksamheten, får inte uppta lån, får inte göra investeringar på över fem miljoner och han måste kontinuerligt rapportera till styrelsen om vad som sker i verksamheten. VD i fallföretaget måste dessutom redovisa sina personliga utlägg till koncernchefen i Japan. Detta gäller även för verkställande direktörer i fallföretagets dotterbolag med skillnaden att de först rapporterar till VD i
fallföretaget. Det är ekonomichefens ansvar att kontrollera VD:s agerande och rapportera vidare till Japan. (Ekonomichefen, 2011-11-29)
4.3 Mål och kontroll
De finansiella målen upprättas av ägarna, dessa mål innefattar bland annat att fallföretaget ska ha 10 % marginal på allt de säljer, att skulderna ska vara högst 50 % av eget kapital och dessutom används ett avkastningsmått, vilket är vinst dividerat med totala tillgångar som skall vara minst 10 %. Vinstmarginalen kan sedan brytas ned på olika tillverkande enheter, för att på så sätt kunna härleda kostnaderna. Internt har det även utformats ett mål för tillväxt som ska vara 6 % per år, detta har ägarna tagit till sig och godkänt. Kvalitetsmått är viktiga mått eftersom det är produkternas kvalitet som på lång sikt leder till goda kundrelationer och håller kostnaderna nere. Ledtider/genomloppstider är ett mål som beskriver kvaliteten. Blir det för långa ledtider i produktionen kan det exempelvis bero på brister i planeringen, vilket på sikt ökar kostnaderna. Ledtiderna kan dessutom ge kunderna information om när beställningarna
23 väntas levereras. Kortare ledtider innebär bättre service genom kortare leveranstider.
(Ekonomichefen, 2011-11-29)
Fallföretaget arbetar även med en självcertifiering, vilket innebär att företaget klassificerar sig själv. De har internt utformat ett rankingsystem; kopparnivå, bronsnivå, silvernivå och
guldnivå. Nivåkriterierna utformas av cirka 20 arbetsgrupper, innehållande 3 personer i vardera, med representanter från olika delar i företaget. (Ekonomichefen 2011-11-29) För att uppnå lean systems sätts olika mål upp och det strävas efter ständiga förbättringar. (IT-chefen, 2011-11-29) Ekonomichefen (2011-11-29) anser att det är själva diskussionen i detta arbete som är det väsentliga; att åsikter byts och att representanterna tar intryck av varandra. Att arbeta på detta sätt bidrar till att fler känner att de får möjlighet att påverka hur företagets förbättringsarbete ska utformas och det blir därmed inte bara en fråga för ledningen. På så sätt får besluten en bredare förankring.
Arbetsmiljön har högst prioritet i fallföretaget. Det arbetas kontinuerligt med att öka medvetenheten för arbetsmiljöfrågor i verksamheten. Detta görs exempelvis genom att det första som tas upp vid varje morgonmöte är frågor som rör arbetsmiljö. Det kan till exempel vara ifall det har skett en olycka/incident eller om någon har observerat något under tidigare arbetspass. Dessa frågor är av högsta prioritet eftersom det i slutändan handlar om vilka som vågar arbeta och känna sig säkra på arbetsplatsen, menar ekonomichefen. Inom
arbetsmiljöområdet sker dokumentation genom protokoll. (Ekonomichefen, 2011-11-29) Fallföretaget arbetar även med att utforma en sexårsplan, efter krav från ägarna. Därför har arbetsgrupper bildats där det diskuteras hur företaget ska arbeta för ökad tillväxt. Andra diskussionsämnen är exempelvis produktutveckling, perfekt tillverkning, informationssystem, affärssystem, ledarskap och arbetsmiljö. Inom dessa sju områden diskuteras hur företaget ska nå framgång och hur nyckeltal kan utformas för att mäta dessa framgångsfaktorer. I
arbetsgrupperna arbetar de dessutom med att, inom varje område, ta fram en framtidsvision som sedan bryts ned i strategier. Nyckeltalen som tagits fram används sedan för att mäta och följa upp hur arbetet har fungerat. Produktionsledare eller flödeschefer kommunicerar sedan vidare denna information via tavelmöten som hålls varje morgon med de anställda.
(Ekonomichefen 2011-11-29)
Större delen av uppföljningen sker på veckobasis, men vad gäller produktionssiffror och arbetsmiljö så sker uppföljningen dagligen. Uppföljning sker även på projekt inom teknisk utveckling, för att kontrollera huruvida projekten kommit till planerade milstolpar.
24 (Ekonomichefen 2011-11-29) En viktig del av både styrningen och kontrollen är olika möten som äger rum dagligen. Det börjar med tavelmöten på morgonen på varje avdelning, där information ges om hur läget är just nu och vad som kommer att hända. Där utvärderas även hur arbetet har gått genom att exempelvis jämföra utfall med mål. Aggregerad information tas sedan upp på möten med lokala avdelningar och sedan rapporteras den viktigaste
informationen upp till produktionschefen. (IT-chefen, 2011-11-29) Vad gäller
månadsuppföljning så hålls styrelse- och affärsmöten på de olika enheterna på orten. På dessa möten följs måltalen upp och protokoll upprättas där eventuella avvikelser från måltal
kommenteras, beslut fattas även om vem som ska göra vad för att åtgärda det samt när det ska vara klart. (Ekonomichefen 2011-11-29)
Företaget använder sig av analysverktyget QlikView genom vilket olika KPI:er, exempelvis FTPR, kan följas upp och spridas. Det är mycket av denna information som tas upp på ledningsmöten. Därmed informeras det om hur mycket som producerades i jämförelse med målen, samt hur orderingången och lagerprognosen ser ut. I Qlikview-applikationen är det dessutom möjligt att gå in och göra så kallade drilldowns där information kan brytas ner till mer detaljerad information. Möjligheten att göra detta är rättighetsstyrd, så det är inte vem som helst som kommer åt informationen. (IT-chefen, 2011-11-29)
4.4 Beställningaroch kundorders
Ekonomichefen (2011-11-29) beskriver att det inom verksamheten är reglerat för vem som får göra beställningar, till hur stora belopp samt vem som får godkänna och attestera
utbetalningar. Dessa regler/rutiner är något som redovisningschefen beskriver att det årligen sker kontroll av, genom att 25 stycken slumpmässigt utvalda beställningar granskas i syfte att kontrollera att beställningsprocessen har gått rätt till. Detta är en följd av det ökade trycket på intern kontroll i och med att fallföretaget numer är i japansk ägo och därmed är styrda av regelverket J-SOX.
Denna kontroll genomförs av ekonomiavdelningen med hjälp av externa revisorer och representanter från moderbolaget. Dessa kontrollerar då att inga genvägar har tagits i fallföretagets kontroller. Det är även ekonomiavdelningen som ansvarar för att det finns en lista med samtliga beställare. Personer med beställningsrätt är oftast begränsade till det egna kostnadsstället. Däremot kan vissa stödfunktioner beställa från olika kostnadsställen om de har fått det i uppdrag och därmed agerar enligt erhållna instruktioner. (Ekonomichefen, 2011-11-29)
25 För att en faktura ska godkännas ska beställaren först kontrollera att: uppgifterna
överensstämmer med beställningen, utgiften inte redan ska vara påförd företaget, rabatter ska vara avdragna, utgiften ska vara korrekt konterad, uträkningen ska vara rätt, varan ska vara fysiskt på plats och den beställda tjänsten måste vara genomförd. Sedan ska fakturan signeras elektroniskt i en programvara. När fakturan är signerad ska den attesteras av någon som har rätt att göra det, oftast en ansvarig på kostnadsstället. Även attesten sker genom en signering i programvaran. Attesten innebär: att utbetalning godkänns, att inköpets pris och mängd är rimligt, att inköpet hör till verksamheten och att den som gjort attesten är medveten om köpet i informativt syfte. (Attestinstruktion)
Ekonomichefen (2011-11-29) beskriver processen på så sätt att det börjar med att innan någon lägger en beställning så måste den godkännas av en chef eller ansvarig. När fakturan sedan kommer konteras den och lämnas till den person som har beställt varan för godkännande. Beroende på fakturabeloppet skickas den sedan vidare, till antingen funktionsansvarig, kostnadsenhetsansvarig eller processchef för attestering och först efter det betalas fakturan. Kontrollen av dessa beställningsrutiner går sedan till på så vis att ekonomiavdelningen slumpmässigt kontrollerar 25 beställningar, att processen har fungerat, från att företaget lägger en beställning, till det att leverantörsfakturan erhålls och slutligen betalas ut. Det kontrolleras att summorna är korrekta genom hela förloppet och att rätt personer har signerat alla dokument. (Ekonomichefen, 2011-11-29)
Redovisningschefen (2011-11-29) beskriver att samma process även utförs för kundorders och då kontrolleras att den som lägger ordern har satt rätt pris till kunden och sedan om priset har ändrats på vägen. Det kontrolleras dessutom om leveransdokument och faktura
överensstämmer med kundordern. Under denna process kontrolleras även att prislistan är underskriven av någon som har behörighet att skriva under och till slut att rätt belopp har erhållits på kontot. På ekonomiavdelningen sker även uppföljning på leverantörs- och kundfakturor. Där följer företaget upp hur många fakturor som kommit in/skickats ut per vecka. Ekonomiavdelningen kontrollerar alltså, med hjälp av externa revisorer och
representanter från moderbolaget att rutinerna för beställningar och kundorders fungerar som det är reglerat. (Redovisningschefen, 2011-11-29)
26
4.5 Attester
Vem som har behörighet att utföra attester är också något som kontrolleras. Det är
ekonomichefen som har ansvaret för attestreglerna. Dessa godkänns sedan av verkställande direktören, i och med att det är hans intentioner och regler som ska gälla. (Ekonomichefen 2011-11-29)
Ingen anställd får attestera personliga kostnader som till exempel reseersättningar, köp med företagskort, inköp av arbetsutrustning (dator, mobiltelefon m.m.), inköp av tjänstebil,
representationskostnader och övriga personliga utgifter. Attest för denna typ av kostnader ska alltid göras av närmaste chef, ekonomichefen attesterar dock VD:s kostnader. Uttag av förråd får göras av anställd om denna beviljats rätt att göra så. Uttag ur förråd ska attesteras av ansvarig för kostnadsstället. (Attestinstruktion)
Alla behörighetsförändringar ska skriftligen rapporteras till ekonomiavdelningen, först då blir behörigheten giltig. Chefsbefattningar kan delegera en attesträtt men endast under en viss tid och det måste även framgå vilka behörigheter som delegerats. Även detta måste meddelas till ekonomiavdelningen innan behörigheten gäller. (Attestinstruktion)
Ekonomichefen beskriver att signaturer på prislistor värderas högt i den interna kontrollen. Fallföretaget har kontroller på att prislistorna efterföljs. Däremot är det en brist i kontrollen av att prislistorna är signerade av rätt person. Detta är något som har uppmärksammats och kontrollen har blivit mer tillfredsställande. Det har även skett utbildning inom detta för att berörda parter ska veta vilka regler som gäller. (Ekonomichefen, 2011-11-29)
4.6 Finansiell kontroll
Den finansiella rapporteringen kontrolleras i flera steg. Det är många personer inblandade i detta arbete och det rapporteras även kontinuerligt till ägarna om den finansiella situationen. Fallföretaget gör periodbokslut, balansräkning, resultaträkning och nyckeltal varje månad, som sedan konsolideras med dotterföretagens finansiella rapporter. På grund av att de japanska ägarna har ett brutet räkenskapsår så rapporteras inte kvartalsbokslut förrän ett kvartal senare. Månadsbokslut rapporteras dock åtta arbetsdagar efter månadsskifte. Denna rapportering till moderbolaget sköter ekonomichefen och den sker genom Excelfiler. Övrig rapportering inom företag och dotterbolag sköts av redovisningschef och controllers. Dessa filer skickas även till de externa revisorerna. Eftersom det japanska moderbolaget är
27 Redovisningschefen har kontinuerlig kommunikation med företagets controllers, eftersom de kan mer om produkterna och därmed har lättare att identifiera konstigheter vid boksluten, exempelvis om en post är väsentligt större än vanligt. Controllerna stämmer också av att lagret har redovisats korrekt i boksluten. (Redovisningschefen, 2011-11-29)
Bankaffärer, skattedeklarationer och kassaverifikationer ska genomföras av två personer. Att fler personer är inblandade vid den här typen av arbete, men också vid bokslutsarbete, innebär enligt redovisningschefen ett ”skyddsnät” mot att fel uppstår. Även systemet QlikView bidrar till att ekonomisk information blir mer transparent, eftersom anställda med hjälp av
programmet kan hämta ut information från ekonomisystemet. Detta leder till att ansvariga får information om exempelvis kundreskontran, fakturering och kreditering.
(Redovisningschefen, 2011-11-29)
Ekonomichefen har även upprättat en valutahanteringspolicy som är godkänd av styrelsen. Denna policy reglerar spekulation kring valutakurser. Ekonomichefen, redovisningschefen och Vd:n måste hela tiden kommunicera så att de agerar enligt policyn. Rent praktiskt går det till som så att när företaget får en order i Euro säljer de samma summa ur en euroreserv redan samma vecka som kunden lägger ordern, vilket innebär att inga valutaspekulationer sker. (Ekonomichefen, 2011-11-29)
4.7 Operativ kontroll
I fallföretaget finns det formella befattningsbeskrivningar som är relativt vida, där det beskrivs vilka arbetsuppgifter som ingår i en befattning. Sedan finns det även checklistor för de som jobbar i produktionen beskriver vad som krävs för att arbeta vid en eller fler maskiner, alltså vilken kunskap som är nödvändig. Det finns också beskrivningar för hur olika
operationer ska genomföras. Även checklistor för hur maskinerna ska skötas och kontrolleras är utformade och finns placerade på maskinerna. Checklistorna fylls i av operatörer och processchefen har ansvaret för uppföljning av maskinunderhåll och kontrollerar att dessa har utförts ordentligt. (Ekonomichefen 2011-11-29)
Företaget har ett dokumentsystem som utgör basen i kvalitetssystemet. Där jobbas det med revisionshantering av instruktioner och policys. Om någon skriver ett dokument, antingen på instruktionsnivå eller också på policynivå, ska detta granskas. Det kan till exempel vara en chef eller någon annan överordnad som fastställer dokumentet. Detta ska sedan revideras vid behov eller en gång om året så att det inte finns några gamla dokument som ligger och
28 skräpar. IT-chefen menar här att det i många fall blir ett engångsjobb och att revisionen glöms bort. (IT-chefen, 2011-11-29)
I grunden handlar den operativa kontrollen om access, hur de korrekta rättigheterna registreras och delas ut. IT-chefen menar att om en anställd har tillgång till information så skulle
personen kunna dra nytta av den för egen vinning. Finns det exempelvis tillgång till att göra ändringar i systemen, skulle detta kunna göras för egen vinning. Förutom i ekonomisystemet finns det ingen tvingande lösenordspolicy i systemet, lösenorden förnyas inte kontinuerligt och det är låg komplexitet i lösenorden. Mycket av det är på grund av att affärssystemet inte klarar av att varken köra gemener eller versaler. Lösenordet och användarnamnet får inte vara detsamma och det får till exempel inte vara fem ettor i rad. (IT-chefen, 2011-11-29)
Trots att företaget försöker arbeta proaktivt så är det svårt att hålla koll på allting och risken att anställda gör fel är alltid överhängande. Då gäller det att i efterhand åtgärda problemet. Samtidigt är det svårt att logga och spåra för att ta reda på exakt vem som har gjort vad, när det exempelvis kan förekomma gemensamma inloggningar. Företaget arbetar för att upprätta en personalförändringsprocess, som innebär att du får access enligt din roll och när det sker en förändring, till exempel att någon byter avdelning, så ska det hända något i hela kedjan. Istället för att bara ackumulera mer access ska accessen förknippad till tidigare befattning försvinna. Detta kan handla om allt ifrån kort, nycklar och lösenord till framförallt tillgången till finansiell information. (IT-chefen, 2011-11-29)
Den interna kontrollen går bland annat till på så sätt att det finns ett antal punkter som skall kontrolleras, där det undersöks hur statusen och strategin ser ut och sen hitta bevis för om det följs eller inte. IT-chefen anser att kontrollerna har blivit mer omfattande över åren. När det gäller IT är det framförallt säkringen som kontrolleras; hur back-ups genomförs i syfte att riskerna för dataförlust minimeras och att det finns handlingsplaner för disaster-recovery, till exempel vad som händer om det börjar brinna. Två datarum har upprättats på olika platser i företaget och data replikeras kontinuerligt så om något fel skulle inträffa på det ena stället körs en så kallad failover, alltså en automatisk anslutning till de andra servrarna, och därmed säkras driften. (IT-chefen, 2011-11-29)
IT-avdelningen har dessutom hela nätverket uppritat på en storbildsskärm. Det ligger uppe live så om någonting händer vet de precis var problemet ligger. Exempelvis vet de precis hur mycket batteri som finns i UPS:erna, som tillhandahåller elektricitet när huvudströmkällan kraschar. Det har tidigare skett ett kraftigt strömbortfall som fallföretaget var först med att
29 uppmärksamma och kunde därmed snabbt kontakta dotterbolaget i USA och varsko dem om situationen, så att de kunde prioritera det som var viktigast för dem. Detta var fallföretaget tvungen till eftersom de har hand om driften av det amerikanska dotterbolagets affärssystem via ett VPN. (IT-chefen, 2011-11-29)
Informationsspridning sker delvis med hjälp av de TV-skärmar som finns ute i fabriken, detta leder till att alla kan ta del av aktuell information. Det sker en reaktiv mätning som sedan presenteras och målet är att sätta upp ett realtidssystem för varje maskin där alla värden finns samlade, till exempel: går maskinen, med vilken hastighet, vad är det för temperatur, vilket material och så vidare? Blir det sedan en avvikelse tänds en röd lampa så att alla kan se detta och åtgärda problemet. (IT-chefen, 2011-11-29)
30
5. Analys
I detta avsnitt analyserar vi empirin med hjälp av den teoretiska referensramen. Vi har först analyserat arbetet med hur företaget behandlar risker sedan följer ledningens ansvar, målsättning och måluppföljning, beställningar och kundorders, finansiell kontroll och operativt arbete i den interna kontrollen. Avsnittet avslutas med en beskrivning av hur den
interna kontrollprocessen kan se ut på ett övergripande plan.
5.1 Riskanalys
I alla företag finns det risker som bör uppmärksammas och åtgärdas för att företaget ska nå sina mål (FAR Förlag, 2006). Under våra intervjuer uppfattade vi att fallföretaget arbetar med att identifiera risker genom riskanalyser, riskmatriser och diskussioner. Ekonomichefen beskrev exempelvis att riskanalyser genomförs genom att kartlägga processflöden för att på så sätt identifiera betydande skeenden i processen. Arbetet med riskanalyser har bland annat resulterat i en riskmatris, där risker identifieras och värderas, för att sedan upprätta
handlingsplaner på hur riskerna kan åtgärdas på lång och kort sikt. Matrisen följs sedan upp kontinuerligt. Dickins & Houmes (2011) menar att det bland annat är ledningens förmåga att identifiera risker som avgör hur effektiv den interna kontrollen blir. Under våra intervjuer uppfattade vi att respondenterna, i stora drag, beskrev samma processteg som tas i riskarbetet. Det handlar om att först identifiera risker, ge dem en viss prioritet, upprätta en plan för vem som ska ha ansvaret och hur risken ska hanteras och slutligen ska detta följas upp och
utvärderas. Vi finner att denna process har liknande egenskaper med den iterativa process som COSO-ramverket förespråkar. Däremot ges en bild av att uppföljning och utvärdering, i vissa riskprocesser, blir mindre prioriterade och därmed kan processen bli ofullständig.
Ekonomichefen berättade att företagets arbete med riskanalyser har ökat efter 2008, då företaget fick nya ägare. Detta japanska företag implementerade nya regler som medförde ökad fokusering på risker, vilket kan tolkas som att den japanska styrelsen har mindre riskaptit och ställer därmed högre krav på den interna kontrollen. Däremot är det svårt för styrelsen att försäkra sig om att ledningen agerar så som styrelsen önskar, vilket kallas för agentproblemet (Mintz, 2005).
5.2 Ledningens ansvar
I fallföretaget finns det ingen befattning som enbart arbetar med den interna kontrollen. Det är ekonomichefens ansvar att rutinerna för intern kontroll efterföljs. Han beskriver även att det
