Hur påverkar digitaliseringen redovisningsenheter?: En kvalitativ studie om operativa risker och riskhanteringsprocessen

Hur påverkar digitaliseringen

redovisningsenheter?

En kvalitativ studie om operativa risker och riskhanteringsprocessen.

Författare: Lina Ahlstrand (980108), Samuel Enocsson (980903) och Oskar Ålgars (960425)

Höstterminen 2020

FE300G, Kandidatnivå och 15hp Ämne: Företagsekonomi

Handelshögskolan vid Örebro universitet Handledare: Kerstin Nilsson

Abstract

In recent years, the accounting industry has undergone changes due to the development of digitalization. Digitalization has not only enabled more efficient solutions within accounting, but it has also changed the operational risks during these years. Previous research has shown that the more frequent use of IT-solutions has contributed to more operational risks in this area. Computer failure and leaked information are examples of risks that have been given a more significant role through digitalization. This leads to the purpose of the study, to describe and analyze the impact of digitalization in an accounting unit´s operational risks. The purpose is also to describe managers management and employees experience of the company´s risk management process. In order to achieve the purpose of the study, a qualitative study with semi-structured interviews was conducted. The results of the study show that operational risks have not increased in amount but has changed in character due to the digitalization. Furthermore, it emerged that the foreman´s part in the risk management process was different in terms of which operational risk it concerned. The study also showed that the employees had varying experience of how each organization manage the operational risks.

Innehållsförteckning

2.2.1 Digitalisering inom redovisning ... 8

2.3 Risker ... 10

2.3.1 Operativ risk ... 10

2.4 Operativa risker inom redovisningsprocessen ... 12

2.4.1 Personalrisker ... 12 2.4.2 Systemrisker ... 13 2.5 Riskhantering ... 14 2.5.1 Riskhanteringsprocessen ... 15 2.5.2 Riskhanteringsstandard – ISO 31000 ... 16 2.6 Teoretisk sammanfattning ... 18 3 Metod... 20 3.1 Undersökningsmetod ... 20 3.1.1 Semistrukturerade intervjuer ... 21 3.1.2 Urval ... 22 3.1.3 Presentation av respondenter ... 22 3.2 Datainsamling ... 24 3.3 Operationalisering ... 24 3.4 Analysmetod ... 27 3.5 Forskningsetik ... 27 3.6 Metodreflektion... 28 4 Empiri ... 31

4.1 Digitalisering inom redovisning ... 31

4.2 Operativa risker inom redovisningsenheter ... 33

4.2.1 Personalrelaterade risker ... 33

4.2.2 Systemrelaterade risker... 36

4.3 Riskhanteringsprocessen av operativa risker ... 38

4.4 Sammanställning av teman i citatform ... 41

5 Analys ... 47

5.1 Digitalisering inom redovisning ... 47

5.2 Operativa risker ... 47

5.2.1 Personalrelaterade risker ... 48

5.3 Riskhanteringsprocess av operativa risker ... 52

6 Slutsats ... 56

6.1 Slutsats ... 56

6.2 Förslag till vidare forskning ... 58

Källförteckning ... 59 Bilagor... 66 Bilaga 1 - Intervjuguide ... 66

Figurförteckning

Tabellförteckning

1

1 Inledning

I det inledande kapitlet presenteras bakgrunden om digitaliseringens påverkan på de operativa riskerna samt riskhanteringen inom redovisningsenheter. Detta leder till en problematisering som sedan utmynnar i det syfte som studien förväntas uppnå. Efter detta presenteras de frågeställningar som studien har tänkt att besvara. Det inledande kapitlet avslutas sedan med en presentation av de avgränsningar som gjorts i studien.

1.1 Bakgrund

Den tekniska utvecklingen i samhället är en ständigt pågående process som människan alltid konfronterats med (Kempe, 2016). Förr var digitaliseringen endast kopplad till den tekniska utvecklingen men idag kan digitaliseringen istället beskrivas som ett samspel mellan människan och den tekniska utvecklingen. Digitaliseringen är också en av samhällets viktigaste utvecklingskrafter och kommer förändra villkoren för ett flertal branscher (Parviainen, 2017; Ghasemi, Shafeiepour, Aslani, & Barvayeh, 2011; Bhimani & Willcocks, 2014; Hagberg, Sundström & Egels-Zandén, 2016).

Statens Offentliga Utredningar (2015) påstår att det digitaliserade samhället och den digitala ekonomin redan är här. Digitaliseringskommisionen i Sverige som tillsattes år 2012 har till uppdrag att bidra med kunskapssammanställningar. De har även uppgiften att tydliggöra de effekter som digitaliseringen har haft på samhället och den enskilde individen. Digitaliseringskommisionen definierar digitalisering som när digital kommunikation och interaktion mellan verksamheter, människor och saker blir självklara. Digitaliseringen öppnar också upp möjlighet för att samla in, tolka och utveckla allt större mängd data digitalt, vilket i sin tur bidrar till stora utvecklingsmöjligheter för bland annat företag. Digitaliseringen medför att information kan spridas direkt, transaktionskostnader minskar för kommunikation och varor, samt att de traditionella mellanhänderna övergår till digitala mellanhänder.

Eftersom digitaliseringen förändrar vad som görs, hur arbetet utförs och vad som är möjligt att göra, innebär utvecklingen en transformering av samhället (Statens Offentliga Utredningar, 2015). En transformering innebär att det som en gång varit standarden för en individ, företag eller samhälle radikalt förändras till något nytt. De nya förutsättningarna som kommer till följd

2

av digitaliseringen ställer krav på företag att utveckla nya typer av tjänster och varor, men även att utveckla nya effektiva system som möter individers behov med god kvalitet.

Redovisningsbranschen är en av de branscher som under de senaste åren genomgått ett antal olika förändringar (Ghasemi et al, 2011). Anledningen till detta kan beskrivas som digitaliseringens framfart och mer specifikt utvecklingen inom IT-området. Internet och datorer har blivit mer användbart i samhällets olika funktioner. Syftet med den finansiella redovisningen som den ser ut idag är att informera företagets intressenter om företagets resultat, ställning och utveckling (Skatteverket, 2020a). Automatisering och artificiell intelligens har blivit allt vanligare inom redovisning och revision (Wiklund, 2018). Bengt Skough, branschexpert på FAR, påstår att digitaliseringen inte bara skapar positiva effekter i branschen. Organisationer måste förändras, rutiner omprövas och ibland måste hela affärsmodellen ses över.

Det finns inget företag som saknar utmaningar i sin strävan efter tillväxt och utveckling (Juetten, 2019). Företag skulle helst vilja bli helt fria från risker vilket inte går, därmed blir riskhantering allt viktigare. I dagens läge hamnar riskhantering mer och mer i fokus (KPMG, u.å; Aebi, Sabato & Schmid 2012; Hamilton, 1996). Riskhanteringsprocessen avser förmågan att kunna mäta, kontrollera och identifiera risker. Ny teknologi har inte bara ökat effektiviteten inom företaget utan har också lett till nya komplexa beroendeförhållanden mellan företag (Frost, Allen, Porter & Bloodworth, 2001). Oberoende av vilken marknad företag verkar i är kunderna mindre toleranta mot förseningar och fel än vad de varit innan. Kunderna kräver ofta hög service mot en låg kostnad samt en effektiv återkoppling. Digitaliseringens påverkan har således gjort att effekten av tidsfördröjning inom arbetsprocessen leder till en större konsekvens än tidigare. Detta skapar i sin tur större press på företagen att undvika störningar i leveransen av service och produkt.

För att en redovisningsenhet ska bibehålla sin effektivitet finns det flera olika risker som måste beaktas (Yadav, 2016). Risk är ett begrepp som har diskuterats av många forskare och kan tolkas på flera olika sätt. Risk är något som är närvarande i alla handlingar och händelser inom ett företag. Snedaker och Rima (2013) skriver att en organisations risker kan delas in i fem huvudsakliga kategorier. Dessa kategorier är finansiella risker, operativa risker, strategiska risker, tekniska risker och kommersiella risker. Dessa kategorier ska ses som övergripande och det är vanligt att en risk förekommer i flera kategorier, speciellt avseende de operativa riskerna.

3

Exempelvis innehåller ofta en operativ risk inslag av teknisk eller strategisk risk. Moosa (2007) anser att digitaliseringen framförallt har påverkat de operativa riskerna inom en organisation. Två orsaker till att de operativa riskerna har ökat är ny teknik och ökad e-handel i samhället. Năstase och Unchiaşu (2013) beskriver hur det större användandet av IT-lösningar bidrar till mer operativa risker. Bedrägeri, datahaveri och information som läcks är tre exempel på risker som har fått en mer betydande roll genom den tekniska utvecklingen.

Operativ risk är ett begrepp som har förändrats kraftigt under senare år (Frost et al, 2001). Tidigare var det ett begrepp som enbart användes inom banksektorn för att förklara deras typer av risker. Idag har dock begreppet fått en större spridning och kan användas i alla typer av organisationer. Den definitionen som studien använder sig av är hämtad från Finansinspektionen (2006) som förklarar operativ risk på följande sätt.

Operativ risk definieras som risken för förluster till följd av icke ändamålsenliga eller misslyckade interna processer, mänskliga fel, felaktiga system eller externa händelser. Finansinspektionen (2006)

1.2 Problematisering

Som tidigare nämnt är digitaliseringens påverkan på redovisningsbranschen ett ämne som diskuterats av många (Frost et al, 2001; Yadav, 2016; Guhrie & Parker, 2016; Halaweh & El Massry, 2015; Doost, 1999; Wiklund, 2018). Det finns både förespråkare och motståndare där en del forskare anser att digitaliseringen ökar produktiviteten samt effektiviteten (Kempe, 2016; Dimitreu & Matei, 2014). Samtidigt påstår andra forskare att det bidrar till fler risker inom branschen som inte bör underskattas (Han, Rezaee, Xue & Zhang 2016; Orman 2013; Ghasemi et al, 2011). Tidigare var det vanligt förekommande att redovisningsenheter enbart arbetade med fysiska dokument och ett mer traditionellt analogt arbetssätt, idag har dock vissa arbetsuppgifter förändrats eller försvunnit helt (Guthrie & Parker, 2016). Exempel på dessa arbetsuppgifter är manuell bokföring, rapporter och handskrivna beräkningar som istället har digitaliserats helt. Därav kan den digitala förändring som anses vara mest påtaglig vara datoriseringen av arbetsprocessen. Företag använder sig av programvaror för att underlätta inmatning och bearbetning av information som är en stor del i det grundläggande redovisningsarbetet (Ghasemi et al, 2011). Samtidigt som övergången till ett mer digitalt arbetssätt är en utmaning för redovisningsenheter menar vissa forskare att den är nödvändig för att företag fortsättningsvis ska kunna vara konkurrenskraftiga inom sin bransch (Kumar, 2018).

4

Orman (2013) beskriver risker som medföljer tekniken och den tekniska utvecklingen som digitaliseringen lett till. Teknikens risker uppkommer dels för att det ofta har oavsiktliga konsekvenser men även för att accelererande tekniska förändringar skapar sammansatta risker till följd av flera olika interagerande program hos företagen. Dimitreu och Matei (2014) belyser de risker som finns med diverse molntjänster som de flesta företag använder. Den vanligaste risken som uppstår med molntjänster går att koppla till säkerhet och skyddandet av klientens personliga uppgifter. Informationsstöld och dataintrång är vanligt förekommande risker som kan uppstå vid användandet av molntjänster.

Bhimani och Willcocks (2014) menar att den data som produceras globalt kommer att öka med 35–50% var 18:e månad. Den ökade datamängden ställer högre krav på organisationer att hantera den, vilket även gäller för redovisningsenheter. Det är dock ingen garanti att de nya digitaliserade processerna skapar effektivitet inom redovisningssystemen (Bhimani & Willcocks, 2014). Problemet kan ses som tvådelat, personen som arbetar med systemen måste vara uppdaterad med både kunskap och information (Drum & Pulvermacher, 2016). Samtidigt måste systemet även vara ordentligt framtaget samt tillräckligt testat för att företaget ska kunna hantera all data på rätt sätt. Ett misstag på grund av tidsfördröjning eller felaktigheter i hanteringen av data kan leda till stora finansiella felaktigheter i företaget. Detta gör att ett företags riskhantering blir väsentligt för att kunna nå de uppsatta målen och maximera lönsamheten (Hamilton, 1996).

För att ett företag ska få sina risker under kontroll krävs det att de lyckas identifiera vad riskerna är (Juetten, 2019; Hamilton, 1996; Purdy, 2010; Finansinspektionen, 2006). När det gäller identifieringen av en enskild risk finns det olika svårighetsgrader. En del risker är enkla att upptäcka samtidigt som vissa risker är dolda och kräver mer arbete (Hamilton, 1996; Juetten, 2019). När riskerna är identifierade gäller det att bedöma natur och svårighetsgrad för varje enskild risk (Juetten, 2019). Detta för att kunna skapa sig en bild av hur sannolikt det kommer vara att händelsen inträffar men också vad den potentiella påverkan av det. Problemet med risker är att det inte finns något sätt att veta exakt vad som kan eller kommer att hända. Antingen kan det som förutspåtts hända eller också kan det inträffa något som inte alls varit med i beräkningarna. Det kan även vara så att risker som tagits i beaktning aldrig inträffar. Detta innebär att det företag kan göra är att hantera riskerna efter bästa förmåga.

5

Finansinspektionen (2006) rekommenderar att alla företag, oavsett storlek, bör ha en väldokumenterad riskanalysmetod efter vilken verksamhet de bedriver. För att komplettera analysen bör också en process för att analysera risken i nya produkter finnas. De menar att analysen av operativa risker bör vara en integrerad del i processen för att utveckla och godkänna nya produkter som företaget kommer i kontakt med. Beslutsunderlaget för att godkänna en ny produkt bör också godkännas av alla delar av organisationen som ska hantera denna produkt. Svenska Institutet för Standarder (u.å.) skriver att förändringar och ökande otrygghet i samhället leder till att organisationer i allt större utsträckning ställs inför nya olika typer av risker. Ett systematiskt arbete för att medvetet värdera och hantera sina risker är mycket viktigt för att organisationer både ska kunna skydda sina värden men också uppnå sina mål (Purdy, 2010). De centrala stegen i en riskhanteringsprocess som hittas i flera olika modeller är identifiering av risker, analys av risker, åtgärder för att reducera risker och sedan uppföljning av de funna riskerna (SWERMA u.å.; Hamilton, 1996; Finansinspektionen, 2006; Purdy, 2010; Smith & Fischbacher 2009). ISO 31000 är en internationellt framtagen standard över riskhantering som kan användas inom alla typer av sektorer och branscher. Syftet med ISO 31000 är att skapa vägledning och finnas som en grund för organisationers riskhantering inom verksamhetens alla delar.

Tidigare forskning visar således att digitaliseringen är en bidragande faktor till att riskerna i en organisation påverkas (Orman, 2013; Drum & Pulvermacher, 2016). Forskare menar att digitaliseringen påverkar framförallt en organisations operativa risker. Hamilton (1996) säger att en bristfällig kompetensutveckling är en av de främsta anledningarna till att skadehändelser sker inom organisationen. Drum & Pulvermacher (2016) anser att otillräckligt testade system kan påverka effektiviteten negativt. Detta innebär att riskhanteringsprocessen blir allt viktigare inom en organisation. En dålig riskhanteringsprocess kan leda till att risken inte hanteras på bästa möjliga sätt.

1.3 Syfte

Syftet är att beskriva och analysera digitaliseringens påverkan på redovisningsenheters operativa risker. Syftet är också att beskriva chefers hantering och medarbetarnas upplevelse av företagets riskhanteringsprocess.

6 1.4 Frågeställning

Hur påverkar digitaliseringen redovisningsenheters operativa risker?

Hur hanterar chefer riskhanteringsprocessen gällande de operativa riskerna?

Hur uppfattar medarbetarna riskhanteringsprocessen gällande de operativa riskerna?

1.5 Avgränsningar

För att säkerhetsställa studiens genomförbarhet har avgränsningar gjorts. Studien har avgränsats till redovisningsenheten på de företagen som undersöks. Därav kommer studien enbart rikta in sig på medarbetare och ansvarig gruppchefs perspektiv i företaget. En redovisningsenhet berörs av flera olika typer av risker, men avgränsning har gjorts mot endast de operativa riskerna. Inom ämnet operativa risker avgränsar sig studien till fokus mot risker som är personal- och systemrelaterade. Detta då det är områden som i hög omfattning påverkats av digitaliseringen. Avgränsning har även gjorts till riskhanteringsstandaren ISO 31000. Standarden ska endast användas som en utgångspunkt vid analysen av företagens riskhantering och inte som ett strikt facit över hur ett företag bör agera.

7

2 Teoretisk referensram

Detta kapitel inleds med att förklara redovisningsbranschen och dess syfte för att skapa en övergripande förståelse om branschen. Därefter tas digitalisering inom redovisnings-branschen upp samt vilka risker som har uppkommit till följd av digitaliseringen. Sedan förklaras de operativa risker studien riktar in sig på samt en förklaring av begreppet riskhantering.Kapitlet avslutas med en teoretisk sammanfattning där en modell är framtagen för att förklara den teoretiska referensramen.

2.1 Redovisning

Ett företags redovisning har till syfte att ge information skapad av finansiella ställningstaganden till både interna och externa aktörer (Skatteverket, 2020a; Warren, Moffitt och Byrnes, 2015). Vidare kan redovisningen delas upp i underkategorierna extern- samt intern redovisning (Skatteverket, 2020a). Den interna redovisningen syftar till att förse verksamheten med underlag för att kunna ta beslut för företagets bästa, denna kan ofta vara mer omfattande än den externa. Vidare beskriver Skatteverket att den externa redovisningen är den som är reglerad i lag och har till syfte att redovisa företagets ekonomiska ställning för sina ägare och övriga intressenter.

Företag besitter således en skyldighet enligt bokföringslagen (1999:1078) att upprätta en extern redovisning. Kraven gällande företags omfattning på den externa redovisningen varierar beroende på företagets storlek samt form. Den externa redovisningen finns reglerad i flera olika lagar i Sverige, bland annat årsredovisningslagen (1995:1554) och bokföringslagen (1999:1078). Årsredovisningslagen behandlar bestämmelser om hur ett företag ska upprätta och offentliggöra en årsredovisning, koncernredovisning samt delårsrapport (Skatteverket, 2020b). Bokföringslagen reglerar i sin tur bland annat vilka som är bokföringsskyldiga, innebörden av bokföringsskyldigheten samt hur den löpande bokföringen ska upprättas (Skatteverket, 2020c).

2.2 Digitalisering

Till att börja med är det av vikt att understryka att digitalisering är ett mångtydigt begrepp. Det finns ett antal närbesläktade begrepp med delvis olika innebörd. Inom engelskan finns två begrepp som går att koppla till det svenska begreppet digitalisering, dessa begrepp är digitization och digitalization (Gobble, 2018). Begreppet digitization innefattar hur processer

8

som en gång varit analoga har omvandlats till digitala processer. Ett exempel som Gobble (2018) nämner till begreppet digitization är att pappersformulär nu istället fylls i online via digitala hjälpmedel. Det vill säga att arbetet blir mer datoriserat och processer går mer mot att bli papperslösa. Begreppet digitalization förklarar Gobble (2018) som en integration av digital teknologi i det vardagliga livet. För att kunna tydliggöra vad begreppet digitalisering innebär finns det ytterligare ett begrepp att inkludera, detta begrepp är automatisering. Automatisering är ett närbesläktat begrepp till digitalisering och beskriver hur arbetsprocesser som en gång utfördes av en människa nu istället ersatts av teknik, processen blir således självgående (Kempe, 2016). Utifrån studiens syfte och frågeställningar kommer samlingsbegreppet digitalisering att användas. Dessa tre begrepp innefattas således i denna studie inom samlingsbegreppet digitalisering. Detta för att skapa tydlighet för både respondenter vid intervjutillfällena samt läsare av denna studie.

Parviainen (2017) beskriver digitaliseringen som en enorm trend som förändrar både företagande och samhället. Vidare menar han att den digitala potentialen är hög och syftar då på att kostnader kan reduceras med 90% för den som utnyttjar den med ett optimalt tillvägagångsätt. Digitaliseringen kan medföra nya möjligheter i form av tjänster, nya marknader och applikationer (Zott & Amit, 2017). I form av ny digital teknik har konceptet digitalisering visat sig ha en stor effekt på konsumenter, anställda och även samhället i allmänhet (Hagberg, Sundström & Egels-Zandén, 2016). Kortfattat kan digitaliseringens utveckling ses som en öppnad möjlighet för företag att på ett mer effektivt sätt utveckla sina arbetsprocesser (Orman, 2013).

2.2.1 Digitalisering inom redovisning

Ghasemi et al (2011) påstår att redovisningsbranschens stora framsteg beror på tillväxten av digitalisering, programvaror automatiserar de traditionella bokföringsböckerna i papper. Dessa programvaror kan ha många olika specialfunktioner för att passa till just den verksamheten som ska använda den. Val av redovisningsprogram görs vanligtvis efter storlek på verksamheten och antalet individer som ska ha åtkomst till systemet. Informationsteknik (IT) har möjliggjort viktiga fördelar för redovisningsföretag. Datorsystem och IT-nätverk har reducerat ledtiden för att iordningställa och presentera informationen till ledningen och övriga intressenter. IT har även förbättrat effektivitet och noggrannhet vid hämtning av information. Vidare anser Ghasemi et al (2011) att bokföringsavdelningarnas funktionalitet har förbättrats på grund av de datoriserade redovisningssystemen. Finansiella rapporter så som kassaflödesanalyser och

9

avdelningsresultat har förbättrats och gjorts mer tillgängliga i och med de datoriserade systemen.

Den mängd data som produceras globalt kommer att öka med 35–50% var 18:e månad enligt Bhimani och Willcocks (2014). Ett begrepp som kan användas för att förklara användningsområdet för den ökade datamängden är Big Data. Warren, Mofitt och Byrnes (2015) beskriver Big Data likt dataströmmar som mer traditionella mjukvaruprogram inte klarar av att hantera. Således innefattar begreppet Big Data insamling, lagring, sökning, delning, analys och visualisering av data. Vidare menar Warren Mofitt och Byrnes (2015) att konsekvenserna av Big Data kommer bli allt viktigare för redovisningen. Big Data kommer att ge beslutsfattare ett bättre underlag i deras arbete med budgetprocesser, externa redovisningen och övriga ekonomiska arbetsområden. Big Data kommer också att förbättra kvaliteten och relevansen av redovisningsinformation genom att öka transparensen samt beslutsfattandet som görs av intressenter. Big Data kan även hjälpa till att förfina och skapa redovisningsstandarder vid rapportering. Det bidrar till att bokföringsyrket kommer fortsätta tillhandahålla information som är användbar även när den globala ekonomin utvecklas. Dock ställer Big Data högre krav på de system som finns för att kunna hantera det ökade informationsflödet (Bhimani & Willcocks, 2014). Drum och Pulvermacher (2016) påstår att de system som finns måste vara ordentligt testade innan implementering för att kunna säkerställa hanteringen av den ökade data. Vidare beskriver dem att felaktigheter i hantering av den ökade datamängden kan leda till stora finansiella felaktigheter i företaget.

Som tidigare nämnt är automatisering även en stor del av digitaliseringens effekter inom redovisning (Kempe, 2016). Det handlar om att arbetsuppgifter som tidigare var utförda av människor istället ersätts av tekniken, en process blir således självgående. Dock är världen inte riktigt där ännu, utan idag kan redovisningen istället ses som en kombination av människa och teknik. Automatisering av redovisningsdata har pågått sedan slutet på 1950-talet och har inte avstannat sedan dess (Dimitriu & Matei, 2014). Kokina och Davenport (2017) menar att flera av arbetsuppgifterna inom redovisningsbranschen är repetitiva och systematiska, vilket leder till att de är enkla att ersätta med hjälp av automatiserad teknik.

10 2.3 Risker

En enstaka definition för begreppet risk existerar inte. Raftery (1994) påstår att risk och osäkerhet beskriver situationer då det faktiska resultatet av en specifik händelse kommer att avvika från det förväntade värdet. Hamilton (1996) skriver att en risk kan ses som faran för att en slumpmässig händelse skall påverka möjligheten att nå ett uppsatt mål. Enligt Ferma European Risk Manager Report (2018) kan ett företags risker delas in i tre olika kategorier. Dessa kategorier är ekonomiska och politiska risker, sociala risker samt teknologiska risker. De teknologiska riskerna innefattar affärsrisker samt operativa risker. Snedaker och Rima (2013) delar istället in riskerna i fem huvudsakliga kategorier. Dessa kategorier är finansiella risker, operativa risker, strategiska risker, tekniska risker och kommersiella risker. Det kan vara viktigt att poängtera att dessa former av risker inte utesluter varandra, speciellt vid diskussioner avseende de operativa riskerna. En operativ risk innehåller ofta inslag av tekniska eller strategiska risker. Då studien syftar till att undersöka operativa risker kommer teorin framöver att avgränsa sig mot den typen av risk.

2.3.1 Operativ risk

Definitionen kring vad operativ risk är och vad de innebär har kraftigt förändrats under senare år (Frost et al, 2001). Från början användes begreppet för att förklara de typer av risker en bank stod inför. Begreppet har dock idag fått en större spridning och kan användas vid diskussion av såväl banker som andra typer av organisationer. Operativa risker kan definieras på flera olika sätt. Moosa (2007) beskriver att de tidigare definitionerna av begreppet operativ risk kom på 1990-talet. Då definierades operativ risk som “osäkerhet relaterad till förluster till följd av otillräckliga system eller kontroll, mänskligt fel och hantering” (Moosa, 2007). De tidigare definitionerna av operativ risk misslyckas med att samstämmigt fastställa vad begreppet faktiskt betyder. Detta anser Moosa (2007) ledde till en missförståelse till begreppet och försvårade hanteringen kring det. Finansinspektionen (2006) beskriver operativ risk på följande sätt: ”Operativ risk definieras som risken för förluster till följd av icke ändamålsenliga eller misslyckade interna processer, mänskliga fel, felaktiga system eller externa händelser”. Handhavandefel vid manuella processer och systemtillgänglighetsrisker är två typer av risker som Finansinspektionen (2006) använder för att exemplifiera operativa risker. Operativa risker innefattar också risker som finns förknippade med dataintrång, exempelvis cyberhot, bedrägerier och stöld. Moosa (2007) menar att digitaliseringen och den nya tekniken kan ses som en orsak till att operativa risker ökar för företagen. Detta styrks av Năstase och Unchiaşu

11

(2013) som skriver att den tekniska utvecklingen är en stor bidragande orsak till att operativa risker ökar.

Wolke (2017) definierar operativ risk som faran att ekonomiska förluster till följd av otillräckliga eller bristfälliga interna processer, mänskliga resurser och system eller externa händelser. De interna riskerna står för de risker som finns inom en organisation och som är påverkbara. Svårigheter finns vid kategorisering av olika operativa risker då risker kan tillhöra flera av kategorierna samtidigt. Detta innebär enligt Wolke (2017) att det ibland blir svårt att särskilja dessa kategorier sinsemellan. De operativa riskerna som klassificeras som externa är risker som ligger utanför organisationens påverkan, exempelvis lagändringar eller klimatförändringar. Vidare har Wolke (2017) utifrån sin definition av operativ risk sammanställt en modell vilket kan ses i figur 1. Wolkes modell används i denna studie för att förtydliga samt särskilja de olika typerna av operativ risk som existerar. De områden i modellen som är markerade med grön färg är de operativa risker i Wolkes modell som studien har avgränsats sig mot. Studien berör således inte specifikt det som Wolke (2017) definierar som processrisker, dock nämner Wolke att det finns svårigheter att särskilja processrisker från de övriga interna riskerna. Därmed kan inslag av processrisker finnas med vid definition och beskrivning av de övriga interna riskerna. Studien berör inte heller de risker som Wolke (2017 definierar som externa operativa risker. Wolkes modell används i denna studie som en av flera utgångspunkter för en definition av operativ risk, således bör inte denna tolkning ses som den enda utgångspunkten.

12 2.4 Operativa risker inom redovisningsprocessen

Digitalisering är en källa till risk, den ständiga förändringen av tekniken medför också ständig ökning av risker (Orman, 2013). Digitaliseringen inom redovisningsbranschen växer i snabb takt där många olika typer av system samverkar, det gör att utfallen kan bli svåra att förutse. Konsekvenser av digitaliseringen kan medföra uppehåll i det pågående arbete vilket gör att tid går förlorad. Andra vanliga risker digitaliseringen medför som finns inom redovisningsprocessen är installationskostnader, utbildningar, risken att system slutar fungera samt att virus kan skada systemen (Yadav, 2016). Som tidigare nämnt kan övergången till ett mer digitalt arbetssätt ses som fundamentalt för en redovisningsenhet för att fortsatt vara konkurrenskraftiga inom branschen (Kumar, 2018). Det gör att företag måste vara redo att anta utmaningen och både dess positiva och negativa effekter den tekniska utvecklingen medför. Nedan kommer operativa risker att presenteras efter de kategorier som Wolke (2017) använder i sin modell, ”Personalrisker” samt ”Systemrisker”.

2.4.1 Personalrisker

Redan år 1999 utfördes en studie av Jordan (1999) som visade att individer som jobbar med redovisning behöver kunna bemästra den digitala redovisningen för att fortsatt kunna vara konkurrenskraftig inom sin bransch. Moll och Yigitbasioglu (2019) anser att resultatet av denna studie är applicerbart än idag.

För att en redovisningsenhet ska bibehålla sin effektivitet finns det flera olika risker som måste beaktas (Yadav, 2016). Två av dessa är bristen på kunskap i det dagliga arbetet samt otillräckliga system. Då digitaliseringen har lett till att arbetsuppgifter förändras menar Guthrie och Parker (2016) påstår att utmaningar skapats för de anställda inom företagen men även för arbetsgivaren. Halaweh och El Massry (2015) styrker detta genom att säga att de anställda måste erbjudas utbildningar av sin arbetsgivare för att kunna bemöta den tekniska utvecklingen digitaliseringen medför. Doost (1999) skriver att den digitaliserade världen kommer att ställa högre krav på de anställa i en organisation med tanke på dataanvändning och de tekniska system som har uppkommit inom redovisningsbranschen.

Halaweh och El Massry (2015) menar att utfallet av bristande kunskap kan orsaka flera saker. Bland annat kan anställda med bristande kunskap höja den operativa risken genom att de orsakar fel i processen. Undermålig kunskap hos de anställda kan även hota företagets affärsmodell och utförandet av kritiska affärsmål. Ghasemi et al (2011) beskriver att de

13

anställda inom en redovisningsenhet måste öka sina kunskaper och färdigheter gällande digitala program för att möta sina kunders behov. Park och Ryoo (2013) anser att det är olika typer av teknisk kompetens som är väsentlig beroende på vilken typ av lösning som används. Det räcker därav inte med en generell IT-kompetens utan den måste vara utformad efter vilka typer av funktioner och verktyg som används inom redovisningsbranschen och framförallt inom organisationen.

En medarbetare utan kunskap kan därav bli den svaga länken i ett annars starkt försvar mot risker (Luburic, 2016). Mer moderna finansinstitutioner har i större utsträckning insett vikten av utbildning av medarbetarna och lägger ner omfattande resurser på detta ändamål. Yang, Hsu, Sarker & Lee (2017) menar att organisationer bör lägga mer fokus på processen gällande riskkännedom. Eftersom operativa risker är relativt nytt för de anställda kan det ses som nödvändigt att skapa strategier för att se till att de anställda får kunskap inom området. Allmän kunskap om operativa risker krävs också för att kunna hantera riskerna på ett effektivt sätt. Hamilton (1996) påstår att den främsta orsaken till skadehändelser idag ofta är bristande motivation eller förmåga hos de anställda. Därav blir en viktig uppgift i riskhanteringen att påverka människorna på ett sådant sätt att de blir mindre riskbenägna. Yadav (2016) nämner flera risker som digitaliseringen medfört som går att koppla till en redovisningsenhet. Dessa risker är utbildning, installationskostnader, uppehåll i det pågående arbetet och att tid går förlorad, risk att system slutar fungera och att risk kan skada systemet. Utbildningskostnader och uppehåll i det pågående arbetet som gör att tid går förlorad går att koppla till medarbetarens brist på kunskap. Risken av uppehåll i det pågående arbetet går att koppla till att effektiviteten i en organisation påverkas negativt. Luburic (2016) styrker detta påstående genom att belysa vikten av lärande och kunskap vid ett processbaserat tillvägagångsätt (se 2.5.1).

2.4.2 Systemrisker

Wolke (2017) skriver att en form av de interna operativa riskerna är de som är kopplade till ett företags system. Exempel på sådana risker är brist på tillgängliga data, säkerhetsaspekter så som virus samt bristfälligt användande av anställda. Moosa (2007) nämner att en allt viktigare typ av operativ risk är IT-risker eller cyberhot. Företag använder sig alltmer av datasystem och internet vilket leder till fler risker för cyberbedrägerier och felaktiga system. Hull (2012) menar även han att dagens moderniserade och digitaliserade samhälle har lett till att IT-risker är en betydande risk att beakta för företag. Som tidigare nämnt är bristen på kunskap även en central del gällande risker inom systemen (Kovácsné Mozsár & Michelberger 2018). Det är viktigt att

14

de anställda är medvetna om de risker som finns men samtidigt ställer det även krav på rutiner inom företaget. De anställda måste kontinuerligt utbildas inom området för att viktiga data fortsatt ska hållas säker. Vidare anser Hull (2012) att IT-risker inte enbart handlar om företaget och dess anställda. Utan även leverantörer, kunder och allmänheten kan påverkas.

Den tidigare nämnda risken om uppehåll i det pågående arbetet går enligt Yadav (2016) även att hänföra till otillräckliga system. Ett system som av någon anledning inte fungerar som det ska kan leda till ett uppehåll i det pågående arbetet vilket i sin tur påverkar effektiviteten i organisationen. Dimitriu och Matei (2014) belyser även de risker som finns med otillräckliga system kopplat till de aspekter som berör molntjänster. De menar att den vanligaste orsaken till att risker uppstår vid användandet av molntjänster kan kopplas till IT-säkerhet och skyddandet av känslig data. Exempel på risker kopplade till IT-säkerhet är risker för dataintrång samt stöld av information vid användningen av molntjänster. Orman (2013) anser att en ökning av integrationer mellan olika system är en risk hänförlig till otillräckliga system. Ökade digitaliseringen har lett till accelererande tekniska förändringar, detta har i sin tur skapat sammansatta risker då informationsflödet mellan olika system inom företaget har ökat. De system som används och implementeras måste därav vara ordentligt framtagna samt att det har genomförts tillräckliga tester på dessa system (Drum & Pulvermacher, 2016). Ett misstag som beror på tidsfördröjning eller felaktigheter i hanteringen av data i IT-systemen kan leda till stora finansiella felaktigheter i företaget. Antingen genom missade deadlines eller genom felaktigt utförda processer.

2.5 Riskhantering

Risk management, eller den svenska översättningen riskhantering är inte ett nytt fenomen utan något som diskuteras under flera decennier. Redan på 1950-talet myntades uttrycket inom försäkringsbranschen i USA (Hamilton, 1996). Riskhantering är dock ett område som utvecklats snabbt under det senaste decenniet, till stor del på grund av finanskrisen som kom år 2007 (Aebi, Sabato & Schmid 2012). Rampini, Sufi och Viswanathan (2014) skriver att en vanlig definition av riskhantering är ett systematiskt sätt för företaget att skydda sin verksamhets resurser och inkomstmöjligheter mot skaderisker. Anledningen till detta är att verksamhetens mål ska kunna uppnås med minsta antalet störningar som möjligt. Syftet med riskhantering kan således ses som något företag gör för att öka deras värde samt skapa en bättre lönsamhet till en så låg kostnad som möjligt (Hamilton, 1996). Swedish Risk Management Association (2020) ser riskhantering som de samordnade och koordinerade aktiviteter som en

15

organisation använder för att styra samt kontrollera sin exponering för risk. Det finns flera olika typer av modeller som är framtagna för att underlätta organisationers riskhantering.

Mikes (2009) förklarar riskhantering som ett slags strategiskt styrsystem där den tillämpas för att försäkra sig om att organisationen ska nå sina uppsatta mål. En organisations riskhantering kan precis som riskerna delas in i olika typer av kategorier (Arwinge, Olve & Magnusson, 2017). Anledningen till dettaär att risker sker på olika nivåer inom företaget. Dessa kategorier är strategisk, finansiell och operativ riskhantering. Den strategiska riskhanteringen handlar om de strategiska beslut som berör organisationens affärsidé. Information som är viktig för denna nivå av riskhantering är efterfrågan, konkurrenter och teknologi. Den finansiella riskhanteringen berör alla de områden som gäller organisationers tillgångar (Hampton, 2015). Exempel på finansiell riskhantering kan beröra likviditetsrisken som betyder att organisationens betalningsförmåga kan ändras. Den sista kategorin av Arwinge, Olve och Magnussons (2017) riskhantering är den operativa riskhanteringen vilket denna studie även kommer att avgränsa sig mot. Enligt Hampton (2015) handlar den operativa risken mycket om det som sker i det dagliga arbetet. Detta kan innebära intern kontroll, internrevision samt överensstämmelse med lagar och förordningar. Vidare anser Hampton (2015) att inom operativ riskhantering är det viktigt att organisationen har regelbundna kontroller över kostnader, processer samt ledning. Med hjälp av de interna kontrollerna kan organisationer identifiera svagheter i tid för att kunna hantera dem på ett sätt som gynnar organisationen i slutändan.

2.5.1 Riskhanteringsprocessen

Riskhanteringsprocessen har likt begreppet riskhantering varit under diskussion under flertalet år och de finns flertalet olika modeller (Hamilton, 1996). SWERMA (u.å.) beskriver riskhanteringsprocessen som den systematiska tillämpningen av rutiner som leder till identifiering, analys, utvärdering och behandling av risk. De centrala stegen i riskhanteringsprocessen som återfinns i de flesta modellerna som organisationer använder är identifiering av risker, analysering av risker, åtgärder för att reducera risker samt rapport och uppföljning av de funna riskerna (SWERMA u.å.; Hamilton, 1996; Finansinspektionen, 2006; Purdy, 2010; Smith & Fischbacher 2009).

Arias och Stern (2011) anser att riskidentifiering är det första steget i en riskhanteringsprocess. För att kunna göra detta krävs en stor kännedom om organisationen, marknaden och hur organisationen påverkas av omgivningen. Arias och Stern (2011) menar även att den personal

16

som dagligen arbetar i ett visst projekt har mest kännedom om vilka risker som finns inom projektet. Det första steget till en lyckad riskhantering blir således synliggöra alla risker på alla nivåer inom organisationen. Därav kan riskidentifiering ses som en nyckelprocess i riskhanteringen. Analysen av de funna riskerna kan göras på ett flertal olika sätt (Purdy, 2010). Det huvudsakliga syftet med riskanalysen är kostnadsberäkna de olika typer av riskerna som tidigare har identifierats. Efter att risken har identifierats och analyserats är det upp till organisationen att upprätta en åtgärdsplan för att eliminera eller reducera risken (Hamilton, 1996). Det sista steget är rapportering- och uppföljningsprocessen som enligt Frost et al (2001) ska innehålla en del där det bestäms om bättre kunskap eller kompetens hade hjälpt till att skapa ett starkare underlag inför beslutet. En effektiv riskhantering kräver att denna del är väl fungerande. Detta för att försäkra att de risker som finns ständigt hanteras med den effektivaste metoden. Rapport och feedback av den informationen som framkommit behöver också förmedlas både externt och internt. Styrelse och VD, ledning för olika avdelningar men också de anställda behöver ta del av informationen. Kaplan och Mikes (2012) påstår att känslighetsanalyser, scenarioplanering och riskkartor är väsentliga delar i ett företags riskhanteringspraxis, dock kan de inte ersätta ledningsomdömen. Därför är det viktigt att de modeller som tas fram kombineras med analytiska, djupgående och noggranna diskussioner mellan ledning och medarbetarna.

2.5.2 Riskhanteringsstandard – ISO 31000

ISO 31000:2018 är en generell standard inom riskhantering för alla typer av företag och är framtagen av International Organization for Standardization (Olechowski, Oehmen, Seering, Ben-Daya 2016; Purdy 2010). ISO 31000 är inte en standard som är ämnad att bli certifierad inom utan syftet är istället att skapa en generell vägledning som kan användas av alla typer av verksamheter, organisationer, grupper eller individer (Svenska Institutet för Standarder, u.å.). Tanken är att standarden ska kunna tillämpas på alla sorters risker, oavsett karaktär. Vid utformning och implentering av riskhanteringsplaner bör dock hänsyn tas till att varje enskild organisation har varierande behov. Exempelvis skiljer sig kontext, struktur, drift, processer, tillgångar och särskilda rutiner sig mellan olika organisationer.

Purdy (2010) förklarar att experter ifrån 28 länder inom olika typer av företag bildade en arbetsgrupp för att skapa denna standard, vilket tog över fyra år för gruppen att framställa. Standarden innehåller elva principer inom riskhantering. Tanken är att om dessa principer följs

17

av organisationen kommer det att skapa en effektiv riskhantering. Principerna för en effektiv riskhantering inom standarden är:

1. Create and protect value, 2. Be an integral part of all organizational processes; 3. Be part of decision making; 4. Explicitly address uncertainty; 5. Be systematic, structured, and timely; 6. Be based on the best available information; 7. Be tailored; 8. Take into account human and cultural factors; 9. Be transparent and inclusive; 10. Be dynamic, iterative, and responsive to change; 11. Facilitate continual

improvement of the organization

(Olechowski et al, 2016).

ISO 31000 innehåller även en modell för att förklara riskhanteringsprocessen (se figur 2). Syftet med modellen som är framtagen är att visa förhållandet mellan de olika stegen som skapar hela riskhanteringsprocessen.

Figur 2 - Modell över riskhanteringsprocessen inom ISO 31000. (Purdy, 2010)

Två delar i modellen är ständigt närvarande i riskhanteringsprocessen. Detta är Communication and Consultation samt Monitor and Review. Kommunikation och konsultation med interna och externa intressenter är viktigt för att förstå intressenternas mål och synpunkter för att sedan skapa sig en strategi över beräkningen av riskkriterier. Övervakning och granskning är viktigt för att kunna implementera åtgärder när nya risker dyker upp eller när befintliga risker ändrar

18

form. Risker kan också ändra form till följd av interna eller externa händelser. Vidare anser Purdy (2010) att ryggraden inom ISO 31000 är steget Establish the context. Detta går att förklaras som det steg där företaget definierar vad de vill åstadkomma och vilka externa och interna faktorer som kan påverka utfallet. Modellens centrala delar går att jämföra med de fyra centrala stegen som nämndes innan, riskidentifiering, riskanalys, riskutvärdering och riskåtgärd (SWERMA u.å., Arias & Stern 2011; Hamilton, 1996; Finansinspektionen, 2006).

Enligt Purdy (2010) är syftet med riskanalysen inom ISO 31000 att förstå varje enskild form av risk och dess konsekvenser. Oavsett om företaget använder sig av en kvalitativ eller kvantitativ metod. Det sista steget i modellen är Risk treatment. Detta steg är den process i företaget då tidigare åtgärder förbättras eller nya åtgärder tas fram för att bemöta den risk som finns. ISO 31000 har tagit fram ett antal olika åtgärder för att bemöta risken som uppstår. Exempel på åtgärder kan vara, undvika risken, ta bort källan till risken, ändra sannolikheten för risken, ändra konsekvenserna av risken och ta sig an risken som en möjlighet.

2.6 Teoretisk sammanfattning

Nedan visas en sammanfattning av de delar som har presenterats i kapitel 2 i en sammanfattande modell. Modellen visar vilka kopplingar som finns mellan de berörda teorierna.

19

I denna modell kan digitalisering ses som ett övergripande fenomen som har en påverkan på redovisningen. Digitaliseringen påverkar redovisningen på flertalet olika sätt, bland annat leder den tekniska utvecklingen till nya och integrerade system samt att ett mer datoriserat arbetssätt blir standarden (Ghasemi et al, 2011). I studien kan redovisning ses som ett kontextuellt sammanhang vilket innehåller olika faktorområden. Studien berör två faktorområden i denna kontext, dessa är riskhantering och operativ risk. Riskhantering och operativ risk har i sin tur påverkats av digitaliseringen. Indirekt genom att redovisningen har förändrats vilket avspeglat sig på dess faktorområden samt direkt genom att riskhanteringsprocessen har digitaliserats. Digitaliseringens påverkan på risker och företags riskhantering går att utläsa i flertalet artiklar (Moosa, 2007; Orman, 2013; Ghasemi et al, 2011). En organisation bör vara medveten om att både de förväntade och ej förväntade förändringarna som sker kan innebära källor för operativa risker. Orman (2013) menar att digitaliseringen är en av källorna till de risker som finns inom en organisation. När operativa risker uppstår påverkar det organisationens riskhantering då ett ställningstagande kring den nya risken måste göras. Samtidigt påverkar riskhantering operativ risk genom att organisationen blir medvetna om risken för att sedan välja en lämplig åtgärd för varje specifik risk. Därmed kan det antas att det pågår en växelverkan mellan operativ risk och riskhantering.

Modellen har tagits fram i syfte att förtydliga hur alla delar i den teoretiska referensramen är kopplade till varandra (se figur 3). Vidare kommer modellen finnas som ett stöd under analysen av den insamlade empirin och även vid utformandet av den intervjuguide som används vid insamlingen av empirin. Modellen syftar till att förtydliga vad som är av intresse för studiens syfte och frågeställning. Studiens syfte och frågeställningar är kopplade genom att belysa hur fenomenet digitalisering har påverkat de valda faktorområdena som befinner sig i det kontextuella sammanhanget redovisning.

20

3 Metod

I följande kapitel presenteras av beskrivning av hur studiens forskningsprocess har gått till. Vidare presenteras tillvägagångsättet för insamling av data samt hur den sedan bearbetats och analyserats. Avslutningsvis nämner författarna etiska överväganden som har gjorts i studien samt kommentarer kring studiens reliabilitet och validitet.

3.1 Undersökningsmetod

Studien utgår från en kvalitativ metod då undersökningen är utformad för att gå på djupet kring ett fenomen. Den kvalitativa forskningsmetoden är ofta lämplig för att få en nyanserad beskrivning av ett undersökningsobjekt (Jacobsen, 2017). Enligt Corbin och Strauss (2008) handlar den kvalitativa metoden om att skapa sig förståelse och utveckla empirisk kunskap genom en process. I förlängningen kan den kvalitativa metoden också ses som lämpligt för att undersöka sambandet mellan individ och kontext (Jacobsen, 2017). En kvalitativ undersökning kan också förklaras som verklighetsnära då den tar stöd i de personer som undersöks. Eftersom deras förståelse samt vilket kontextuellt sammanhang som de ingår i kan ses som relevant (Jacobsen, 2017). Den nyanserade beskrivningen av undersökningsobjektet var den främsta anledningen till att den kvalitativa metoden valdes. Till skillnad från den kvantitativa metoden innefattar den kvalitativa metoden en annan typ av närhet till respondenten. Exempelvis kan kroppsspråk och tonläge tas med i beaktning av intervjun. Studien valde även bort den kvantitativa metoden för att skapa en större öppenhet. Den kvalitativa metoden påtvingar inte respondenten fasta frågor med givna svarsalternativ utan istället får respondenten möjlighet att svara mer öppet vilket kan leda till en mer detaljerad förståelse för respondentens inblick på forskningsämnet (Bryman och Bell, 2015; Jacobsen, 2017).

Vid en undersökning kan det användas olika typer av forskningsansatser. Jacobsen (2017) menar att forskningsansatserna går att dela in i induktiv, deduktiv och abduktiv. Den strikta induktiva ansatsen innebär att forskaren går från empiri till teori, vilket innebär att all teori bör vara grundad i verkliga observationer (Jacobsen, 2017). Medan den strikt deduktiva ansatsen innebär att utgångspunkten är teori och att därefter applicera detta på den empiri som samlats in.Den abduktiva ansatsen innebär enligt Jacobsen (2017) att det pågår en växelverkan mellan empiri och teori där ingen anses ha förtur. Den abduktiva ansatsen kan ses som en kombination av induktiv och deduktiv ansats. Vid en abduktiv ansats söks förklaringar och beskrivningar

21

som kan anses vara mest sannolika (Jacobsen, 2017; Bryman & Bell, 2015) Studiens problematisering har sin grund i författarnas tidigare erfarenheter som sedan har underbyggts med hjälp av lämpligt urval av tidigare forskning. Utifrån studiens problematisering har sedan en teoretisk referensram över relevant teori presenterats, vilket har lagt grunden för insamlingen av empirin. Den teoretiska referensramen har legat till grund för empirin på så sätt att den intervjuguide som tillämpats har haft sin förankring i den. Efter att empirin har samlats in och presenterats har den teoretiska referensramen varit en grundsten i analysarbetet av empirin. Det har således pågått en växelverkan mellan empiri och teori genom studiens gång vilket gör att studien kan kategoriseras till det abduktiva synsättet. Dock har inte denna studie till syfte att kategoriseras på en specifik ansats likt induktiv, deduktiv eller abduktiv.

3.1.1 Semistrukturerade intervjuer

Då studien riktar in sig på tre redovisningsenheter och endast ett fåtal personer intervjuades valdes den öppna individuella intervjun. Den öppna individuella intervjun är lämplig för att få fram enskilda individers tolkning av ett fenomen. Det blir möjligt att få klarhet i individens förståelse och hur denne tillskriver sig olika förhållanden (Jacobsen, 2017). Den öppna individuella intervjun kan genomföras på olika sätt. Exempel på olika intervjumetoder är ansikte-mot-ansikte, telefon, chatt och mail. På grund av den rådande situationen i samhället gällande Covid-19 fick det personliga mötet med respondenten väljas bort. Istället utfördes intervjuerna via videomöte, telefon eller mail.

Jacobsen (2017) menar att en intervju kan ha olika grader av öppenhet och struktur. Med detta menas att intervjuaren styr intervjun mer eller mindre. Denna studie har använt sig av en semistrukturerad intervjumetod. Den semistrukturerade intervjun består av ett antal förutbestämda teman som diskuteras med respondenten (Qu & Dumay, 2011). Den semistrukturerade intervjun baserar sig på ett naturligt samtal, vilket skapar en möjlighet för intervjuaren som kan ändra utformning av frågorna för att kunna få fram den information som eftersträvas. Då studien undersökt respondentens upplevda risker med digitaliseringen fanns det ett behov av en insamlingsmetod som var flexibel. En av de främsta anledningarna till att den semistrukturerade intervjun valdes var att respondenten får besvara frågorna med egna ord utifrån dennes egna synpunkter och tankar. För att uppnå ett så lyckat utfall som möjligt skapades en operationaliseringstabell som låg till grund för en intervjuguide (Tabell 2).

22 3.1.2 Urval

I en urvalsprocess för en kvalitativ studie kan antingen ett sannolikhetsurval eller ett icke sannolikhetsurval göras (Bryman & Bell, 2015). Då studien inte syftade till att generalisera resultatet på en population användes det i denna studie ett icke-sannolikhetsurval. Urvalet av respondenter har skett genom det Bryman och Bell (2015) kallar målstyrt urval, där urvalet har skett genom att de respondenter som är relevanta för studien valdes. De urvalskriterier som har använts har fokuserat på respondentens yrkesroll. De yrkesroller som var av studiens intresse befann sig inom en redovisningsenhet. Exempelvis assistenter, controllers eller ansvarig chef över redovisningen inom ett företag. Anledningen till att olika yrkesroller valdes ut var för att kunna få olika syn på digitaliseringens påverkan och riskhanteringsprocessen inom samma företag. Ytterligare ett kriterium som beaktades vid urvalet av respondenter var att deras huvudsakliga arbetsuppgifter ska vara ekonomitjänster riktad mot kunder. Således har relevanta arbetsplatser definierats antingen som en redovisningsbyrå alternativt ett fastighetsförvaltningsbolag med ekonomisk förvaltning för sina kunder.

3.1.3 Presentation av respondenter

Tabell 1 - Presentation av respondenter

Respondent Titel

Yrkes- erfarenhet

Respondent &

Arbetsplats Metod & Tid

1 Ekonomiassistent 3 år Företag A

Redovisningsenhet

Semistrukturerad intervju via Teams

35min

2 Ekonomiassistent 3 år Företag A

Redovisningsenhet

Semistrukturerad intervju via mail

3 Verksamhetschef 14 år Företag A

Redovisningsenhet

Semistrukturerad intervju via mail och följdfrågor via telefon

4 Controller/ Gruppchef 17 år Företag B

Redovisningsenhet

Semistrukturerad intervju via Teams

31min

5 Redovisningsekonom 5år Företag B

Redovisningsenhet

Semistrukturerad intervju via mail

23

6 Redovisningsassistent 5 år Företag C

Redovisningsbyrå

Semistrukturerad intervju via mail

7 Redovisningsassistent 6 år Företag C

Redovisningsbyrå

Semistrukturerad intervju via mail

Företag A – Fastighetsförvaltning, ca 8 000 MKR i omsättning och ca 3000st anställda (2019) Respondent 1 arbetar som ekonomiassistent med ekonomisk förvaltning på ett fastighetsförvaltningsbolag. Dennes huvudsakliga arbetsområde genomförs på leverantörsreskontraenheten, men är enligt respondenten själv inte begränsad till denna avdelning.

Respondent 2 arbetar med leverantörsreskontra och lånereskontra på ett fastighetsförvaltningsbolag. I arbetsuppgifter som ekonomiassistent nämner respondent 2 exempelvis förkontering av leverantörsfakturor, hantering av villkorsbilagor samt avier för lån.

Respondent 3 arbetar som verksamhetschef på företaget och har ansvar för redovisningsflödet. Arbetsuppgifterna består av att stötta och coacha fyra gruppchefer och en specialist inom redovisningsområdet samt att arbeta med strategiska frågor inom företaget.

Företag B – Fastighetsförvaltning, ca 100 MKR i omsättning och ca 100st anställda (2019) Respondent 4 arbetar som controller och är gruppchef för redovisningsgruppen. Respondenten nämner att denne kan klassas som en mindre ekonomichef då arbetsuppgifterna är väldigt olika. Arbetsuppgifterna kan vara uppföljning av likviditet och projekt i fastigheterna men också göra inkomstdeklarationer och vara kontakt för diverse frågor.

Respondent 5 arbetar som redovisningsekonom inom redovisningsenheten. Respondenten beskriver att dennes huvudsakliga arbetsuppgift är att vara med och sköta den dagliga bokföringen inom bolagen.

Företag C – Redovisningsbyrå, ca 1000 MKR i omsättning och ca 1000st anställda (2019) Respondent 6 arbetar som redovisningsassistent på en redovisningsbyrå. Arbetsuppgifterna består enligt respondenten mestadels av löpande bokföring och månadsavstämningar för mindre ägarledda företag. Framförallt ligger fokus på framtagning av rapporter antingen för månad, kvartal eller årsvis beroende på kundens preferenser.

24

Respondent 7 arbetar som redovisningsassistent på en redovisningsbyrå. Respondenten beskriver sina arbetsuppgifter som löpande bokföring åt mestadels mindre företag. Respondenten hjälper även till med bokslut och årsredovisningar.

3.2 Datainsamling

Totalt genomfördes sju stycken semistrukturerade intervjuer mellan 2/12 och 27/12 år 2020. Intervjuerna låg till grund för studiens primärdata. Med tanke på rådande situation och att samhället befinner sig i en rådande pandemi genomfördes intervjuerna på distans. Intervjuerna genomfördes digitalt via kommunikationsplattformen Skype, Zoom eller Teams. Det var enbart en av uppsatsskrivarna som förde intervjun men varje uppsatsskrivare har haft

möjlighet att ställa eventuella följdfrågor. Följdfrågor användes för att skapa ett större djup i respondenternas svar samt för att få förtydliganden i svar som kunde uppfattas som otydliga. Intervjuerna spelades in med hjälp av programvara i mobiltelefon och ljudfilerna lagrades sedan privat som enbart studiens författare hade åtkomst till. Ett flertal av intervjuerna genomfördes via mail, där det initialt ställdes huvudfrågor för att sedan återkoppla med diverse följdfrågor. Återkoppling gjordes även i de fall studiens författare ansåg att ett mer utförligt svar behövdes.

Databaserna som använts vid sökning av litteratur är Primo och Google Scholar. Vid sökningarna i dessa databaser har nyckelord använts. Exempel på nyckelord som använts är “operational risk”, “risk management”, “digitalization”. Den litteratur som återfunnits har bidragit med relevant information över tidigare forskning samt använts som underlag för den teoretiska referensramen.

3.3 Operationalisering

Intervjuguiden skapades för att säkerhetsställa att de teman som ville uppnås under intervjuerna. Intervjuguiden är utformad i syfte att beröra de utvecklade delarna som presenterats i den teoretiska referensramen (se kap 2. Teoretisk referensram). Analysmodellen (se 2.6) har också använts som en utgångspunkt vid utformandet av intervjuguiden. En operationaliseringstabell har tagits fram för att förklara det bakomliggande syftet med varje fråga som ställts och även för att beskriva kopplingen till den teoretiska referensramen. I tabellen är studiens huvudsakliga frågor uppradade och kopplade till respektives teoretiska utgångspunkt, tabellen innehåller

25

även en koppling till centrala referenser gällande varje enskild fråga. De eventuella följdfrågor som har använts under intervjuerna går att utläsa i intervjuguiden (se bilaga 1).

Tabell 2 - Operationaliseringtabell

Nr. Fråga Motivering Teoretisk koppling Referens

1

Vad innebär begreppet digitalisering för dig?

Allmän fråga för att få respondentens uppfattning gällande begreppet 2.2 Digitalisering (Parviainen, 2017; Gobble, 2018; Kempe, 2016) 2 Vad har du för inställning kring digitalisering inom redovisningsbransch en? Se hur respondenten upplever digitaliseringen inom sin bransch 2.2.1 Digitalisering inom redovisningsbranschen (Ghasemi, 2011; Bhimani & Willcocks, 2014,) 3 Om du skulle beskriva ditt arbete, på vilket sätt har digitaliseringen tagit form och vilka tekniska hjälpmedel används i

redovisningsprocesse n och i ditt dagliga arbete?

Ta reda på hur digitaliseringen

påverkat respondentens dagliga arbete inom en redovisningsenhet. Samt vilka tekniska hjälpmedel som respondenten använder. 2.2.1 Digitalisering inom redovisningsbranschen (Ghasemi, 2011; Bhimani & Willcocks, 2014,)

4 Vad är din definition

av operativ risk? Se hur respondenten uppfattar begreppet operativ risk 2.3 Risker, 2.3.1 Operativ risk (Hamilton, 1996; Moosa, 2007; Wolke, 2017) 5

Beskriv din syn på digitaliseringens påverkan på era operativa risker Ta reda på om respondenten upplever att digitaliseringen påverkat de operativa riskerna 2.4 Operativa risker inom redovisningsprocessen (Orman, 2013; Yadav, 2016; Kumar, 2018; Wolke, 2017). 6 Hur har digitaliseringen förändrat kraven gällande kunskap inom de system ni använder? Se om digitaliseringen påverkat den kunskap som krävs av

respondenten för att klara av system som används. 2.4.1 Personalrisker (Wolke, 2017; Halaweh & El Massry, 2015; Luburic, 2016) 7 Hur har digitaliseringen påverkat risken med otillräckliga system?

Se om digitaliseringen påverkat system till den följd att systemet kan ses som

otillräckligt 2.4.2 Systemrisker (Wolke, 2017; Yadav, 2016; Drum & Pulvermacher, 2016) 8

Hur ser eran process gällande

riskhantering ut?

Se hur företaget

hanterar sina risker 2.5 Riskhantering

(ISO 31000; Purdy, 2010, Hamilton, 1996)

26

(Policys, regelverk, normagerande)

9

Hur har digitalisering påverkat ert sätt att hantera era risker?

Se om det finns en upplevd korrelation mellan digitaliseringen och företagets sätt att hantera risker

2.5 Riskhantering

(ISO 31000; Purdy, 2010; SWERMA, u.å.)

Qu och Dumay (2011) menar att en intervjuguide till en semistrukturerad intervju kan varieras i sin utformning beroende på forskarnas förkunskaper och deras egna personliga perspektiv. Jacobsen (2017) argumenterar för att de inledande frågorna i en intervju bör vara av en enkel karaktär för att få respondenten att känna sig trygg och för att undvika att samtalet låser sig. Därav inleddes intervjuguiden med att respondenten får presentera sig själv och sina erfarenheter. Enligt Bryman och Bell (2015) ska frågor som kan besvaras med ja och nej undvikas i en öppen intervju. Under intervjuns gång anpassades frågorna efter hur respondenterna svarade och följdfrågor användes i de fall de ansågs att de behövdes. De följdfrågor som använts under intervjuernas gång har anpassats efter vad respondenterna har sagt för att få det bästa möjliga utfall för varje unik intervju.

Enligt Qu och Dumay (2011) kan den semistrukturerade intervjun liknas vid ett samtal vilket kan göra att respondenten får en möjlighet att utveckla sina svar och förklara deras egna synpunkter med ett annat djup. Risken med en alltför strikt intervju är att respondenten leds in till att svara på vad forskaren tycker är viktigt istället för respondentens egna åsikter (Jacobsen, 2017). För att lösa detta problem utformades frågorna i intervjuguiden efter studiens tema samtidigt som de fortfarande var öppna i tillvägagångsättet. Qu och Dumay (2011) menar att en annan risk med den öppna intervjun är att respondenterna avviker från frågeställningen och börjar diskutera det som för studien är irrelevant. Lösningen på detta problem var att använda de uppskrivna följdfrågorna för att hålla kvar respondenten inom studiens teman.

Intervjuguiden har använts som underlag till intervjuerna för både medarbetare och chefer inom en redovisningsenhet. Anledningen till att frågorna har varit utformade på samma sätt för båda yrkesrollerna är att respondenterna ska bidra med sin egen upplevda verklighet. Risken med att anpassa frågorna för olika arbetsroller är att påverka den empiri som samlas in. Därav togs beslutet att utformningen av frågorna är öppna och objektiva för att enbart fokusera på respondentens egen uppfattade verklighet. Intervjuguiden återfinns i bilaga 1.

27 3.4 Analysmetod

Efter att intervjuerna har genomförts transkriberades allt inspelat material. Enligt Jacobsen (2017) är det ideala valet att transkribera allt material som är inspelat. Den negativa aspekten kan ses som att det är väldigt tidskrävande. För att underlätta analysarbetet samt presentationen av empirin har ljudfilerna transkriberats. Vidare genomgick empirin en innehållsanalys vilket kategoriserades enligt det som Jacobsen (2017) kallar för öppen kodning. Öppen kodning innebär att data som liknar varandra splittras upp i några mindre teman som anses vara relevanta för studien. Eftersom det insamlade materialet från de olika intervjuerna inte alltid följer samma ordning behövdes en typ av kategorisering genomföras.

Kategoriseringen utfördes genom att det transkriberade materialet delades upp i olika teman och sammanställdes. De olika temana som återfinns i den öppna kodningen baseras med hjälp av studiens syfte och frågeställning men även i relation till den teoretiska referensramen. Bryman och Bell (2015) menar att en god struktur på det insamlade materialet är viktigt då den tematiska uppbyggnaden utgör grunden för analysen i studien. Dessa teman är digitaliseringens påverkan på redovisning, operativa risker samt riskhanteringsprocessen. Exempelvis sammanställdes samtliga respondenters uttalanden kring temat digitaliseringens påverkan på redovisning i ett dokument innan relevanta delar presenterades i empirin. Anledningen till att dessa tre teman valdes var för att skapa en tydlig koppling till studiens frågeställning och syfte. Eftersom studiens syfte var att undersöka digitaliseringens påverkan på operativa risker samt riskhanteringsprocessen ses dessa tre teman som relevanta. Det strukturerade materialet från intervjuerna har sedan analyserats i relation till den teoretiska referensramen. Uppdelningen av olika teman underlättade också det analytiska arbetet genom att navigeringen mellan empiri och teori blev tydligare.

3.5 Forskningsetik

Etiska forskningsaspekter innefattar hur forskaren behandlar de individer och organisationer som utgör kärnan i undersökningen samt hur informationen som samlas in nyttjas (Bryman & Bell, 2015). Operativ risk och företagens riskhantering kan ses som ett känsligt område då den inkluderar verksamhetens aktiviteter, kompetens och IT. Därav kan empirin som har samlats in uppfattas som känsliga uppgifter för både den enskilde individen men även för företaget som respondenten representerar. Till följd av detta togs ett tidigt beslut att respondenterna samt vilket företag de företräder skulle förbli anonymt. Enbart storleken på företagen kommer att nämnas. Jacobsen (2017) menar att anonymitet kan vara till en fördel i den kvalitativa metoden,