Internrevision
värdeskapande i svenska
banker
En undersökande studie
skapar värde i svenska banker
Maria Can
Jimmy Kibro
Handledare: Linus Axén
SE
Internrevisionens
värdeskapande i svenska
banker
En undersökande studie om hur internrevision
skapar värde i svenska banker
Linus Axén
Linköpings universitet SE-581 83 Linköping, Sverige 013-28 10 00, www.liu.se
värdeskapande i svenska
Förord
Vi vill tacka samtliga av våra respondenter som tog sig tiden att samtala med oss trots rådande corona-pandemi och hög arbetsbelastning. Vi vill även tacka vår handledare Linus Axén för värdefulla tips och hjälp under processens gång. Slutligen vill vi tacka våra opponenter som givit oss goda råd och kon-struktiva kommentarer under kursens seminarier.
Linköping 29 maj 2020 Maria Can och Jimmy Kibro
Sammanfattning
Titel Internrevisionens värdeskapande i svenska banker Författare Maria Can och Jimmy Kibro
Handledare Linus Axén
Bakgrund Internrevisionen i svenska banker är något som ständigt har utvecklats i takt med de förändringar bankerna har genomgått under åren. Funktionen har gått från att vara relativt oprioriterad till att idag vara en viktig hörn-sten i svensk bankverksamhet. Denna studie kommer därför undersöka hur internrevision skapar värde i svenska banker.
Syfte Syftet med studien är att undersöka hur internrevision skapar värde i svenska banker.
Metod Studien är kvalitativ och utförs genom en induktiv ansats med deduktiva inslag. Teorier berörande värdeskapande, agentteorin, risk management, intressentteorin med flera lyfts upp i den teoretiska referensramen. Empi-riska data har samlats in genom semistrukturerade intervjuer och därefter sker en tematisk analys av detta.
Resultat Studiens resultat visar att värdet som upplevs av internrevision i svenska banker är flerdimensionellt. Internrevision skapar värde genom att säker-ställa en hög kvalité vad gäller implementering av regelverk och styrning. Funktionen skapar också värde genom att förebygga brister som kan leda till stora sanktioner och förluster i den operativa verksamheten, genom att skapa ett förtroende hos kunder samt genom att skapa en trygghet hos olika intressentgrupper kring att banken sköts på rätt sätt.
Abstract
Title The internal audit’s value creation in Swedish banks
Authors Maria Can and Jimmy Kibro
Supervisor Linus Axén
Introduction The internal audit in Swedish banks is something that has constantly evol-ved in line with the changes that the banks in Sweden has gone through du-ring the recent years. The function has gone from being relatively non prio-ritised to being an important keystone in the Swedish banking sector. This study is therefore going to investigate how internal audit creates value in Swedish banks.
Purpose The purpose of the study is to investigate how internal audit creates value in Swedish banks.
Method The study is qualitiative and is performed through an inducitve approach with some deductive elements. Value-creation, agency theory, risk manag-ement, stakeholder’s theory and more are highlighted in the theoretical frame. The empirical data has been collected through semi-structured inte-riews and then we applicate a topical analysis.
Results The results of the study show that the perceived value of internal audit in Swedish banks is multidimensional. Internal audit creates value by ensur-ring high quality in terms of implementation of laws and governance. The function also creates value by preventing faults that could lead to big sanc-tions and losses in the operational business, by creating customer confiden-ce and by creating a security for different stakeholders with the fact that the bank is properly managed.
Innehåll
1. Inledning ... 1
1.1 Bakgrund och problemformulering ... 1
1.2 Syfte ... 5
2. Vetenskaplig metod ...7
2.1 Forskningsansats och forskningsmetod ...7
2.2 Val av teori ...7
3. Institutionalia ... 11
3.1 Internrevisorns roll enligt IIA ... 11
3.2 Finansinspektionens riktlinjer... 12
3.3 Baselkommitén ... 13
4. Teoretisk referensram och tidigare forskning ... 17
4.1 Riskhantering i banker ... 17 4.2 Internrevisionens kärnvärde ... 19 4.3 Internrevisionens mervärde ... 21 4.4 Upplevt värde... 23 4.5 Sammanfattande modell ... 24 5. Empirisk metod ... 27 5.1 Empiriinsamling ... 27 5.2 Urval ... 28 5.3 Operationalisering ... 29
5.4 Empiribearbetning och analys av empirin ... 30
5.5 Etik ... 31 6. Resultat... 33 6.1 Sammanställning av respondenter ... 33 6.2 Sammanfattning av intervjuer ... 33 6.2.1 Riskhantering i banker ... 33 6.2.2 Internrevisionens kärnvärde ... 38 6.2.3 Internrevisionens mervärde ... 41 6.2.4 Upplevt värde ... 44 7. Analys ... 47
7.1 Riskhantering i banker ... 47
7.1.1 De tre försvarslinjerna och risk management ... 47
7.1.2 Internrevisionsprocessen och myndigheternas krav ... 49
7.2 Internrevisionens kärnvärde ... 50
7.2.1 Internrevisionens utveckling ... 50
7.2.2 Internrevisionens kärnuppdrag ... 51
7.2.3 Intern eller outsourcad internrevision ... 53
7.3 Internrevisionens mervärde ... 54 7.3.1 Bankens mål... 54 7.3.2 Rådgivning ... 54 7.3.3 Intressentgrupper ...55 7.4 Upplevt värde ... 58 7.4.1 Funktionella värden ... 58 7.4.2 Socialt värde ... 59 7.4.3 Emotionellt värde ... 59 7.4.4 Värdeskapande på lång sikt ... 60
7.5 Modifiering av teoretisk modell ... 60
8. Slutsats ... 65
8.1 Studiens slutsats ... 65
8.2 Studiens kunskapsbidrag... 69
8.3 Förslag till vidare forskning ... 69
Figurförteckning
Figur 1. Egenskapad teoretisk modell.
Figur 2. Modifiering av den egenskapade teoretiska modellen.
Tabellförteckning
Tabell 1. Matris över teman som använts i empiribearbetningen Tabell 2. Sammanställning av respondenter.
Tabell 3. Citat från respondenterna berörande bankernas riskhantering. Tabell 4. Citat från respondenterna berörande internrevisionens kärnvärde. Tabell 5. Citat från respondenterna berörande internrevisionens mervärde. Tabell 6. Citat från respondenterna berörande internrevisionens upplevda värde.
1
1. Inledning
1.1 Bakgrund och problemformulering
Internrevisionens roll är att internt granska verksamheten, övervaka att lagar efterföljs, övervaka att ekonomin sköts effektivt och att hjälpa företag nå sina mål genom utvärdering samt förbättring av styrning, riskhantering och kontrollprocesser (Arwinge, 2019;Xiangdong, 1997). Funktionen omfattar en mängd områden inom olika verksamheter som bidrar till att ledning och styrelse får en balanserad bild av hur väl processer och ruti-ner fungerar (PwC, 2020). Internrevisionen hjälper organisatioruti-ner att uppnå sina mål mer effektivt och bidrar till ett högre resultat genom att funktionen utvärderar nuläget samt ger förslag på åtgärder för högre effektivitet inom ledningsprocesser, riskhantering, internkon-troll och styrning (ibid). Internrevisorerna har fått uppleva sin roll gå från att utföra tradi-tionella arbetsuppgifter inom internkontroll till att istället fokusera på att tillföra värde i organisationen (Brody & Lowe, 2000). Ett bevis på den nya innebörden av internrevisionen (som definieras av IIA) är att arbetet som internrevisorerna utför inte längre är begränsat till uppgifter kring försäkran utan numera även innehåller rådgivning (Brody & Lowe, 2000). Alla finansiella institut som Finansinspektionen har tillsyn över har olika krav som måste efterföljas vad gäller styrning och kontroll (PwC, 2005). Detta omfattar banker, kre-ditinstitut, försäkringsföretag samt värdepappers- och fondbolag (PwC, 2005). En obero-ende granskning bidrar till bättre rutiner och ger styrelsen goda underlag för uppföljning av den interna kontrollen (ibid). Enligt Finansinspektionens föreskrifter och allmänna råd om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1) måste svenska banker ha en internrevisionsfunktion och denna ska arbeta enligt riktlinjerna i föreskriftens nionde kapitel.
Trots att internrevision till en viss grad praktiserats av regeringar samt kyrkan i över 5000 år var det inte först under 1940-talet som det blev relevant för olika typer av organisationer (Dittenhofer, 2001). En orsak till internrevisionens ökade betydelse var den ekonomiska situationen under 1940-talet då resurser var begränsade på grund av pågående krig (ibid). Dittenhofer (2001) förklarar att detta ledde till att organisationer, vilka bestod av regering-en och privata företag, började leta efter lösningar som både skulle effektivisera landets tillverkning samt effektivisera ekonomin.
I Sverige har styrelser och tillsynsmyndigheter efter bland annat Enronskandalen och fi-nanskrisen 2008 insett att det finns ett behov av att öka internrevisionens ställning, ansvar och befogenheter (Lundström, 2016; Franck & Sundgren, 2010). Företagsintressenter och regelverk ställer krav på att företagen ska förbättra den interna kontrollens mognad, struk-tur och formalisering då man anser att en bristfällig och informell sådan funktion är en av
2
orsakerna till varför dessa skandaler inträffar (Widengren & Wendt, 2014). Anledningen till varför Enronskandalen var med och bidrog till en ökad kännedom om nödvändigheten av internrevision var bland annat det involverade företagets medvetet felaktiga bokföring (De-gerfeldt, 2011). Skandalen slutade med att företaget gick i konkurs, aktieägarna förlorade enorma belopp och den ansvariga styrelsen samt ledningen fick långa fängelsestraff (ibid). Davies och Zhivitskaya (2018) förklarar att en av orsakerna till finanskrisen 2008 var bank-tjänstemän i den löpande verksamheten som tjänade stora bonusar på att sälja lån varvid de fortsatte göra detta, trots att de var osäkra och av låg kvalité. Högst upp i organisationen finns styrelsen som ska se till att företaget fokuserar på långsiktigt vinstskapande och inte drivs av att göra vinster på kort sikt (Davies & Zhivitskaya, 2018). Davies och Zhivitskaya (2018) menar att många banker misslyckades med att följa dessa interna riktlinjer vilket ledde till att man exponerades för stora risker och därmed skadades företaget samt mark-naden. Finanskrisen bidrog i sin tur till att politiker och myndigheter blev mer skeptiska till globaliseringen av finansmarknaden än tidigare (Ekholm, 2013). Det är av yttersta vikt att banker har en fungerande riskhantering för att undvika händelser så som den senaste fi-nanskrisen (Rad & Wahlström, 2010). Idag är internrevision ett av de mest aktiva finansiel-la verktygen som finns där medlemsorganisationen, vid namn The Institue of Internal Au-ditors (IIA) har närmare 100 000 medlemmar i fler än 150 länder världen över (Dittenho-fer, 2001). Rad och Wallström (2010) förklarar att riskmätning är ett område inom intern-revision som diskuteras alltmer samt att detta har inneburit en högre arbetsbörda för in-ternrevisorer när bland annat modeller ska granskas. En annan anledning till riskmätning-ens ökade betydelse i banker är också en följd av bland annat den internationella överriskmätning-ens- överens-kommelsen för kapitalsäkring, Basel 2 (Rad & Wallström, 2010).
Det faktum att riskhantering har blivit ett så omdebatterat område bidrar med ytterligare bevis på att betydelsen av internrevision i svenska banker har ökat med tiden (Brody & Lowe, 2000). En annan faktor som sannolikt bidragit till att betydelsen av internrevision ökat är den utveckling många banker gjort där de som till en början bedrev lokal verksam-het, idag har växt och etablerat sig utomlands (Ekholm, 2013). De eventuella positiva effek-terna av detta har dock på senare tid börjat vägas upp mot de negativa, där exempelvis de risker som följer med en större verksamhet och en expandering tas i större beaktning än tidigare (ibid). Ekholm (2013) förklarar att dessa risker i sin tur kan leda till stora brister. Ett aktuellt och välkänt exempel på en skandal i banksektorn är Swedbank härvan, där Fi-nansinspektionen fastställde att banken haft stora brister i sitt arbete med att förebygga penningtvättsrisker i sin Baltiska verksamhet (Finansinspektionen, 2020). Swedbank hade inte heller levt upp till kraven i penningtvättsregelverken vad gäller den svenska verksam-heten vilket slutligen resulterade i att de fick en varning samt böter motsvarande fyra mil-jarder kronor (Finansinspektionen, 2020).
3
Händelser likt Swedbank härvan har haft en påverkan på den tillväxt internrevisionen upp-levt i framförallt den finansiella sektorn (Lundström, 2016). Det märks, inte minst, genom att det i var och en av Sveriges största banker idag arbetar ett hundratal personer inom in-ternrevision (ibid). Inom till exempel revisorsbranschen sägs det att inin-ternrevisionen har utvecklats till att bli styrelsens högra hand vilket har lett till att deras arbete i större ut-sträckning bedrivs avskilt från operativ verksamhet och därför också mer objektivt (Ols-son, 2014). Den tillväxt som internrevisionen har genomgått har med stor sannolikhet bi-dragit till att öka funktionens trovärdighet eftersom en objektiv bedömning är mer pålitlig (Gustafsson, 2019). Det betonas dock att även negativa effekter kan uppstå av en mer ut-vecklad internrevision vad gäller oberoendet (ibid). En av de nackdelar som lyfts är att in-ternrevisionen får en större roll vilket leder till att internrevisorerna får fler arbetsuppgifter än tidigare och dessa kan därför komma att stå i konflikt med varandra (ibid). Gustafsson (2019) lyfter upp kombinationen av kontroll och rådgivning som ett exempel på konflikte-rande uppgifter.
Som tidigare nämnts är en stor påverkan som de aktuella skandalerna har haft på banker-na, och på andra branscher, att det har lett till en ökad vilja att fokusera på samt utveckla området riskhantering (Widengren & Wendt, 2014). Det har resulterat i att många före-tag under det senaste årtiondet har gått mot en utveckling av riskhanteringen som bland annat omfattar en tydligare distinktion mellan funktioner som berör risktagande och kon-troll av risker (Arwinge & Rost, 2013). Många verksamheter har genomgått förändringar genom åren där marknaderna utvidgats från att vara nationella till att bli internationella (Widengren & Wendt, 2014). Både nationella och internationella lagar förändras konstant och blir mer komplicerade (ibid), vilket är en utveckling som internrevisorerna måste följa (Xiangdong, 1997). Digitalisering, marknadsexpansion och snabb utveckling likaväl som ökningen av strikta regler, både på lokal och internationell nivå, är några av orsakerna till varför man ser en tillväxt av komplicerade risker som moderna organisationer idag måste hantera (Luburic, 2017). Agentteorin lyfter fram problematiken med asymmetrisk informa-tion mellan en principal och en agent och förklarar samtidigt hur revision kan fylla denna lucka (Adams 1994; Corten, Steijvers & Lybaert, 2017). I agentteorin nämns externrevision i större omfattning, men med internrevisionens utvecklade roll tror vi att funktionen kan ta en större plats när det kommer till att motverka den asymmetriska informationen mellan agenter och principaler i banken. Internrevisionen nämns knappast i agentteorin och vi hoppas därför att denna studie ska bidra med mer kunskap på det området.
I denna studie kommer vi undersöka hur internrevision skapar värde i svenska banker vil-ket förutsätter en definiering av värdebegreppet. Med utgångspunkt i de fyra
värdedimen-4
sionerna som består av funktionellt värde - pris, funktionellt värde - kvalité, socialt värde och emotionellt värde (Sweeney & Soutar, 2001; Corten, Steijvers & Lybaert, 2017) kommer vi undersöka det upplevda värdet som skapas av internrevision i svenska banker. De fyra värdedimensionerna är enligt Corten, Steijvers och Lybaert (2017) lämpliga att använda sig av för att analysera det värde som skapas av revision i företag. Andra modeller där man bara utgått från pris och kvalitet, bland annat modellen som Lepak, Smith och Taylor (2007) formulerat anses inte beskriva det upplevda värdet tillräckligt, utan fler dimensio-ner krävs. Dessa värdedimensiodimensio-ner kommer därför att appliceras för att analysera hur in-ternrevision tillför ett värde i svenska banker utifrån olika aspekter för att skapa en hel-hetsbild.
Internrevisionens utveckling under framförallt det senaste decenniet har gjort att vi funnit vårt syfte forskningsvärt och aktuellt där studien kan bidra med värdefull kunskap. Vi har upptäckt att det finns en del studier om internrevisionens värdeskapande, men mestadels applicerat på andra typer av företag och inte många fördjupade på bankområdet. En tidiga-re studie som hittats är Koutoupis och Tsamis (2009) som undersökt interntidiga-revisionens betydelse i grekiska banker. En annan studie som hittats är Mihret och Woldeyohannis (2008) som undersökt internrevisionens värdeskapande i Etiopens näst största offentliga bolag, ett telekommunikationsbolag. I studien berörs internrevisionens värdeskapande, men det är inom en annan bransch och i ett annat land. Ser man till studier som handlar om internrevisionens värdeskapande i just svenska banker är området inte brett utforskat enligt vår uppfattning. Utöver det är både Koutoupis och Tsamis (2009) samt Mihret och Woldeyohannis (2008) studier utförda för mer än 10 år sedan och mycket har hänt sedan dess enligt tidigare nämnd fakta. Vi kommer att undersöka hur internrevision skapar värde i svenska banker genom att analysera det med teorier som bland annat risk management, agentteorin och intressentteorin för att även koppla till de luckor som lyfts i befintlig forsk-ning där internrevision kan fylla en funktion. En teoretisk modell kommer att skapas med utgångspunkt i bankens riskhantering som sedan utgrenar sig i internrevisionens kärnvär-den och mervärkärnvär-den. Slutligen sammanfattas detta med vilka upplevda värkärnvär-den som intern-revisionen skapar i banken utifrån Sweeney och Soutars (2001) fyra värdedimensioner och Rappaports (2006) beskrivning om värdeskapande på lång sikt. Vi hoppas att denna studie ska kunna vara ett bidrag till alla svenska banker genom att upplysa om det värde som in-ternrevision kan skapa i verksamheten och därmed öka förståelsen för dess arbete. Vi tror också att studien kommer bidra till att allmänheten får en större kännedom om internrevi-sorers arbete i banken. Slutligen hoppas vi att studien även kan bidra till att bankens olika intressentgrupper kan få en större inblick i hur riskhanteringen fungerar och att de ska kunna fördjupa sig i internrevisionens roll samt det värde som funktionen skapar.
5
1.2 Syfte
7
2. Vetenskaplig metod
2.1 Forskningsansats och forskningsmetod
Utifrån studiens syfte att undersöka hur internrevision skapar värde i svenska banker utgår vi från en kvalitativ forskningsmetod. Enligt Bryman och Bell (2017) fokuserar den kvalita-tiva forskningen på hur människor uppfattar verkligheten och att den ständigt är under förändring. Kvalitativ forskning utgår också från att skapa en förståelse för verkligheten (Bryman & Bell 2017) genom att ta del av välgrundade data som på ett nyanserat sätt be-skriver det som undersöks (Jacobsen, 2002). Studiens kunskapsteoretiska ståndpunkt är interpretativ vilket enligt Bryman och Bell (2017) innebär att fokuset ligger på att skapa en förståelse av den sociala verkligheten och hur deltagarna där uppfattar den. Då syftet är att undersöka internrevision och skapa en förståelse för hur det skapar värde i svenska banker anser vi den strategin som mest lämplig. Målet är att utgå från deltagarnas uppfattning för att undersöka deras bild av verkligheten och detta är något som karaktäriserar den kvalita-tiva forskningsmetoden enligt Bryman och Bell (2017). Ansatsen i denna studie är induktiv, men med deduktiva inslag. Den deduktiva ansatsen innebär enligt David och Sutton (2016) att man utifrån befintlig teori utformar hypoteser som sedan prövas genom datainsamling-en. Den induktiva ansatsen är däremot explorativ vilket innebär att man vill utforska ett område och att man utifrån datainsamlingen kan skapa sig nya teoretiska idéer (David & Sutton, 2016). Det är datainsamlingen som ger bilden av hur verkligheten ser ut som däref-ter leder till forskarens tolkning i den induktiva ansatsen till skillnad från den deduktiva ansatsen där forskarna från start har sin uppfattning av verkligheten som de genom datain-samlingen vill testa (Jacobsen, 2002). I studien vill vi skapa oss en förståelse för hur intern-revisionens värdeskapande i svenska banker ser ut i verkligheten genom kvalitativa inter-vjuer där vi utgår från respondenternas bild, vilket är induktivt. Dock återfinns även deduk-tiva inslag genom att studien utgår från befintlig teori för att skapa en preliminär bild av internrevisionens värdeskapande som sätts i kontext till datainsamlingen. Därav dras slut-satsen att studien är induktiv, men med deduktiva inslag. Enligt Bryman (2018) ska slutsat-serna som dras när man utgår från en induktiv ansats härledas från den empiriska datain-samlingen vilket är det tillvägagångssätt vi kommer att använda oss utav.
2.2 Val av teori
För att undersöka syftet har en teoretisk modell skapats. Modellen börjar med att undersö-ka hur svensundersö-ka banker organiserar sin riskhantering för att sedan fördjupa sig i vilundersö-ka kärn-värden och merkärn-värden som funktionen för internrevision har i banken. Avslutningsvis un-dersöks vilket värdeskapande som upplevs utifrån de kärnvärden och mervärden som tas fram. För att utreda hur riskhantering är uppbyggt i banker lyfts bland annat risk manage-ment av Alexander (1992) följt av modellen “three lines of defence” (Davies & Zhivitskaya,
8
2018; Luburic, Perovic & Sekulovic, 2015). Three lines of defence är en arbetsmodell som banker arbetar efter när det kommer till sin riskhantering och internkontroll (Luburic, 2017). Rad och Wahlströms (2010) forskning kring riskmätning inom banker berörs också eftersom de tar upp intressanta aspekter kring hur internrevision kan arbeta med risker. Avsnittet avslutas med Koutoupis och Tsamis (2009) beskrivning av hur banker steg för steg kan planera sin granskning.
För att undersöka vilka kärnvärden internrevisionen tillför utgår vi från tidigare studier (Arwinge, 2019;Xiangdong, 1997;Brody & Lowe, 2000;Luburic, Perovic & Sekulovic, 2015). Agentteorin beskrivs av bland andra Adams (1994) och Corten, Steijvers och Lybaert (2017) eftersom problematiken som belyses ger en god bild av revisionens kärnuppdrag som en typ av övervakningsfunktion inom verksamheten.
Därefter fördjupar vi oss i internrevisionens mervärde med hjälp av tidigare studier som visar på vad för värde som skapas utöver det som tillhör kärnuppdraget, enligt Grönroos (1997) definition av mervärde. Mervärdet som skapas av internrevision undersöks med forskning av bland andra Arwinge (2019) samt Mihret och Woldeyohannis (2008). Även intressentteorin lyfts upp under detta avsnitt genom forskning av Wu och Wokutch (2015), Jensen (2001) och Gibson (2000) med flera. Intressentteorin tas upp eftersom den visar på vikten av goda kontakter med företagets intressenter som Arwinge (2019) menar är en av de centrala aspekterna till att förtroende skapas för internrevisionen vilket gör den hållbar på lång sikt.
I sista steget av modellen beskrivs det upplevda värdet som skapas av internrevision i ban-ken. Fokuset läggs främst på Sweeney och Soutars (2001) modell med de fyra värdedimen-sionerna vilken även beskrivs av Corten, Steijvers och Lybaert (2017). För att koppla det till annan forskning kring värdeskapande lyfts Lepak, Smith och Taylors (2007) definition av värdeskapande och dessa aspekter anser vi falla in under modellen med de fyra värdedi-mensionerna. Flera forskare betonar vikten av att fokusera på långsiktigt värdeskapande vilket vi beskriver genom studier av Rappaport (2006) och Jensen (2001). Den teoretiska modellen bygger därför på de fyra värdedimensionerna samt värdeskapande på lång sikt när det kommer till att analysera det upplevda värdet av internrevision i svenska banker. Den teoretiska referensramen sammanfattas i det sista avsnittet med en egenskapad mo-dell. Modellen börjar med att utreda hur bankernas riskhantering är utformad då många studier visar på att det är områden där internrevisionen har en stor roll. Fortsättningsvis undersöks vilka kärnvärden och mervärden som funktionen skapar i banken. Slutligen
för-9
djupar sig modellen i hur banker upplever värdet av internrevisionen med betoning på dem fyra värdedimensionerna samt värde på lång sikt.
11
3. Institutionalia
3.1 Internrevisorns roll enligt IIA
The International Professional Practises Framework (IPPF) är ett ramverk framtaget av IIA som förklarar hur en internrevisor ska utföra sin internrevision på ett optimalt sätt. Ramverket definierar internrevision som följande:
”Internrevision är en oberoende, objektiv säkrings- och rådgivnings-verksamhet med uppgift att tillföra värde och förbättra rådgivnings-verksamheten i olika organisationer. Internrevisionen hjälper organisationen att nå sina mål genom att systematiskt och strukturerat värdera och öka ef-fektiviteten i riskhantering, styrning och kontroll samt ledningsproces-ser.” (IIA Sweden, 2020)
IIA (The Institute of Internal Auditors) är en förening som arbetar med internrevision och har som syfte att utveckla yrket samt en god internrevisionssed (IIA Sweden, 2020). Föreningen skapades år 1941 i Florida och har hundratusentals medlemmar världen över (ibid). Enligt IIA Sweden (2020) skapar internrevision en trygghet för ägare samt ledning i företag och beskriver en internrevisors arbetsuppgifter som följande:
“Internrevisionen arbetar bland annat med att:
- bedöma risker, kontroller, etik, kvalitet och effektivitet
- säkerställa att kontrollerna är tillräckliga för att minska de risker som organisationen kan möta
- undersöka globala frågor - analysera möjligheter.”
(IIA Sweden, 2020)
IIA Sweden (2020) menar att en internrevisor, på grund av sitt stora perspektiv i företa-get, blir en stor tillgång för ledningen och styrelsen när det kommer till att uppfylla mål och syften, men också när det kommer till att stärka den interna kontrollen samt organisatio-nens struktur. IIA beskriver internrevisorns uppdrag som följande:
“Att utveckla och skydda organisatoriska värden genom att tillhanda-hålla riskbaserad och objektiv försäkran, rådgivning och insikt.”
12
3.2 Finansinspektionens riktlinjer
I 9 kap. av Finansinspektionens föreskrifter och allmänna råd om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1) framgår det att svenska banker måste ha en funktion för internrevision samt vilka riktlinjer som gäller. I 9 kap. 2 § (FFFS 2014:1) nämns det att de som arbetar inom internrevisionsfunktionen inte får delta i arbete i andra funktioner, varken i den operativa verksamheten eller i arbetet med att utforma samt välja riskmodeller eller andra verktyg för att hantera risk. I 9 kap. 3 § (FFFS 2014:1) tas det vida-re upp att de som arbetar med internvida-revision ska ha kunskap om bland annat fövida-retagets verksamhet, rutiner, IT-system, redovisning och värdering av tillgångar samt de risker som företaget är exponerat för. Internrevisorerna ska också ha kunskap om de lagar, förord-ningar samt övriga regler som gäller för verksamheten och även kring de standarder som finns för funktionen (FFFS 2014:1). I 9 kap. 4 § (FFFS 2014:1) uppmärksammas företagets skyldigheter gällande att löpande informera samt ge utbildning om nya produkter och tjänster på den finansiella marknaden till personalen i internrevisonsfunktionen. Kapitlet avslutas med 9 kap. 5 § (FFFS 2014:1) där nio punkter listas för hur funktionen för intern-revision ska fungera. Internintern-revision ska enligt Finansinspektionens föreskrifter och all-männa råd om styrning, riskhantering och kontroll:
“1. Arbeta efter en aktuell och riskbaserad revisionsplan som styrelsen fastställt,
2. Granska och regelbundet utvärdera om företagets organisation, styrningsprocesser, IT-system, modeller och rutiner är ändamålsenliga och effektiva,
3. Granska och regelbundet utvärdera om företagets interna kontroll är ändamålsenlig och effektiv,
4. Granska och regelbundet utvärdera företagets riskhantering utifrån dess beslutade riskstrategi och riskaptit,
5. Granska och utvärdera om företagets interna regler är lämpliga och förenliga med lagar, förordningar och andra regler,
6. Granska och utvärdera tillförlitligheten i företagets finansiella rap-portering, inklusive åtaganden utanför balansräkningen,
7. Granska och regelbundet utvärdera tillförlitligheten och kvaliteten på det arbete som utförs inom företagets övriga kontrollfunktioner,
13
8. Lämna rekommendationer till berörda personer, baserade på de iakttagelser funktionen gjort, och
9. Följa upp om åtgärderna enligt 8 genomförs” (FFFS 2014:1, s. 11).
När det kommer till banker ansvarar Finansinspektionen för:
“Tillsyn av banker, kreditföretag och betalföretag Tillsyn över penningtvättfrågor
Tillsyn av konsumentskyddsfrågor inom kredit- och betalområdet Tillståndsärenden och modellprövningar
Regelgivning och sanktionsprövningar
Regelverksutveckling inom bankområdet och betalområdet, nationellt och internationellt
Kapital- och redovisningsfrågor
Analys, t.ex. av likviditetsrisk, marknadsrisk, kreditrisk och operativa risker” (Finansinspektionen, 2019).
3.3 Baselkommitén
Baselkommitén för banktillsyn skapar standarder, riktlinjer och rekommendationer som är normgivande för många tillsynsmyndigheter (Finansinspektionen, 2018). Kommittén är ett nätverk för tillsynsmyndigheter som sträcker sig globalt (ibid). Andra uppgifter kommittén har är att säkerställa det lokala tillsynssamarbetet genom regionala kommittéer samt att ha hand om utbildning inom tillsynsområdet (ibid). Kommitténs syfte är först och främst att försöka skapa en ökad förståelse för viktiga tillsynsfrågor och att se till att kvaliteten på banktillsyn i omvärlden blir bättre (ibid).
Baselkommitén har bland annat skapat de tidigare regelverken för kapitaltäckning vilka är Basel 1 och 2, samt Basel 3 som är det gällande regelverket för kapitaltäckning (ibid). Kommittén har även skapat de så kallade 28 grundläggande principerna för effektiv bank-tillsyn (Core Principles for effective bankning supervision), där dessa principer används som grund för Internationella Valutafondens utvärderingar av dess medlemsländers bank-tillsyn (ibid).
14
Baselkommitén är en del av Bank for International Settlement (BIS) och organisationen har sitt säte i Basel, Schweiz (ibid). Kommittén arbetar fram breda tillsynsstandarder och rikt-linjer samt rekommenderar uttalanden av bästa praxis i banktillsyn i väntan på att med-lemsmyndigheter och andra länders myndigheter ska vidta de nödvändiga åtgärderna för att kunna genomföra dem genom sina egna nationella system (ibid).
Anledningen till varför det gällande regelverket Basel 3 skapades var att kommittén i juli 2009, som en följd av finanskrisen, kom överens om ett förändrat regelverk (Basel Commit-tee on Banking Supervision, 2009c se Niemeyer, 2016). Det regelverk som uppstod ur detta brukar kallas Basel 2,5 vars syfte var att omgående lyckas åtgärda de risker som hade blivit uppenbara under finanskrisen (Basel Committee on Banking Supervision, 2011a se Nie-meyer, 2016). Basel 2,5 var dock bara en tillfällig lösning och Baselkommitén kom till insik-ten att mer behövde göras (ibid). Detta gjorde att kommittén arbetade fram ett större re-formpaket som kom att kallas Basel 3. Det nya regelverket för kapitalkraven blev klart i december 2010 med en liten justering i juni 2011 (ibid). Regelverket ska användas bland annat till för att:
“Öka kvaliteten och kvantiteten på bankens kapital Fånga fler typer av risker än tidigare.
Öka bankernas motståndskraft genom att införa kapitalbuffertar Minska procyklikaliteten i regelverket,
Minska systemriskerna,
Säkerställa att bankerna har en miniminivå av likvida medel, Begränsa löptidsskillnaden mellan bankernas tillgångar och skulder, Begränsa bankernas skuldsättning och minska beroendet av bankernas egna modeller,
Begränsa bankernas stora exponeringar mot enskilda motparter, Förstärka regelverket för exponeringar i handelslagret”
(Niemeyer, 2016, s. 73).
Det bestämdes att dessa nya regleringar successivt skulle fasas in till år 2019 och att alla förändringar skulle vara gjorda till 2023 (Niemeyer, 2016).
15
Berörande internrevisionen i banker finns regelverk med riktlinjer gjorda av Baselkommit-tén (Basel Committee on Banking Supervision, 2012). 2012 ersattes det tidigare regelverket från 2001 gällande riktlinjer för att effektivisera funktionen för internrevision i banker (ibid). Skillnaden mellan dessa två är att den senare tar med utvecklingen i kontrollfunktio-ner i bankorganisatiokontrollfunktio-ner med lärdomar från finanskrisen (ibid). Regelverket består numera av 95 punkter som bland annat beskriver att banker bör ha en funktion för internrevision som uppehåller en viss kvalitet gällande exempelvis självständighet (ibid). Dessa 95 punk-ter är uppdelade och faller under 20 principer (ibid).
17
4. Teoretisk referensram och tidigare forskning
4.1 Riskhantering i banker
Rad och Wahlström (2010) lyfter fram hur riskmätning inom banker fått större uppmärk-samhet efter den senaste finanskrisen vilket även medfört att internrevisorerna fått en stör-re roll. Även Davies och Zhivitskaya (2018) argumenterar för en fungerande riskhantering inom banken för att undvika händelser så som den finanskrisen. Rad och Wahlström (2010) lyfter fram tre grundläggande antaganden som används i en modell för riskmätning där det första av dessa är att man använder historiska värden för att se hur framtiden kommer att se ut. Det andra antagandet går ut på att bortse från “Lagen om ett stort antal observationer” där författarna menar att det ger en missvisande bild att mäta många gånger under lång tid och det istället är viktigt att analysera enskilda avvikelser (Rad & Wahlström, 2010). Det tredje och sista antagandet handlar om hur banktjänstemannen bedömer risken i olika val och att detta görs oberoende, vilket dock motsägs av att individer även handlar utifrån ett egenintresse (Rad & Wahlström, 2010) som stärks av agentteorin (Corten, Steij-vers & Lybaert, 2017;Adams, 1994;Runesson, Samani & Marton, 2018).
Riskhantering innebär enligt Alexander (1992) planerade åtgärder för att minska riskerna och negativa följdeffekter av olika händelser som sker i ett företag. Alexander (1992) lyfter fram att alla affärsbeslut medför en mängd olika risker, till exempel för arbetarna, likvidite-ten eller miljön. Riskhantering innebär därför att man identifierar riskerna för att kunna ta bort eller kontrollera dem samt hantera deras påverkan på verksamheten (Alexander, 1992). Det innebär enligt Alexander (1992) också att man fördelar ansvar och planerar för olika scenarion samt katastrofer utifrån identifiering av riskerna. Aebi, Sabato och Schmid (2011) förklarar att riskhantering på ett kvantitativt plan fokuserar på specifika risker så som likviditetsrisker och att det även finns ett strukturellt plan som innefattar kommunika-tion till ledningen. Fler lagar och tvister har gjort ledningen uppmärksamma på behovet av en effektiv kontroll (Alexander, 1992) så som exempelvis finanskrisen (Davies & Zhivitska-ya, 2018; Aebi, Sabato & Schmid, 2011). Ansvaret för personalens hälsa, företagets miljöpå-verkan och för lönsamheten ligger enligt Alexander (1992) hos ledningen. Därför kommer de sträva efter att delegera ansvaret för riskhanteringen till de som är direkt ansvariga för tjänsten och har kompetensen som krävs (Alexander, 1992;Luburic, Perovic & Sekulovic, 2015) samtidigt som det i riskhanteringen även ingår ett fokus på hur riskerna ska kommu-niceras vidare till ledningen (Aebi, Sabato & Schmid, 2011). Alexander (1992) menar att alla investeringsbeslut innebär finansiella risker, alla arbetsplatser innebär hälso- och säker-hetsrisker och olika affärsverksamheter innebär risker för miljön medan Aebi, Sabato och Schmid (2011) argumenterar för att bankens verksamhet är en risk och att riskhantering borde ha en ännu större roll än idag för att kunna möta framtida kriser. Riskhantering är en
18
av de funktioner där internrevisionen huvudsakligen skapar värde med tanke på de inve-steringar som härleds från expansionsplanerna företaget har (Mihret & Woldeyohannis, 2008).
Alexander (1992) förklarar att risk management innehåller följande steg: 1) Identifiering - Använda olika tekniker för att fastställa alla hot mot företaget
2) Analys - Utvärdera den troliga frekvensen och allvaret av det möjliga hotet
3) Kontroll – Med hjälp av fysiska åtgärder och/eller genom att utbilda personal för att reducera eller eliminera de identifierade hoten och dess ekonomiska konsekvenser
4) Finansiering av risk – Eftersom risker aldrig helt kan elimineras måste företaget ha en plan för hur de ska hantera dessa förluster
Three lines of defence (De tre försvarslinjerna) är en modell som rekommenderas av norm-givare för en effektiv riskhantering inom bland annat banker (Davies & Zhivitskaya, 2018; Luburic, Perovic & Sekulovic, 2015). Europeiska Bankmyndigheten (2017) är en av dem organisationer som satt upp riktlinjer för modellen. Försvarslinjerna skyddar företaget från att misslyckas genom att inte låta risker gå förbi obemärkta (Luburic, Perovic & Sekulovic, 2015) och de följaktiga konsekvenser det kan leda till för intressenterna, så som kreditgiva-re och aktieägakreditgiva-re (Davies & Zhivitskaya, 2018). Modellen skyddar även fökreditgiva-retaget genom att man ser till att riskaptiten, det vill säga den mängd risk man är villig att ta, inte bryts (Davi-es & Zhivitskaya, 2018). De tre försvarslinjerna förklaras enligt följande (Lubu-ric, Perovic & Sekulovic, 2015; Davies & Zhivitskaya, 2018;Luburic, 2017):
Första försvarslinjen = Riskhantering i företagets frontlinje, det vill säga där de primä-ra intäkterna kommer in. Hit hör alltså funktioner som äger risker. Denna försvarslinje beskrivs som den operativa ledningen.
Andra försvarslinjen = Funktioner som ansvarar för att utveckla metoder för riskhan-teringen, ger stöd till första försvarslinjens arbete med att identifiera risker och rapporterar till ledningen. Det är också funktioner som ger stöd så som HR, juridik, regelefterlevnad och framförallt den centrala funktionen för riskhantering i företaget. Den andra försvarslin-jen utvecklar bland annat riktlinjer, metoder och utbildning som ska hjälpa företaget att vara uppmärksamma på de risker som finns. Denna försvarslinje beskrivs som “the risk management function”, det vill säga funktionen för riskhantering.
Tredje försvarslinjen = Internrevision som pålitligt ska granska effektiviteten i företa-gets riskhantering samt internkontrollen som finns. Internrevisionen ska rapportera till den högsta ledningen i företaget och till revisionsgruppen. Det som skiljer internrevisionen från de två andra försvarslinjerna är dess höga grad av självständighet och oberoende. Detta är därmed en funktion som bidrar med en oberoende granskning.
19
Luburic (2017) förklarar att internrevision i en organisation ska identifiera risker och möj-ligheter vilket påverkar hur företagets mål uppnås. Riskhantering i företag fungerar en-ligt Luburic, Perovic och Sekulovic (2015) bäst när det finns tre separata försvarslinjer. Syf-tet med att organisera sig enligt de tre försvarslinjerna är att undvika att risker ska passera förbi obemärkta samt att förklara hur de anställa ska arbeta tillsammans för att lyckas i sin riskhantering (Luburic, Perovic & Sekulovic, 2015). Luburic (2017) menar att internrevisio-nen starkt bidrar till att minska de operationella riskerna i banker.
Davies och Zhivitskaya (2018) lyfter fram en del kritik som riktats mot “three lines of de-fence”, bland annat att en modell med tre separata grupper som arbetar med att förebygga risker inbringar en falsk trygghet. Trots kritiken menar Davies och Zhivitskaya (2018) att "three lines of defence” är den mest noggrant formulerade riskhanteringsmodellen som utvecklats och att det i dagsläget inte finns något lämpligt alternativ till den utifrån dess innehåll. Både Luburic (2017) samt Davies och Zhivitskaya (2018) argumenterar för att modellen kan effektiviseras och förbättras.
Koutoupis och Tsamis (2009) har tagit fram en modell för hur planering av granskningen kan läggas upp i en bank och stegen ser ut som följande:
1. Dela upp bankens verksamhet i olika delar, så som till exempel avdelningar, grenar och dotterbolag.
2. Identifiera riskfaktorer, så som storleken på enheten som ska granskas, organisa-tionsmässiga förändringar i enheten, antalet transaktioner, avvikelser från den fast-ställda budgeten, produktutveckling med mera.
3. Bedöm riskerna med en skala, till exempel hög risk, medelrisk och låg risk.
4. Bestäm vilken typ av granskning som ska göras baserat på risknivån som ledningen efterfrågar. Internrevisionen kan till exempel granska de höga riskområdena en gång per år, medelriskområdena vartannat år och de låga riskerna vart tredje år. Den kontinuerliga riskbedömningen görs för att ha en effektiv granskning vars syfte är att förebygga riskernas förverkligande. Genom detta får man även större kunskap och riskerna kan komma att omvärderas.
4.2 Internrevisionens kärnvärde
Arwinge (2019) förklarar att internrevisionen hjälper företag att uppnå sina mål genom utvärdering och därmed förbättring av styrning, riskhantering och kontrollprocesser. Enligt Arwinge (2019) är internrevisionens huvuduppdrag att försäkra styrelse och chefer om att risker sköts på ett effektivt sätt samt att värdeskapande är en självklar del av dess roll. Mycket av internrevisorns roll är enbart revision och det innebär att man tittar tillbaka på
20
det som varit och granskar för att kunna utveckla företaget (ibid). Xiangdong (1997) argu-menterar för att internrevisorns roll är att internt granska verksamheten, övervaka så att lagar följs samt att ekonomin sköts effektivt. Brody och Lowe (2000) förklarar även att in-ternrevisorernas ursprungliga roll enbart var att granska företaget och göra en försäkran, men att dess roll på senare år har kommit att utvecklas till att även ge rådgivning och skapa värde. Enligt Luburic, Perovic och Sekulovic (2015) bidrar internrevisionen med en gransk-ning av effektiviteten i företagets styrgransk-ning, riskhantering och internkontroll.
Corten, Steijvers och Lybaert (2017) menar att agentteoretiska förhållanden är orsaken till att många företag efterfrågar revision och att efterfrågan ökar ju fler agentproblem man har vilket även Adams (1994) berör när han argumenterar för att teorin beskriver internre-visionens funktion samt förhållningssätt. Agentteorin utgår från att agenter, i detta fall che-fer i företaget, har mer information än principalerna, i detta fall ägarna av företaget, vilket medför asymmetrisk information som gör att ägaren får svårt att kontrollera om dess in-tresse verkligen uppfylls av cheferna (Adams, 1994;Runesson, Samani & Marton, 2018). Agentteorin menar att alla parter i ett företag agerar ekonomiskt rationellt vilket medför att aktieägarna försöker övervaka cheferna när de verkar utifrån ett egenintresse för att hindra ett fall i den egna välfärden (Corten, Steijvers & Lybaert, 2017;Adams, 1994). Revision för-klaras i agentteorin som en av dem bidragande faktorerna till att skydda verksamheten mot de intressen som olika grupper har i företaget (Corten, Steijvers & Lybaert, 2017). Internre-vision har en sorts bindningsfunktion i kontraktsprocessen mellan ägare och chefer för att uppfylla de krav som finns från externa parter (Adams, 1994). Enligt agentteorin kan före-tag även använda funktionen för internrevision till att granska den ekonomiska redovis-ningen för att på så sätt minska kostnaderna för den externa revisionen (Adams, 1994). Corten, Steijvers och Lybaert (2017) lyfter fram att efterfrågan på revision direkt härstam-mar från den eventuella nivån av agentproblem i företaget där efterfrågan både kommer från agenterna och principalerna. För att uppnå ett kontrakt som både agenten och princi-palen är nöjda med ålägger till exempel principrinci-palen kostnader på extern revision som sä-kerställer de finansiella rapporterna medan agenterna intresserar sig för internrevision för att visa ägarna att de agerar ansvarsfullt och utifrån den arbetsbeskrivning som finns för att på så sätt säkra sina positioner (Adam, 1994). Kostnaderna som avsätts åt internrevision kan ses som en granskningsåtgärd från ägarna för att skydda sina ekonomiska intres-sen (Adams 1994;Corten, Steijvers & Lybaert, 2017). Adams (1994) förklarar också att de företag som outsourcar sin internrevision till andra revisionsföretag tappar lojaliteten samt kunskaperna kring det egna företaget. Det är vanligare att företag som agerar i en komplex miljö väljer att behålla sin internrevision medan de som finns i mindre komplicerade miljö-er oftare outsourcar funktionen (Adams, 1994).
21
Internrevisionens kärnvärden är därmed, utifrån tidigare forskning, att hantera risker, han-tera kontrollprocesser, granska verksamheten och övervaka så att lagarna som finns efter-följs.
4.3 Internrevisionens mervärde
Mihret och Woldeyohannis (2008) har kommit fram till att de faktorer som framförallt påverkar internrevisionens värdeskapande är företagets mål (till exempel vinstdrivande eller icke-vinstdrivande), strategierna som följs och nivån av risker som företaget står in-för. Internrevisionens roll har utvecklats från att enbart granska till att numera även inne-hålla rådgivning och värdeskapande (Brody & Lowe, 2000). Arwinge (2019) argumenterar för att det tydligt framgår att en internrevisor ska hjälpa företag med att nå sina mål och detta sker, utöver genom det som tidigare nämnts som internrevisionens kärnuppdrag, även genom råd och bedömningar kring hur riskerna kan tas hand om effektivt. Funktio-nens arbete är inte längre bara kopplat till säkerhetstjänster, utan har på senare tid även kommit att inkludera rådgivning vilket är en stor källa till värde för hela företaget (Brody & Lowe, 2000;Herda, Petersen & Fontaine, 2014; Arwinge, 2019). Hur företag jobbar med värdeskapande internrevision kan också påverkas av dem risker som finns i miljön som man verkar i där en högriskmiljö kan leda till mer rådgivning (Mihret & Woldeyohannis, 2008). Internrevisionen ska fungera som en pålitlig rådgivare till företagets styrelse, led-ning och hela organisationen (Arwinge, 2019). Rådgivled-ningen som sker kan beröra företagets förvärv och strategier (Brody & Lowe, 2000), förslag på hantering och kontrollering av ris-ker samt ett bidragande till att fel upptäcks i tid vilket skapar mycket värde i företaget (Ar-winge, 2019). Företag som använder sig av en aggressiv strategi kan komma att använda internrevisorerna mer som rådgivare för sitt värdeskapande eftersom man ofta gör nya satsningar till skillnad från de som använder mer tillbakadragna strategier (Mihret & Wol-deyohannis, 2008).
Arwinge (2019) klargör att det ofta är företagsledningen som har önskemål om förbättring-ar och råd, medan styrelsen oftast vill få information om att riskerna i företaget hanteras på ett tillförlitligt sätt. Brody & Lowe (2000) menar att den nya rollen som internrevisorerna fått där även rådgivning inkluderas har skapat ett ifrågasättande kring funktionens obero-ende vilket även Arwinge (2019) lyfter upp. Brody och Lowe (2000) undersökte huruvida internrevisorer såg på den rådgivning de gav företagen och analyserade om det var objektiv feedback till ledningen eller råd som utgick från företagets bästa. Rådgivning och gransk-ning låter inte alltid som en optimal kombination, men en fungerande sådan funktion ska-par enormt mycket värde i företag (Arwinge, 2019). Brody och Lowe (2000) kom fram till att en majoritet av respondenterna i sin studie utgick från företagets intressen i rådgivning-en vilket ifrågasätter om internrevisorerna i sin nya roll kan hålla sig oberorådgivning-ende (Brody och
22
Lowe, 2000). Arwinge (2019) argumenterar för att rådgivning i sig inte behöver påverka oberoendet, men att potentiella intressekonflikter måste tas hand om för att det ska fungera effektivt och därmed vara en källa till värde.
Banker har många intressentgrupper att förhålla sig till (Laeven, 2013). Arwinge (2019) menar att några av internrevisorernas intressenter och uppdragsgivare är styrelsen, VD, externa revisorer, myndigheter, ägare med flera och dessa är enligt Gibson (2000) sådana som kan gynna eller skada företaget. Enligt Xiangdong (1997) ska internrevision bland an-nat se till att lagar efterföljs och därför blir det intressant att lyfta upp intressentteo-rin. Teorin menar på att organisationer måste ta hänsyn till fler intressenter än vad man gör i den traditionella synen där man enbart fokuserar på avkastningen till aktieägarna (Gib-son, 2000). Internrevisionsledare bör ständigt identifiera och hantera de krav som finns från de olika intressenterna där man gör sitt bästa för att uppnå de rimliga förväntningarna och de som är orimliga bör utvärderas (Arwinge, 2019). Wu och Wokutch (2015) argumen-terar för att intressentteorin ses som resultatinriktad då den tar hänsyn till olika gruppers intressen vilket i sin tur leder till att lönsamheten och aktiernas värde ökar. Ett företag kan inte kan skapa långsiktigt värde om det har dåliga relationer till sina kunder, anställda, tillsynsmyndigheter, samhället med flera (Jensen, 2001). Wu och Wokutch (2015) beskriver att det finns primära intressenter och sekundära intressenter där de förstnämnda är sådana som direkt interagerar med företaget genom ekonomiska transaktioner, exempelvis aktie-ägare, kunder och anställda. Sekundära intressenter är sådana parter som kan påverka eller bli påverkade av organisationens handlingar, till exempel media och myndigheter (Wu & Wokutch, 2015). Genom intressentteorin kan man lära chefer och ledning i företag att tänka mer generellt kring hur organisationen påverkar de olika grupperna runt om och inte enbart den finansiella marknaden, till exempel anställda, kunder och leverantörer (Jensen, 2001). Corten, Steijvers och Lybaert (2017) menar att extern revision har en stor betydelse när det kommer till att skydda företagets intressenter. De anställda måste få ett arbetssätt där man bortser från sina egna preferenser, så som att maximera vinsterna på kort sikt, och därför är intressentteorin en viktig aspekt (Jensen, 2001). Genom att ledare tydligt kom-municerar ut internrevisorns roll till olika intressentgrupper kan funktionen skapa sig ett förtroende från sin omgivning vilket gör den hållbar i längden (Arwinge, 2019). Gibson (2000) menar att intressentteorin har tre olika metoder: en beskrivande, en instrumentell och en normativ. Det deskriptiva synsättet innefattar huruvida en viss grupps intressen ska tas i beaktning, det instrumentella synsättet berör det eventuella inflytandet intressenten kan ha på effektivitet i företaget och det tredje synsättet som är normativt belyser varför man ska hänsyn till andras intressen även om det inte alltid ger några fördelar (Gibson, 2000). Wu och Wokutch (2015) lyfter fram ett exempel där företag som inte tillvaratar sina anställdas intressen kommer få medarbetare utan engagemang vilket medför en minskad
23
produktivitet. Enligt Holt och DeZoort (2009) kan företag stärka förtroendet hos sina in-tressenter avseende de finansiella rapporterna kring tillsyn och tillförlitlighet genom att förklara internrevisionens ansvar och uppgifter.
Med utgångspunkt i dessa studier anses internrevisionens mervärde skapas genom rådgiv-ning, bidragande till att företagets mål uppfylls, goda kontakter till företagets olika intres-sentgrupper och god kommunikation med företagets ledning/styrelse.
4.4 Upplevt värde
Lepak, Smith och Taylor (2007) börjar med att definiera vad värde innebär, innan de fördjupar sig i värdeskapandet. De lyfter fram två olika typer av värde: use value och exchange value (Lepak, Smith & Taylor, 2007). Use value förklarar Lepak, Smith och Taylor (2007) som kvalitén användarna uppfattar kring nya produkter, tjänster eller uppgifter med deras behov i fokus. Det kan jämföras med det kvalitetsmässiga funktionella värdet som innefattar den nytta och prestation som fås genom produkten (Sweeney & Soutar, 2001; Corten, Steijvers & Lybaert, 2017). Det kan till exempel handla om produktens has-tighet, funktionerna i en ny produkt, den nya produktens design och så vidare (Lepak, Smith & Taylor, 2007). Lepak, Smith och Taylor (2007) beskriver sedan den andra typen av värde, exchange value, som det monetära värdet som realiseras vid en särskild tidpunkt vid till exempel en försäljning då varan går från ena parten till den andra, när betalning sker för själva användarvärdet av en produkt eller ett arbete med mera. Detta kan jämföras med det prismässiga funktionella värdet som beskrivs som den nytta produkten ger genom minskade kostnader på kort och lång sikt (Sweeney & Soutar, 2001). Härnäst definie-rar Lepak, Smith och Taylor (2007) själva värdeskapandet. De förklarar att värdeskapan-de beror på hur köparen uppfattar värdet på det den erhåller och att detta värde åtminstone ska motsvara det monetära värdet som denne avlägger för produkten. Lepak, Smith och Taylor (2007) förklarar att det finns två ekonomiska villkor som måste uppfyllas för att ett värdeskapande ska ske: att värdet som erhålls måste överstiga värdet på pengarna som er-lades samt att prestationen ska gynna konsumenten mer än alternativkostnaden. Ledning-en bör fokusera på att skapa värde på lång sikt (Lepak, Smith & Taylor, 2007; Rappaport, 2006; Jensen, 2001).
Sweeney och Soutar (2001) menar däremot att befintliga värdekonstruktioner där enbart pris och kvalitét tas i beaktning, likt Lepak, Smith och Taylors (2007) modell, inte är till-räckliga och att dessa behöver utvidgas för att öka modelleringens betydelse, därav de fyra olika dimensionerna. Valet kunder gör förklaras bättre av en flerdimensionell modell än att enbart fokusera på pengavärdet (Sweeney & Soutar, 2001). Det upplevda värdet av revisio-nen är en viktig aspekt att ta hänsyn till i privata företag och dessa värdedimensioner är
24
applicerbara när det kommer till att analysera det värde som skapas (Corten, Steijvers & Lybaert, 2017). Både Sweeney och Soutar (2001) samt Corten, Steijvers och Lybaert (2017) argumenterar för att det upplevda värdet hos kunden bör värderas utifrån modellen med de fyra värdedimensionerna. De fyra värdedimensionerna är följande: funktionellt värde - kvalité, funktionellt värde - pris, socialt värde och emotionellt värde (Sweeney & Soutar, 2001; Corten, Steijvers & Lybaert 2017). Det funktionella värdet är det mest centrala och beskrivs ur dem två aspekterna pris och kvalité som beskrivits ovan (Sweeney & Soutar, 2001). Det sociala värdet beskrivs som produktens kapacitet att höja den “sociala bilden” av företaget, det vill säga vad produkten/tjänsten utstrålar om en och det emotionella värdet som dem känslor som produkten/tjänsten skapar hos en (Corten, Steijvers & Lybaert, 2017;Sweeney & Soutar, 2001). Modellen har hög trovärdighet enligt studier som gjorts där var och en av dessa dimensioner spelar en viktig samt unik roll i köpprocessen vad gäller beteenden och inställning (Sweeney & Soutar, 2001; Corten, Steijvers & Lybaert, 2017). Den teoretiska modellen som skapats med utgångspunkt i tidigare studier utgår utöver från riskhantering i banker och upplevt värde, även från internrevisionens kärnvärden och mer-värden. Grönroos (1997) förklarar mervärde som allt det som produkten tillför utöver sitt kärnvärde och upplevs över tiden. Mervärde kan enligt Grönroos (1997) antingen vara posi-tivt eller negaposi-tivt. Kundens upplevda värde är därmed produktens kärnvärde tillsammans med dess mervärde (ibid).
4.5 Sammanfattande modell
Utifrån tidigare studier har en teoretisk modell tagits fram som kommer att användas som utgångspunkt i denna undersökning. Högst upp i modellen finns “Riskhantering i banker” då internrevision som bankens tredje försvarslinje är en del av riskhanteringen. Det grenas sedan ut i två delar, “kärnvärden” och “mervärden”, där kärnvärde är det värde som skapas genom internrevisionens kärnuppdrag och mervärde enligt Grönroos (1997) förklaring är allt det som tillförs utöver kärnvärdet. Kärnvärdena har fastställts genom tidigare studier kring vilka internrevisionens kärnuppdrag är, medan mervärdena har fastställts som dem värdeaspekter som nämns utöver kärnuppdragen. Kärnvärdena beskrivs som riskhantering, kontroll, granskning och övervakning av lagar medan mervärdena beskrivs som rådgivning, bidragandet till att företagets mål uppfylls, relation till intressenter och kommunikation med bankens högsta ledning. Dessa kärnvärden och mervärden sammanställs därefter ge-nom att ta reda på vilka värden som faktiskt upplevs av internrevision enligt Grönroos (1997) beskrivning om att det upplevda värdet är kärnvärdet tillsammans med mervärdet. Det upplevda värdet beskrivs utifrån Sweeney och Soutars (2001) fyra värdedimensioner
25
samt genom värdet som skapas på lång sikt enligt bland annat Rappaports (2006) resone-mang om att företag bör fokusera på långsiktigt värdeskapande.
Figur 1. Egenskapad teoretisk modell.
Kärnvärde
Värdeskapande genom intern-revisionens kärnuppdrag
Riskhantering Kontroll Granskning Övervakning av lagar
Mervärde
Värdeskapande utöver intern-revisionens kärnuppdrag
Rådgivning Företagets mål Relation till intressentgrupper
Kommunikation
Riskhantering i banker
Upplevt värde av internrevision
Funktionellt värde - Kvalité
Funktionellt värde - Pris
Socialt värde Emotionellt värde
Värde på lång sikt
27
5. Empirisk metod
5.1 Empiriinsamling
För att undersöka hur internrevisionen skapar värde i svenska banker valdes en datainsam-ling genom kvalitativa intervjuer. Enligt Bryman och Bell (2017) vill man i kvalitativa inter-vjuer röra sig i olika riktningar för att på så sätt komma fram till det som responden-ten anser vara relevant och viktigt. Valet blev semistrukturerade intervjuer därför att denna metod möjliggör för respondenterna att utforma sina svar som de själva önskar (Bryman & Bell, 2017) och ger en bild av hur dessa uppfattar frågan (Jacobsen, 2002). Kvale och Brinkman (2014) förklarar att ju mer spontan intervjun är desto större är chansen att man får intensivare och mer oplanerade svar än om intervjun är helt strukturerad. Den semi-strukturerade intervjun bygger på en intervjuguide man tar fram i förväg innehållandes olika ämnen som ska beröras och förslag på frågeställningar (Kvale & Brinkman, 2014). Intervjuguiden som skapades hade sin utgångspunkt i den teoretiska referensramen. En-ligt Bryman och Bell (2017) måste intervjuguiden vara uppbyggd på ett sätt som möjliggör flexibilitet under intervjun och som låter respondenten uttrycka hur hen upple-ver verkligheten snarare än att den är för specifik och därmed hejdar uppkomsten av nya idéer samt formuleringar under intervjun. Genom denna intervjumetod kan följdfrågor som anses vara relevanta ställas, även om de inte är med i intervjuguiden (Bryman & Bell, 2017). Studien har ett tydligt fokus på vad det är som ska undersökas och det gör den semistruktu-rerade intervjun bäst lämpad enligt Bryman och Bell (2017).
Respondenterna i undersökningen kontaktades både via telefon och e-post. Många banker lämnar inte ut några e-postadresser till allmänheten på grund av säkerhet och kryptering fick vi förklarat till oss. De banker som saknade en e-postadress på sina externa hemsidor kontaktades istället via telefon. Genom telefonsamtal med berörda personer kunde sedan en e-postadress erhållas dit vi skickade ett mail till respondenterna och kortfattat beskrev syftet samt arten med studien enligt Bryman och Bells (2017) beskrivning av intervjupro-cessen.
En öppen intervju kan antingen göras via telefon eller ansikte mot ansikte (Jacobsen, 2002). Både Jacobsen (2002) och Bryman och Bell (2017) menar att det finns för- och nackdelar med bägge metoderna där det bland annat är kostsamt med fysiska intervjuer, både vad gäller pengar och tid. Däremot är det under en fysisk intervju enklare att få en personlig kontakt med respondenten vilket gör det lättare att prata om känsliga ämnen (Jacobsen, 2002). Bryman och Bell (2017) menar istället att det kan vara enklare för re-spondenten att svara på känsliga frågor via telefon. Jacobsen (2002) förklarar att “intervjuareffekten” kan minskas om intervjun sker genom telefon. Intervjuareffekten
28
innebär att intervjuarens närvaro på plats kan leda till att respondenten agerar avvikande på grund av eventuella ansiktsuttryck och gester från intervjuaren (Jacobsen, 2002). Våra intervjuer skedde däremot genom videosamtal via Microsoft Teams vilket kan antas vara en blandning mellan telefonintervju och en intervju där man sitter ansikte mot ansikte. En intervju via Microsoft Teams sker på distans, men låter fortfarande intervjuaren och re-spondenten se varandra. På så sätt kunde vi både minska kostnaderna med intervjun sam-tidigt som den personliga kontakten möjliggjordes. Intervjuerna spelades in för att kunna lägga fokus på själva samtalet med respondenten och bearbetning av materialet skedde efteråt. Vi inhämtade ett samtycke gällande inspelning av intervjun från var och en av re-spondenterna innan vi satte igång vilket Kvale och Brinkman (2014) förklarar att man ska göra. Jacobsen (2002) menar att fördelen med att spela in intervjun är att samtalet mellan oss och respondenten blir naturligare samt att det flyter på lättare. Bryman och Bell (2017) förklarar fördelarna som att det möjliggör en mer djupgående analys av det respondenten säger och att man kan lyssna på det upprepade gånger. Nackdelar som lyfts fram med att spela in intervjun är att det bidrar till mycket efterarbete (Bryman & Bell, 2017) samt att respondenten kan reagera negativt på det (Jacobsen, 2002). Jacobsen (2002) betonar att det är viktigt att föra anteckningar under intervjun även om den spelas in då det dels förenklar processen med att navigera i det inspelade materialet samt att det som är av extra vikt skrivs ner. Respondenterna var positiva till inspelning av intervjuerna och vi anteckna-de en anteckna-del nyckelord unanteckna-der samtalets gång enligt Jacobsens (2002) beskrivning.
5.2 Urval
Vi valde att intervjua sex stycken personer med chefsbefattningar på svenska banker. Målet var att få till intervjuer med antingen internrevisorschefer, VD eller ekonomichefer då vi tror att dessa roller är de som bör ha god insyn i hur internrevisionen tillför ett värde i banken. Även internrevisorers egen bild av hur funktionen ser ut och vad de anser sig tillfö-ra för värde i banken är högst relevant för denna studie. Till en början ville vi främst komma i kontakt med de större bankerna i Sverige som dock inte kunde medverka i studien (förut-om en) på grund av rådande (förut-omständigheter med coronapandemin. Därför sökte vi oss vidare och tog kontakt med ett flertal mindre banker som kom att ställa upp tillsammans med en av Sveriges största banker. I denna studie valde vi att fokusera på svenska banker efter den senaste tidens skandaler då de enligt Finansinspektionens föreskrifter och all-männa råd om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1) måste ha en internrevisionsfunktion. Vi valde just sex stycken banker för att få en helhetsbild av verk-ligheten och på så sätt kunna dra lämpliga slutsatser kring internrevisionens värdeskapan-de i svenska banker. Urvalet var därmed målstyrt vilket beskrivs av Bryman och Bell (2017) som ett urval där man väljer ut det som ska analyseras utifrån ett antal kriterier som möj-liggör ett besvarande av de forskningsfrågor man har. Jacobsen (2002) beskriver istället
29
metoden där urvalet bestäms utifrån informationen som man vill få fram som ändamålsori-enterat vilket är identiskt med Bryman och Bells (2017) förklaring. Sex stycken svenska banker valdes därmed för att få ett större perspektiv som i sin tur möjliggör att slutsatser avseende internrevisionens värdeskapande i svenska banker kan dras.
5.3 Operationalisering
Studiens datainsamling skedde genom kvalitativa semistrukturerade intervjuer vars ut-gångspunkt var vår intervjuguide som återfinns under bilaga 1. Intervjuguiden togs fram med hjälp av Bryman och Bells (2017) samt Jacobsens (2002) rekommendationer för ut-formningen. De teman som belystes i intervjuguiden var sådant som uppmärksammats i den teoretiska referensramen och var inriktat på att besvara vår forskningsfråga (Bryman & Bell, 2017). Intervjuerna började med en presentation av oss själva och studiens syfte samt om hur vi kommer att använda intervjumaterialet (Jacobsen, 2002). Därefter gick vi vidare med frågor om bakgrundsfakta kring respondenten så som exempelvis ålder och roll i före-taget då detta är viktigt när dennes svar ska sättas in i ett sammanhang (Bryman & Bell, 2017). Dessa inledande frågor avser frågorna 1–4 i intervjuguiden. Efter att vi hade tagit reda på respondentens bakgrundsfakta fördjupade vi oss i frågor om internrevisionens vär-de. Frågorna 5, 6 och 7 var övergripande kring hur internrevisionen fungerar just på den banken och vad dess viktigaste uppgifter är vilket kan förklaras som ett fokus på funktio-nens kärnvärden. Vi var väldigt noga med att vi ville höra just respondentens bild av verk-ligheten och ge möjligheten till att frågor som vi inte haft i åtanke kunde väckas varvid vi använde oss av frågeställningar av en mer öppen karaktär (David & Sutton, 2016). Frågor-na 8, 9, 10, 11 och 12 berörde värdet som internrevisionen skapar och lät respondenten för-klara hur hen anser att funktionen skapar ett mervärde. I samband med dessa frågor ställ-des en del följdfrågor, dock måste man vara försiktig med hur de ställs eftersom det lätt kan förändra strukturen på hela intervjun (Kvale & Brinkman, 2014). Vi var väldigt pålästa inom ämnet och lyssnade aktivt vilket skapade goda förutsättningar för följdfrågor samt en naturlig diskussion under intervjuerna vilket Kvale och Brinkman (2014) belyser. Frågorna 13, 14 och 15 fördjupade sig i internrevisionens kommunikation inom banken och hur detta fungerar i praktiken. Kommunikation var en av dem aspekter som belystes i vår teoretiska modell och därav blev det naturligt att ställa frågor kring detta. Frågorna 16 och 17 fokuse-rade på internrevisionens utveckling inom banken för att ta reda på hur värdeskapandet förändrats och därmed göra studien aktuell. Frågorna 18, 19 och 20 belyste bankens arbete med riskhantering vilket även lyfts fram i vår teoretiska modell. För att kunna avgöra in-ternrevisionens värdeskapande i banken behöver vi analysera inom vilka områden funktio-nen verkar. Frågorna 21, 22 och 23 berörde bankens intressenter och internrevisiofunktio-nens förhållande till dessa. Intressenterna är ett område som tidigare studier lyft fram och ge-nom att ta reda på hur det ser ut i verkligheten vill vi kunna avgöra om internrevisionen
