I NTERNREVISORERNAS MANDAT
Civilekonomprogrammet Examensarbete 30hp VT2013 Författare: Marie Bertilsson
Elin Petersson
Handledare: Sven-Olof Yrjö Collin
Vi vill rikta ett stort tack till vår handledare Sven-Olof Yrjö Collin och våra kurskamrater för värdefull feedback och kommentarer under examensarbetets gång.
Vi vill även tacka de tre internrevisorer som ställde upp på intervjuer och bidrog med en djupare förståelse för internrevision samt de internrevisorer som besvarat vår enkät.
Vi vill även tacka vår examinator Anna Stafsudd som genom god kritik hjälpt oss se nya infallsvinklar på problem som uppkommit under arbetets gång.
Tack!
Växjö, 23 maj 2012
X
Marie Bertilsson
X
Elin Petersson
Författare: Marie Bertilsson och Elin Petersson Handledare: Sven-Olof Yrjö Collin
Examinator: Anna Stafsudd Titel: Internrevisorernas mandat
Bakgrund: Internrevision är en oberoende och objektiv försäkrans- och konsultaktivitet vilken utformas för att tillföra organisationer värde. Historiskt sett har internrevisionen legat i externrevisionens skugga och det var inte förrän 1941 som internrevisionen fick sitt stora genomslag. På grund av bland annat 2000-talets skandaler och globala finanskriser har bolagsstyrning fått en mer framträdande roll. Skandalerna resulterade i att SOX infördes vilket gav internrevisionen en stor betydelsefull roll i dagens bolagsstyrning. För att förstå vilken roll internrevision har i organisationer är det viktigt att undersöka deras mandat då det är mandatet som sätter ramarna för internrevisorns uppdrag. Genom att undersöka intern- revisorernas mandat i form av handlingsinriktning och handlingsutrymme erhålls en djupare förståelse för vilka aktiviteter internrevisorer inriktar sig på, hur omfattande dessa aktiviteter är samt hur deras oberoende ser ut och vilka möjligheter de har till påverkan i en organisation.
Syfte: Vårt syfte är att förklara svenska internrevisionsfunktioners mandat, i termer av handlingsinriktning och handlingsutrymme, samt vilka faktorer som påverkar internrevisionsfunktionens mandat.
Metod: Vår studie har haft en deduktiv ansats där vi utgått från flera företagsekonomiska teorier och egna resonemang för att ta fram hypoteser om internrevisionsfunktionens mandat vilka sedan testats mot empirisk data. Studien har genomförts med en kvantitativ undersökningsmetod där det empiriska underlaget samlats in genom webbenkäter som skickats ut till 663 internrevisorer i Sverige.
Resultat/Slutsatser: Studiens resultat visar på att svenska internrevisorers mandat varierar mellan olika organisationer. Vi har kommit fram till att internrevisorernas mandat är positivt relaterat till efterlevnaden av IIAs standarder, revisionskommitténs auktoritet, internrevisorernas ambitioner att göra karriär inom ledningen och internrevisorernas kommunikativa förmåga. Studien har även resulterat i en teoretisk modell vilken redogör för internrevisorernas mandat i dimensioner.
Authors: Marie Bertilsson and Elin Petersson Supervisor: Sven-Olof Yrjö Collin
Examiner: Anna Stafsudd
Title: The Mandate of Internal Auditors
Background: Internal auditing is an objective and independent insurance and consulting activity which is designed to add value to an organization. Historically, internal auditing has been in the shadow of external auditing and it was not until 1941 that internal auditing had its breakthrough. As a result of the 2000s scandals and the global financial crises, corporate governance has gotten a more prominent role. The scandals led to the introduction of the SOX-regulation, which gave internal auditing an important role in the corporate governance system. To understand the role of internal auditing it is important to study their mandate since it is the mandate that outlines the scope of internal auditing. By examining the mandate of internal auditors in terms of commission and authority we can obtain a deeper understanding of what kind of activities the internal audit function focuses on and how extensive these activities are as well as an understanding of internal auditors’ independence and their ability to influence the organizations.
Purpose: The purpose of this study is to explain the mandate of Swedish internal audit functions in terms of commission and authority as well as explore elements that can explain the mandate of the internal audit function.
Method: Our study has a deductive approach and is built upon several business economic theories and upon our own arguments to develop hypotheses about the mandate of the internal audit function. These were later tested against empirical data. The study was conducted with a quantitative research method in which the material was collected through online questionnaires sent to 663 Swedish internal auditors.
Conclusions: The result of the study shows that the mandate of Swedish internal auditors varies between different organizations. We conclude that the mandate of internal auditors is positively related to the compliance of the IIA standards, the authority of the audit committee, the internal auditors’ ambitions to pursue a career in management and the internal auditors’
communication skills. The study also resulted in a theoretical model which describes the
1 INLEDNING 1
1.1 BAKGRUND 1
1.2 PROBLEMDISKUSSION 4
1.2.1 INTERNREVISIONENS ROLL OCH POSITION I BOLAGSSTYRNINGEN 5
1.2.2 INTERNREVISIONENS FRAMVÄXT OCH UTBREDNING 6
1.2.3 TIDIGARE FORSKNING INOM INTERNREVISION 7
1.2.4 PROBLEMFORMULERING 10
1.3 SYFTE 10
1.4 DEFINITIONER 10
2 METOD 12
2.1 KUNSKAPSSYN 12
2.2 TEORIGRUND 12
2.3 FORSKNINGSANSATS 14
2.4 INFORMATIONSINSAMLING OCH KÄLLKRITIK 15
3 INTERNREVISION 18
3.1 VAD ÄR INTERNREVISIONSFUNKTIONEN? 18
3.2 VAD ÄR INTERNREVISION? 18
3.3 HUR PLANERAS INTERNREVISIONSARBETET? 19
4 TEORI 22
4.1 MANDAT 22
4.1.1 FÖRÄNDRINGSMANDAT OCH KONTINUITETSMANDAT 22
4.1.2 ETT FÖRÄNDERLIGT MANDAT 24
4.1.3 TVÅ DIMENSIONER AV MANDAT 24
4.2 MANDATET FÖR FUNKTIONEN INTERNREVISION 26
4.3 HANDLINGSINRIKTNING 28
4.3.1 AKTIVITETER 28
4.4 HANDLINGSUTRYMME 37
4.4.1 OBEROENDE 37
4.4.2 PÅVERKAN 38
4.4.3 DJUP 39
4.5 HYPOTESFORMULERINGAR 40
4.5.1 REGLERING 41
4.5.2 ORGANISATION 47
4.5.3 KARAKTÄRSDRAG FÖR FUNKTIONEN FÖR INTERNREVISION 67
4.5.4 INTERNREVISORERNAS EGENSKAPER 80
4.5.5 SAMMANFATTNING AV HYPOTESER 84
5 EMPIRISK METOD 87
5.1 UNDERSÖKNINGSMETOD 87
5.2 UNDERSÖKNINGSDESIGN 88
5.3 URVAL 89
5.3.1 FÖRSTUDIE 89
5.3.2 PILOTSTUDIE 90
5.3.3 ENKÄT 90
5.4 METOD FÖR DATAINSAMLING 90
5.4.1 ENKÄT 90
5.4.2 FÖRSTUDIE 93
5.5 OPERATIONALISERING 97
5.5.1 BEROENDE VARIABLER 98
5.5.2 OBEROENDE VARIABLER 109
5.6 BORTFALLSANALYS 130
5.7 DATAANALYS 131
5.7.1 RELIABILITETSANALYS 132
5.7.2 UNIVARIAT ANALYS 132
5.7.3 BIVARIAT ANALYS 133
5.7.4 MULTIVARIAT ANALYS 135
5.8 SLUTGILTIGA VARIABLER 136
6 EMPIRISK ANALYS 138
6.2 UNIVARIAT ANALYS 140
6.2.1 HANDLINGSINRIKTNING 140
6.2.2 OBEROENDE 142
6.2.3 PÅVERKAN 143
6.2.4 DJUP 144
6.3 BIVARIAT ANALYS 145
6.3.1 SIGNIFIKANTA SAMBAND 146
6.3.2 TEST AV KURVLINJÄRA SAMBAND 149
6.4 MULTIVARIAT ANALYS 151
6.4.1 HANDLINGSINRIKTNING 152
6.4.2 OBEROENDE 156
6.4.3 PÅVERKAN 159
6.4.4 DJUP 163
6.5 HYPOTESPRÖVNING 165
6.5.1 REGLERING 166
6.5.2 ORGANISATION 171
6.5.3 KARAKTÄRSDRAG FÖR FUNKTIONEN FÖR INTERNREVISION 200
6.5.4 INTERNREVISORERNAS EGENSKAPER 215
6.6 SAMMANSTÄLLNING AV HYPOTESPRÖVNINGEN 220
6.7 ÖVRIGA IDENTIFIERADE SAMBAND 224
7 SLUTSATS 226
7.1 SLUTSATSER 226
7.2 TEORETISKT BIDRAG 229
7.3 EMPIRISKT BIDRAG 231
7.4 FÖRSLAG TILL FORTSATT FORSKNING 232
KÄLLFÖRTECKNING 235
BILAGA 1 – FORSKNING OM INTERNREVISION 243
BILAGA 2 - INTRODUKTIONSBREV 244
BILAGA 4 – ENKÄTFRÅGOR FÖR INRIKTNINGS- OCH DJUPVARIABLERNA 249 BILAGA 5 – DESKRIPTIV PRESENTATION AV OBEROENDE VARIABLER 252
BILAGA 6 – KÄNSLIGHETSTESTER AV REGRESSIONSMODELLER 254
BILAGA 7 - MULTIKOLLINARITETSTABELL 259
BILAGA 8 – KORRELATIONSANALYSER 261
BILAGA 9 – T-TESTER 263
1 Inledning
et inledande kapitlet beskriver kort vilka uppgifter internrevisorerna har och syftet med internrevision. Vi redogör också för internrevisionens uppkomst och hur utvecklingen sett ut där internrevision gått från en undanskymd roll i externrevisionens skugga till en mer framträdande roll till följd av de företagsskandaler som skedde under 2000-talet. Därefter redogör vi för tidigare forskning inom internrevision samtidigt som vi för en argumentation över varför det är relevant att studera internrevision och internrevisionsfunktionens mandat. Problemdiskussionen mynnar slutligen ut till vår problemformulering och studiens syfte.
1.1 BAKGRUND
Institute of Internal Auditors (IIA) definierar att internrevision är till för att säkerställa att organisationens information är tillförlitlig och har integritet, att lagar och regler efterlevs, att tillgångar skyddas, att resurser används produktivt samt att se till så att fastställda mål uppnås.
Fastställda mål uppnås genom att internrevisorerna på ett systematiskt och strukturerat sätt värderar och förbättrar effektiviteten i organisationens riskhantering, styrning och kontroll samt i ledningsprocesserna. Internrevision är en oberoende och objektiv försäkrans- och konsultaktivitet vilken är utformad för att tillföra värde och förbättra en organisations verksamhet (IIA 2013a).
Internrevisorerna har det övergripande ansvaret för kontroll av interna riktlinjer och efterföljandet av dessa. Internrevisorerna arbetar med löpande granskning samt års- och halvårsbokslut där de avrapporterar till externrevisorer. I internrevisorernas arbetsuppgifter ingår även att utföra riskanalyser, att självständigt utvärdera och säkerställa den interna styrningen och de interna kontrollerna som ledningen har ställt upp samt ge förslag till effektiviseringar och förbättringar. En stor del av internrevisorernas tid går åt till att förbereda revisioner vilket kan innefatta att internrevisorn tar del av styrande dokument, rutiner och förordningar samt läser in sig på det område de ska revidera. Vid genomförandet av revisionen ägnar sig internrevisorn åt att samla in fakta genom att utföra intervjuer med olika aktörer. Revisionen avslutas med att internrevisorn skriver en rapport där de redogör för de iakttagelser de gjort och vad de har för rekommendationer (Levelrecruitment 2013;
Ekonomijobb 2013; Trafikverket 2012). Internrevisorer arbetar således med internrevision och de bildar tillsammans funktionen för internrevision.
D
Internrevision har en lång historia med sitt ursprung i Mesopotamien för 5 500 år sedan men det har även påvisats att internrevision förekom i gamla Egypten, Grekland och Romarriket. I samband med Romarrikets fall förlorade internrevisionen sin framträdande position och det var inte förrän när systemet med dubbel bokföring infördes som intresset för internrevisionen återkom då det återigen behövdes en oberoende part som verifierade organisationers finansiella rapporter. Internrevisionens främsta uppgift var under denna tid att löpande verifiera företagets räkenskaper (Tarantino 2008).
Internrevisionen har historiskt sett ansetts ligga i den externa revisionen skugga och det var inte förrän 1941 som internrevisionen fick sitt stora genomslag, mycket tack vare bildandet av IIA (Mihai & Marcu 2008). Internrevisionens roll har därefter förändrats då företag ursprungligen var lika varandra och intervisionen kunde genomföras med hjälp av standardiserade tekniker. Då företag globaliserades, blev allt mer komplexa och den teknologiska utvecklingen framskred gick inte längre internrevisorernas standardiserade modeller att använda. Eftersom internrevisorerna inte anpassade sina metoder och modeller till företags utveckling började företag allt mer betrakta internrevisionen som en obetydlig funktion som inte kunde tillföra företag någon form av värde. Detta drog revisionsbyråerna fördel av då de började erbjuda internrevision som en konsulttjänst (Tarantino 2008). Under 1990-talet fick internrevisionen en allt mer rådgivande roll som fick konkurera med den traditionella försäkrande rollen (IIA 2009a se Anderson et al 2012; Tarantino 2008).
På grund av bland annat 2000-talets skandaler så som Enron, WorldCom, Carnegie (Gladwell 2010; CBS 2009; Kärrman & Heuman 2008) och globala finanskriser har bolagsstyrningen fått en allt mer framträdande roll hos reglerare och allmänheten. Detta har lett till ökade krav på att företag ska vara mer transparanta angående deras risker och interna kontroll och förmedla detta till allmänheten (Soh & Martinov-Bennie 2011). Det finns studier som visar på att företag med en internrevisionsfunktion har bättre intern kontroll än de som saknar denna funktion (Soh & Martinov-Bennie 2011; Hirth Jr 2008). En effekt av den ökade fokuseringen på bolagsstyrningen och den interna kontrollen blev därmed att det blev allt vanligare med internrevision i publika och privata bolag (IIA 2012). Internrevisionen har således växt fram till att bli en allt viktigare del i bolagsstyrningen, riskhanteringen (Gramling & Myers 2006, Beasley et al 2008 se Anderson et al 2012) och i den interna kontrollen i företag (Sarens 2009 se Anderson et al 2012).
Ytterligare ett resultat av företagsskandalerna var att det år 2002 utformades en ny reglering, Sarbanes-Oxley Act (SOX). I samband med denna reglering återfick internrevisionen en betydelsefull roll, då internrevisorerna fick till uppdrag att kontrollera så att företag följde regelverket (Anderson et al 2012; Tarantino 2008). Detta innebar att internrevisionens uppgift åren efter att SOX-regelverket införts blev nästan uteslutande att kontrollera regelefterlevnad hos företag. När företag anpassat sin organisation till SOX kom internrevisionens roll åter att förändras, vilket flera forskare observerat och studerat (Gramling et al 2004, Carcello et al 2005, Sarens & De Beelde 2006, Cohen et al 2010 se Soh & Martinov-Bennie 2011; Leung &
Cooper 2006). De förändringar som forskare identifierat handlade främst om att internrevisionens roll inte längre enbart var att granska organisationers regelefterlevnad, utan rollen utökades till att även omfatta aktiviteter som berörde organisationers bolagsstyrning och riskhantering. Den utökade rollen berodde till stor del på att organisationer hade olika förväntningar på IRF och hade olika preferenser över vad IRF skulle ägna sig åt (Spira 2003, Carcello et al 2005 se Soh & Martinov-Bennie 2011; Tarantino 2008).
I SOX avsnitt 404 krävs att ledningen utvärderar den interna kontrollen och offentliggör denna utvärdering i samband med de finansiella rapporterna. Dessutom krävs det att den externa revisorn årligen ska göra en bedömning över den utvärdering som gjorts. SOX satte också ökade krav på revisionskommitténs ansvar. Dessa krav på ökat ansvar hos ledningen och revisionskommittén ansågs vara en stor bidragande orsak till att internrevisionen återigen blev en viktig funktion för bolagen under 2000-talet (Lin et al 2011; Abbott et al 2010). 2003 införde också Securities and Exchange Commission (SEC) krav som innebär att listade företag på New York Stock Exchange måste ha en internrevisionsfunktion som kan bistå revisionskommittén och ledningen i deras arbete med riskhanteringen och den interna kontrollen (Soh & Martinov-Bennie 2011). För att kunna bistå revisionskommittén gav IIA ut rekommendationer till internrevisorerna om hur de skulle undersöka och utvärdera effektiviteten i organisationens system och interna kontroll (Abbott et al 2010). Utöver detta bör internrevisionen skapa värde till företaget genom att hjälpa ledningen att ta fram incitament och implementera system i verksamheten för att minska risker och frambringa lönsamhet (Oxner & Oxner 2006).
Eftersom internrevisorerna ska utföra en mängd aktiviteter så måste de besitta kunskaper inom ett flertal områden såsom ekonomi, revision, affärsverksamhet, teknik och juridik (Soh
& Martinov-Bennie 2011). I samband med teknikutvecklingen kunde internrevisorerna även
var som störst samt göra en mer löpande granskning (Marks 2009b se Anderson et al 2012;
Tarantino 2008). Teknikutvecklingen resulterade i att internrevisionsfunktionen (IRF) kunde ta hjälp av system för att hantera en större mängd data. Detta ledde till att IRF kunde granska hela populationer, det vill säga alla transaktioner och processer, istället för att endast granska ett urval. Ledningen såg ett värde i den alltmer löpande revisionen som de interna revisorerna kunde bidra med eftersom de inte behövde vänta på den årliga externa revisionen för att kunna åtgärda identifierade problem. Internrevisorn kan genom sin rådgivning till ledningen uppmärksamma de risker och möjligheter som finns i organisationen samt kontinuerligt ge ledningen förslag till förbättringar som kan hjälpa företaget att uppnå sin vision (Tarantino 2008).
1.2 PROBLEMDISKUSSION
Internrevisionen har fått en alltmer framträdande roll de senaste tio åren i de svenska organisationerna. Genom en sökning i vetenskapliga journaler på begreppet internrevision identifieras en ökning i antal publicerade artiklar i ämnet med 53 % mellan intervallen 1993- 1997 och 2008-2012 (Bilaga 1). Det visar att intresset för internrevision ökat inom forskningen och det är därför ett relevant ämne och något som ligger väl i tiden att utforska vidare. Tyvärr finns det dock en avsaknad av dokumenterad kunskap om mandat för funktionen som utför internrevision. Vår definition av mandatet för denna funktion byggs upp av två dimensioner; handlingsinriktning och handlingsutrymme. Med handlingsinriktning menas vilka olika aktiviteter eller uppgifter som IRF inriktar sig på och detta ses som bredden eller omfattningen av mandatet. Att ha tillåtelse att utföra flera uppgifter kan inte ensamt bestämma IRFs mandat utan det behövs även en dimension som berättar hur stor tillgång IRF har till information, personer och system vilket avgör hur mycket IRF kan fördjupa sig i varje aktivitet eller uppgift. Denna dimension benämns handlingsutrymme och kan även beskrivas som hur stor påverkan och status IRF har i organisationen och med vilken kraft de kan påverka. Handlingsutrymmet kommer därför ses som djupet eller styrkan av mandatet.
1.2.1 Internrevisionens roll och position i bolagsstyrningen
Tack vare internrevisionsfunktionens (IRFs) kunskaper om organisationers processer, kontrollstrukturer, mål, risker och omgivning får internrevisorerna en oberoende, speciell och unik position inom bolaget. Internrevisionens unika roll i bolaget ger IRF möjlighet att bidra med väsentliga resurser till bolagsstyrningssystemet såsom övervakning, kontrollering, riskhantering och rådgivning över hur företag kan förbättra sina rutiner (Soh & Martinov- Bennie 2011; Tarantino 2008). På grund av deras speciella position i bolagssystemet där de är dels en aktör i bolaget och dels en oberoende och objektiv bedömare av bolaget är det svårt utvärdera deras arbete och att avgöra till vilken utsträckning deras arbete lever upp till de förväntningar intressenterna har på dem (Mihai & Marcu 2008; Soh & Martinov-Bennie 2011). Det har påvisats att IRF står i konflikt mellan två principaler, ledningen och revisionskommittén, vilka har olika syn på vad internrevisionen ska ägna sig åt. IRFs handlingsinriktning och handlingsutrymme kommer därför se olika ut i olika organisationer beroende på vem av ledningen och revisionskommittén som har störst inflytande över IRF (Abbott et al 2010).
Studier (Mihai & Marcu 2008; Abbott et al 2010; Soh & Martinov-Bennie 2011) påvisar att det inte är självklart hur internrevisionen organiseras i bolaget och vem den ska rapportera till.
Internrevisionsavdelningen kan exempelvis vara underordnad ekonomichefen, den verkställande direktören eller revisionskommittén (Mihai & Marcu 2008; Abbott et al 2010).
Dock visar en australiensk studie på att det är vanligast att revisionskommittén har ansvaret för att se över IRF och är den part som internrevisorn rapporterar till (Soh & Martinov-Bennie 2011). IIA (2012) menar på att internrevisionen utför uppdrag åt styrelsen och företagsledningen och att deras uppgifter och arbete styrs efter de krav och förväntningar dessa två parter har på internrevisionen. Rapporteringen bör ske till den inom organisationen som är mest lämpad för att ta emot informationen. Den som är mest lämpad för att ta emot information är de som berörs av informationen och har möjlighet att agera utifrån denna information (IIA 2012). Beroende på hur situationen ser ut och vilket problem IRF identifierat kommer rapporteringen ske till olika mottagare. I vissa kritiska situationer kan det även bli aktuellt för internrevisorn att rapportera till flera parter såsom deras administrativa chef (ofta ekonomichefen eller ordförande i revisionskommittén), företagets VD och den som är chef för den avdelning som berörs av det upptäckta problemet (Buttery & Simpson 1989).
Ovanstående visar på att olika aktörer i företaget kan ha olika uppfattningar och förväntningar
och rapporteringsmottagare är förväntas internrevisionens mandat att skilja sig åt. IRFs mandat förväntas även skilja sig åt mellan olika organisationer då det finns olika sätt att organisera en IRF.
1.2.2 Internrevisionens framväxt och utbredning
Internrevision har brett ut sig och kan numera ses som en aktivitet som utförs i en mängd olika organisationer (Arena & Azzone 2007 se Soh & Martinov-Bennie 2011). Dock hävdas det att det finns signifikanta skillnader mellan olika bolags internrevisionsfunktioner gällande storlek, karaktär och inriktning (Ernst & Young 2007; Jefferson Wills 2004, IIA 2002a se Abbott et al 2010).
Internrevision är generellt sett inte hårt reglerat och organisationerna och organisationernas IRF har därmed stora friheter att själva fastställa inriktningen och omfattningen på internrevisionen, vilket innebär att inriktningen och omfattningen kommer att variera mellan organisationer (Lin et al 2011). I Sverige finns det ingen allmän lag som specificerar vad internrevisionsfunktionen (IRF) ska ägna sig åt eller hur funktionen ska utformas men det finns en förordning om att vissa statliga myndigheter ska ha en IRF vilken även berör hur denna bör utformas (Internrevisionsförordning 2006: 1228). Även Finansinspektionen har vissa krav angående internrevision hos de bolag som står under deras tillsyn (IIA 2012).
Svensk kod för bolagsstyrning säger även att noterade företag årligen ska utvärdera om det finns ett behov av att ha en internrevisionsfunktion (Svensk kod för bolagsstyrning 2010). Att internrevision tagits upp i regler och rekommendationer tyder på att internrevisionen blivit mer betydelsefull och därför relevant att studera närmre. Vi kan se att kraven på internrevision och utformningen av denna varierar kraftigt mellan olika organisationer och därför är det intressant att studera hur internrevisionsfunktionerna ser ut i Sverige, vad som skiljer olika organisationers internrevisionsfunktion åt och försöka förklara vad dessa skillnader kan bero på.
Det har identifierats en trend inom internrevision mot att fokusera allt mer på riskbaserad revision av de operativa och företagsspecifika riskerna (Soh & Martinov-Bennie 2011; Mihai
& Marcu 2008). Flera sakkunniga inom internrevisionsområdet förutspår att internrevision i framtiden kommer bli mindre fokuserad på att identifiera problem i verksamheten för att
högre grad kommer att bistå ledningen med att utveckla interna kontrollsystem samt att de interna kontrollsystemen ska kunna övervakas på ett effektivt sätt, utvärdera effektiviteten i ledningens övervakningsfunktion samt identifiera möjligheter för att reducera risker i företag (Tarantino 2008). Ett vanligt problem är att ledningen vill att IRF ska hjälpa till att utforma och rådgiva vid utformandet och implementeringen av nya system, vilka de sedan kommer att revidera (Buttery & Simpson 1989). Att ledningen har utökat IRFs mandat har påverkat och problematiserat IRFs oberoende i förhållande till företaget. Ovanstående visar på att IRF i framtiden kommer att ägna sig allt mer åt aktiviteter av en mer rådgivande karaktär. Det kan tänkas att det redan idag finns skillnader i vilka olika aktiviteter de svenska IRF inriktar sig på då en del kan tänkas ha en mer granskande roll medan andra kan tänkas ha en mer rådgivande roll. Dessutom visar ovanstående stycke på att ledningen finner intresse av att påverka IRF så att de utför de aktiviteter som kan hjälpa ledningen att fullgöra deras uppdrag och ansvar vilket kan ha implikationer för IRFs oberoende och självbestämmanderätt över vilka aktiviteter som ska vara en del av IRFs mandat.
1.2.3 Tidigare forskning inom internrevision
Det finns tidigare forskning (Anderson et al 2012) som studerat vilka faktorer som påverkar storleken på internrevisionsfunktionen (IRF), mätt i antalet anställda på internrevisionsavdelningen. Rätt storlek anses viktigt för att IRF ska kunna arbeta effektivt och utföra alla de uppgifter de har. De faktorer som antogs ha en påverkan på storleken av internrevisionsavdelningen i Anderson et als (2012) studie var revisionskommitténs karaktärsdrag, internrevisionens karaktärsdrag och uppdrag, vilka försäkransaktiviteter som genomförs av andra aktörer i bolaget och organisatoriska karaktärsdrag (Anderson et al 2012).
Till skillnad mot Anderson et al (2012) kan det istället argumenteras för att IRFs uppdrag är beroende av hur många anställda funktionen kan använda sig av. Författarnas resonemang är omvänt, då de tror att antal anställda är ett resultat av de uppdrag funktionen förväntas utföra.
Vilken riktning sambandet har är dock svårt att fastställa. Delvis håller vi med Anderson et al (2012) om att internrevisionens uppdrag påverkar IRFs storlek eftersom uppdraget först brukar preciseras och personalstyrkan anpassas utifrån detta uppdrag. Företag kan dock inte alltid påverka antal anställda och därför kan IRFs storlek även vara en faktor som påverkar hur brett IRFs uppdrag är och hur djupt de kan gå in på varje uppdragsdel. Vår studie vill därför vända på Anderson et als (2012) resonemang och göra en mer grundlig kartläggning
över IRFs handlingsinriktning i form av dess aktiviteter men också över IRFs handlingsutrymme i form av omfattningen av dessa aktiviteter.
Tidigare forskning har även studerat förhållandet mellan intern- och externrevisionen (Abbott et al 2012; Desai et al 2010; Goodwin-Stewart & Kent 2006). Det har påvisats att den externa revisorn ser nytta med att samarbeta med internrevisorerna för att de på så sätt kan identifiera och granska de processer som är riskrelaterade och samtidigt genom samarbete med IRF undvika dubbelarbete (Abbott et al 2010; Soh & Martinov-Bennie 2011). Ovanstående visar på att det även finns intressenter utanför den organisation som internrevisorn är verksam inom som kan ha intresse av att påverka vilka aktiviteter IRF utför och därmed deras mandat.
Förutom relationen till externrevisor har tidigare forskning också påvisat att antal rapporterade brister i företagets kontroller har ett starkare samband med de aktiviteter IRF utför än med de egenskaper internrevisorerna har. Därmed påstås det att IRFs aktiviteter kan förklara mer än vad individuella egenskaper hos internrevisorer kan göra (Lin et al 2011).
Eftersom vi i vår studie vill kartlägga IRFs mandat i och mellan olika organisationer och vilken handlingsinriktning och handlingsutrymme de har, väljer vi att redogöra för vilka aktiviteter funktionen utför men inte hur de utför sina aktiviteter, det vill säga det praktiska tillvägagångssättet.
Vidare har forskning inom internrevision till stor del handlat om hur man ska gå till väga för att mäta IRFs effektivitet (Anderson et al 2012; Hirth Jr 2008; Lin et al 2011; Oxner & Oxner 2006). Soh & Martinov-Bennie (2011) har i sin studie tagit upp nödvändiga faktorer för effektiv internrevision. Vår studie kommer att fokusera på internrevisionens omfattning och inriktning, vilket leder till att vi inte kommer att koncentrera oss på vilken effektivitet som uppnås till följd av det mandat internrevisionen har. Att avgöra vilken effektivitet som kan uppnås i olika IRF beroende på deras mandat är en uppgift i sig och något som hade blivit allt för omfattande för denna studie då vi istället ser detta som ett angränsande ämne. Hur internrevisionens effektivitet mäts är även något som en stor del av forskningen om internrevision koncentrerat sig på och vi önskar att vår studie om IRFs mandat istället kan lägga en grund för andra forskare att ta sig an uppgiften och se hur mandatet kan påverka effektiviteten i företag.
Vi har inte funnit någon tidigare publicerad forskning som undersöker eller ramar in IRFs mandat. Eftersom internrevision fått en framträdande roll efter de företagsskandaler som
inträffat under senare tid är det viktigt att förstå alla delar av internrevisionen för att förstå vad IRF kan bidra med för värde till organisationen. IRF kan hjälpa till med den interna kontrollen för att förhindra en obalans som kan skada företag och som i allvarligaste fall kan få konsekvenser för verksamhetens fortlevnad. Ett exempel där internrevisionens nytta bevisades var i Worldcom-skandalen, där det var en internrevisor som avslöjade oegentligheterna i organisationen (CNET 2002). Den ovan refererade forskningen tar inte hänsyn till IRFs mandat, men den refererade forskningen visar på att det finns skillnader mellan organisationers IRF gällande organisering, rapportering, relationer med externrevisorer, vilka regler de måste följa, antal anställda och effektivitet. Därför tror vi även att skillnader kan observeras i IRFs mandat mellan olika organisationer. Skillnader kan förekomma eftersom olika parter förväntas ha olika inverkan på IRFs relation till organisationen, dess ledning och styrelse.
Genom att undersöka IRFs mandat i form av handlingsinriktning och handlingsutrymme erhålls en djupare förståelse för vilka aktiviteter IRF inriktar sig på, hur omfattande dessa aktiviteter är samt hur deras oberoende ser ut och vilka möjligheter de har till påverkan inom en organisation. De uppdrag och den status som IRF har genom sitt mandat kan anses vara avgörande för hur framgångsrikt internrevisionens resultat kommer bli. Att det saknas utbredd kunskap om IRFs handlingsutrymme och handlingsinriktning är idag ett problem eftersom internrevision kan bidra till bättre intern kontroll samt effektivare och mer lönsamma organisationer. Kunskap om hur och varför IRFs mandat skiljer sig åt mellan olika organisationer och branscher kan leda till en ökad förståelse för internrevisionens inflytande i svenska bolag. Det har föreslagits att genom att internrevisionens roll och ansvar förtydligas kommer kommunikationen med andra aktörer i bolagsstyrningen att förbättras (AICD et al 2008 se Soh & Martinov-Bennie 2011). IRFs mandat är relevant att undersöka eftersom det är viktigt att belysa internrevisionens funktion i bolagsstyrningen och vilken betydelse internrevisionen har för samhället i stort. Därför vill vi genom att behandla funktionen för internrevision i vår uppsats lyfta fram internrevisionens position inom forskningen och inom bolagsstyrningen.
1.2.4 Problemformulering
Vilka faktorer påverkar svenska internrevisionsfunktionens mandat, i termer av handlingsinriktning och handlingsutrymme?
1.3 SYFTE
Vårt syfte är att förklara svenska internrevisionsfunktioners mandat, i termer av handlingsinriktning och handlingsutrymme, samt vilka faktorer som påverkar internrevisionsfunktionens mandat.
1.4 DEFINITIONER
I vårt arbete kommer vi att använda oss av olika begrepp och benämningar som är viktiga för läsaren att förstå och särskilja på. Läsaren måste ha förståelse för vad som menas med ett visst begrepp eller en viss benämning för att förstå de resonemang som förs i arbetet. Vi har därför valt att sammanställa definitioner för de viktigaste begreppen nedan.
Internrevision En gransknings-, försäkrans- och konsultaktivitet som utförs av internrevisorer eller internrevisionsfunktioner.
Internrevisionsfunktion Den avdelning, division, grupp av konsulter eller internrevisorer (IRF) vars uppgift är att utföra internrevision. Funktionen kan således
förekomma i olika former. Den kan exempelvis finnas i form av en hel internrevisionsavdelning i den organisation som funktionen reviderar, men kan också finnas i form av en ensam internrevisor anställd av organisationen som utför internrevision tillsammans med inhyrda konsulter. Genomgående i vårt arbete förkortas internrevisionsfunktionen och internrevisionsfunktionerna till IRF.
Internrevisor En yrkesperson vars uppgift är att utföra internrevision. Flera internrevisorer utgör tillsammans en internrevisionsfunktion. Det finns både internrevisorer vilka är anställda av organisationen de
reviderar och internrevisorer vilka arbetar som konsulter eller liknande och som organisationen kan välja att hyra in.
Handlingsinriktning Internrevisionens bredd. Hur många områden IRF är verksam inom eller hur många aktiviteter som involveras i IRFs arbete.
Områden Arbetsområden IRF är verksamma inom.
Aktiviteter Arbetsuppgifter som IRF utför inom varje område.
Handlingsutrymme Internrevisionens djup, styrka eller kraft. Hur ingående revisioner som kan göras och hur förutsättningarna ser ut för att internrevisionen ska påverka den organisation som revideras.
Handlingsutrymmet består av de tre dimensionerna: Oberoende, påverkan och djup.
Oberoende En del av handlingsutrymmet. Hur stor frihet IRF har vid utförandet av internrevisionen, hur stor självbestämmanderätt IRF har och hur stora möjligheter andra parter i organisationen har att påverka internrevisionen.
Påverkan En del av handlingsutrymmet. Hur stora möjligheter IRF har att påverka den organisation vilken revideras.
Djup En del av handlingsutrymmet. Hur ingående och grundligt IRF utför sina revisioner.
2 Metod
ör att uppnå vårt syfte kommer vi att göra ett antal metodmässiga val för att på så sätt kunna besvara vår forskningsfråga. Vi kommer nedan redogöra för varför vi valt att utgå från en positivistisk kunskapssyn, hur vi kunnat tillämpa teorier från företagsledar- och styrelseledamotsområdet på vårt syfte samt vilka förtagsekonomiska teorier vi valt att utgå från. Vi kommer även redogöra för varför vi valt att genomföra vårt arbete med ett deduktivt angreppssätt. Sist beskriver vi hur vi har samlat in vår information och avslutar med att kritisera de källor vi använt oss av.
2.1 KUNSKAPSSYN
När vi valde vilken kunskapssyn vi skulle utgå ifrån utgick vi från att vår studie syftade till att förklara olika svenska internrevisionsfunktioner mandat och förklara vad skillnader i mandat kan bero på. Vi kunde därmed välja bort alla de kunskapssynsätt som handlar om att skaffa sig en förståelse av mänskliga beteenden. Eftersom vi vill förklara hur och varför IRFs mandat ser ut som det gör i svenska organisationer valde vi att tillämpa ett förklarande kunskapssynsätt. Detta förklarande kunskapssynsätt som vi valt att bygga vår studie utifrån är positivismen. Vi ansåg det även lämpligt att utgå från en positivistisk kunskapssyn eftersom den anser att forskningens roll är att förklara generella fenomen genom teorier.
Vi utgår från en objektivistisk ståndpunkt som innebär att vi anser det finnas möjlighet att utifrån en extern synvinkel betrakta organisationer, vilka består av verkliga och konkreta strukturer och processer (Bryman & Bell 2005). Genom vår objektivistiska ståndpunkt anser vi att det är möjligt att betrakta och förklara IRFs mandat utifrån vår position som extern part.
2.2 TEORIGRUND
Vi har utformat hypoteserna med utgångspunkt i våra referensers teoretiska resonemang och den information vi tagit del av genom vår förstudie. Delvis har hypoteserna också formats utifrån egna resonemang och argumentationer om vad som kan komma att påverka IRFs mandat. Eftersom vi funnit teorier angående företagsledarens och styrelseledamotens mandat försöker vi applicera dessa på IRFs mandat, vars område vi inte funnit någon teori på. Vi anser det möjligt att applicera mandatteorier från styrelse- och ledningsområdet eftersom
F
samtliga är kärnkomponenter i bolagsstyrningen och att de ska verka för organisationens bästa. Precis som styrelsen och ledningen är IRF en agent för någon part inom bolagsstyrningssystemet. Antagandet går ut på att dessa agentförhållanden kan likna varandra och därmed kan deras mandat påverkas av liknande faktorer. Eftersom både styrelsen och IRF är en kontrollmekanism, rådgivare, kostnadsbesparande funktion, resurs och agerar i andras intressen så är det rimligt att anta att de företagsekonomiska teorier som Kärreman (1999) använde sig av för att förklara styrelseledamöters mandat även delvis går att applicera på IRFs mandat. Ett annat argument för att det går att tillämpa de företagsekonomiska teorierna för att förklara styrelsens mandat också på IRFs mandat är att båda sitter i kläm mellan aktörer.
Styrelsen måste i sitt arbete ta i beaktande både ägarnas och ledningens viljor och IRF sitter främst i kläm mellan ledningen och revisionskommittén, men även andra aktörer så som externrevisorn och inflytelserik personal kan komma att sätta press på IRF. Holmberg (1986) som skrev om företagsledarens mandat hjälpte oss formulera några av våra hypoteser. En del av de resonemang som Holmberg (1986) redogjorde för berörde organisatoriska förhållanden som påverkade företagsledarens mandat. Det kan även tänkas att samma organisatoriska förhållanden kan komma att påverka IRFs mandat då de också ingår i organisationen.
För att argumentera för våra hypoteser och hur våra olika faktorer har en inverkan på IRFs mandat tar vi därför utgångspunkt i flera företagsekonomiska teorier såsom agentteorin, resursberoendeteorin, förvaltarteorin, intressentteorin, transaktionskostnadsteorin, legitimitetsteorin och stigberoendeteorin.
Agentteorin används för att förklara IRF som både en kontrollmekanism och en agent som är beroende av organisationen och dess ledning. Teorin används också för att förklara varför vissa organisationer väljer att outsourca delar av sin IRF då agentteorin anser att parter utanför organisationen kan göra en mer objektiv granskning och kan hålla sig mer oberoende när de utför kontrollaktiviteter (Hillman & Dalziel 2003).
Resursberoendeteorin används för att förklara hur viktigt det är med kompetens och kunskapsmässig mångfald inom IRF och därmed varför det finns IRF som använder sig av både interna och externa internrevisorer då de enligt teorin anses bidra med olika sorts resurser. Exempelvis förklarar teorin att internt rekryterade internrevisorer är bättre på att ge råd och utforma rutiner eller system då de har bättre kännedom om verksamheten och tillgång till mer information.
Även förvaltarteorin används för att förklara IRFs sammansättning då teorin kan användas för att argumentera för att IRF till stor del ska bestå av insiders eftersom de har stor insikt och stort engagemang i organisationen vilket gör att de kan ge bättre råd än outsiders och därmed tillföra organisationen mer värde.
Intressentteorin används för att förklara det förhållande IRF har med olika aktörer både inom och utanför organisationen och hur de krav de ställer på dem påverkar deras mandat.
Exempelvis används teorin för att förklara att IRF måste ta olika intressenter i beaktande då de väljer vilka aktiviteter och område de ska vara verksamma inom.
Transaktionskostnadsteorin används för att förklara att organisationer är olika och har olika behov vilket kommer att avgöra om det är mest kostnadseffektivt med en outsourcad IRF eller en IRF inom organisationen (Spraakman 1997).
Vi kommer att använda oss av legitimitetsteorin för att förklara att vissa organisationer väljer att följa standarder och att tillsätta en internrevisionsfunktion av legitimitetsskäl.
Slutligen kommer vi att använda oss av stigberoendeteorin för att förklara hur det förflutna kan påverka mandatet. Vi kommer även att använda teorin för att förklara hur äldre internrevisorer, vilka är beroende av sitt förflutna, kan ha svårt att ta till sig nya områden och aktiviteter som exempelvis etikområdet.
Genom ovanstående teorier och egna resonemang kommer vi att försöka identifiera vilka faktorer som påverkar IRFs mandat, vilket kommer att resultera i en mängd hypoteser som kommer att testas. Anledningen till att vi inte valde att göra en smalare studie och gå djupare in på ett fåtal faktorer är just för att ämnet, IRFs mandat, är så pass outforskat. Det kan vara svårt att fånga både objektet mandat och de faktorer som bestämmer mandatet och vi anser därmed att det är bättre att ta fram en karta som fortsatta studier sedan kan använda sig av för att fördjupa sig i vissa områden på vår karta.
2.3 FORSKNINGSANSATS
De forskningsansatser som vi valde mellan i vår uppsats var antingen en deduktiv ansats eller en induktiv ansats.
Vi har i vår studie valt att tillämpa det deduktiva angreppssättet. Detta eftersom vi kommer att sträva efter att utgå från befintlig litteratur och teori på området i den mån det finns. Vi vill försöka applicera den befintliga litteraturen om internrevision och de befintliga teorierna om mandat på vårt syfte. Anledningen till att vi utgår från teorin är att vi saknar förkunskaper om vilka faktorer som kan ha en inverkan på IRFs mandat. Utifrån Bryman & Bells (2005) resonemang om deduktivt angreppssätt behövs en inläsning på ämnet för att kunna ta fram hypoteser. Detta får vi genom att studera tidigare forskning inom internrevision. Eftersom IRFs mandat är ett relativt outforskat område väljer vi att dra kopplingar mellan styrelsens och ledningens mandat för att med hjälp av dessa studier utforma hypoteser om vad som kan komma att påverka IRFs mandat. De hypoteser som utformats från vår teori kommer sedan att styra vår datainsamlingsprocess (Bryman & Bell 2005).
Vi hade även kunnat uppnå vårt syfte genom att använda oss av ett induktivt tillvägagångssätt.
Då vi till stora delar saknade förkunskaper om ämnet internrevision och därför ändå behövde läsa in oss på ämnet innan vi påbörjade våra observationer valde vi att till stora delar avstå från att tillämpa denna strategi. Detta val grundades också i att det finns etablerade teorier som kan tillämpas på vårt problem, trots att de inte är framtagna i syfte av att påvisa vilka faktorer som påverkar IRFs mandat. Vi inser dock att vi inte uteslutande kommer hålla oss till en deduktiv ansats utan att vi delvis även kommer att tillämpa en induktiv ansats. Vi kommer bland annat att tillämpa en induktiv ansats när resultatet från vår empiriska studie kopplas tillbaka till teorin för att vi på så sätt ska kunna dra välgrundade slutsatser. Utöver detta kommer vi att använda oss av en förstudie, som består av intervjuer med internrevisorer.
Intervjuerna kommer att hjälpa oss i utformandet av hypoteserna. Dessa grundar sig därmed inte på befintlig teori och det kan därmed också betraktas som ett induktivt inslag i vår studie (Bryman & Bell 2005).
2.4 INFORMATIONSINSAMLING OCH KÄLLKRITIK
För att definiera vad internrevision är och vad internrevisorerna gör har vi vänt oss direkt till källor från internrevisorernas förening: Institute of Internal Auditing (IIA). Detta eftersom internrevisorernas egna förening är en grund för professionens upprätthållande och antagligen de som bäst kan beskriva professionen och vilken roll internrevisorerna har.
För att definiera mandat och för att hitta faktorer som kan påverka mandatet har vi utnyttjat tidigare studier som är gjorda angående företagsledarens och styrelseledamotens mandat och genom att dra paralleller från dessa studier till internrevisorerna har vi utformat vår definition av mandat. Anledningen till att vi valde att vända oss till angränsande områden var för att det saknades teorier angående IRFs mandat.
Både i Sverige och internationellt sett är det få studier som gjorts inom internrevision och ännu färre som gjorts angående IRFs mandat, vilket gör att en stor del av vårt teoriavsnitt kommer att bestå av en egengjord modell. Modellen har dock byggts upp med hjälp av befintliga beskrivningar om internrevision och de uppgifter internrevisorer har. För att ta reda på vilka områden IRF är verksamma inom och vilka aktiviteter IRF utför har vi studerat och jämfört flera olika böcker och artiklar om internrevision för att slutligen ta fram tio områden och fem aktiviteter. Vår modell bygger även på information om IRFs oberoende och möjlighet att påverka, vilket har samlats in från studier som gjorts inom dessa områden.
De flesta artiklar vi har använt oss av är peer-reviewed vilket innebär att artiklarna blivit granskade och godkända av experter innan artiklarna publicerats i tidskrifter. Ett fåtal referenser har dock gjorts till tidningsartiklar för att reflektera olika nyheter eller företagskandaler som inträffat under 2000-talet. För att komplettera våra artiklar och böcker har vi även använt oss av internetbaserade källor, vars trovärdighet till viss del kan ifrågasättas beroende på var den hämtats ifrån. Exempelvis anser vi att en trovärdig internetbaserad källa vi har använt oss av är IIAs egna hemsida där vi hämtat mycket information, både i form av text på hemsidan och i form av forskningsrapporter.
Forskningsrapporter från andra organisationer har också använts som referenser i vårt arbete, både inom internrevision och inom andra områden. För att argumentera för hur vi mäter kommunikativ förmåga har vi exempelvis utnyttjat en rapport inom sjukvården, vilket vi sedan applicerat till internrevision. För att beskriva internrevisorers praktiska arbete i Sverige har vi utnyttjat svenska platsannonser, vilka redogjort för beskrivningar över internrevisorns arbete. Vi ser detta som ett kreativt sätt för att hämta in data för vad internrevisorer praktiskt gör inom olika organisationer. Vid användandet av tveksamma internetkällor har vi i största möjliga mån försökt backa upp detta med ytterligare en källa för att på så sätt öka trovärdigheten i informationen.
Då det finns få svenska källor angående internrevision har vi främst använt oss av studier gjorda i andra länder. Då vi antar att det finns skillnader i internrevision mellan Sverige och
utlandet kan det ifrågasättas om studiernas resultat direkt kan appliceras på svenska organisationer.
3 Internrevision
ör att göra klart för läsaren vad internrevisionsfunktionen och internrevision är, kommer vi i detta kapitel ge en mer ingående förklaring över vad dessa två begrepp innebär. Kapitlet kommer även beskriva hur internrevisionsarbetet läggs upp och planeras samt vad ett styrdokument är.
3.1 VAD ÄR INTERNREVISIONSFUNKTIONEN?
IRF är den avdelning, division, grupp av konsulter eller internrevisorer som utför internrevision (IPPF 2012). IRF är följaktligen namnet på den funktion som utför aktiviteten internrevision. Swanson (2010) menar att IRF är en väsentlig resurs för styrelsen och ledningen, och att den finns till för att hjälpa och försäkra att organisationen har de resurser, system och processer som krävs för att driva organisationen effektivt. IRF bekräftar att tillräckliga kontroller finns etablerade i organisationen och är därmed en försäkranstjänst för ledningen och styrelsen. Funktionen tillförsäkrar också att organisationens åtgärder för att kontrollera nuvarande och framtida hot är förebyggande och effektiva. I sitt arbete ska IRF förhålla sig objektiv och oberoende till verksamheten och blir därmed en oberoende objektiv försäkrans- och konsultfunktion vilken ska vara utformad för att tillföra värde och förbättra organisationers verksamhet. Genom IRFs oberoende granskning av verksamheten och de råd de utformar till ledning och styrelse utifrån denna oberoende granskning kan de både erbjuda företag möjligheter till förbättring samt bistå i övervakningen av organisationen (Swanson 2010).
3.2 VAD ÄR INTERNREVISION?
IIA definierar internrevision som:
an independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. (IIA 2013b)
Internrevision är således en aktivitet som internrevisorerna utför eller en aktivitet som en internrevisionsfunktion erbjuder. Internrevision skiljer sig från den revision som externa
F
informationen utan även handlar om att hantera operationell information (Spraakman 1997;
Pickett 2011). Ovanstående definition visar även att internrevision kan delas upp i två grupper av aktiviteter; försäkransaktiviteter och konsultaktiviteter. Internrevision kan innebära övervakning och rådgivning, och är en aktivitet som ska hjälpa organisationens styrande enheter. Definitionen säger även att internrevision utförs för att öka organisationens möjligheter att uppnå sina mål och är en aktivitet som ska tillföra organisationen värde. Denna del av definitionen visar på att internrevision inte är till för att inspektera eller hänga ut personer i organisationen. Istället är internrevison till för att skapa fördelar och för att försöka förbättra den organisation som revideras genom att tillföra värde. För att kunna tillföra organisationen värde utförs internrevision på ett riskbaserat sätt, vilket innebär att det först bestäms vilka väsentliga risker som finns i organisationen för att IRF sedan ska kunna revidera de mest kritiska områdena. Internrevision görs därmed i organisationens intresse och internrevisorernas personliga intressen ska inte påverka hur internrevision utförs och vilka områden den inriktar sig på (Pickett 2011).
3.3 HUR PLANERAS INTERNREVISIONSARBETET?
I ett tidigt skede klargörs IRFs roll och mandat vilket innebär att funktionens tjänster och prioriteringar fastställs. För att fastställa IRFs roll och mandat genomförs en planering för internrevisionen. Det finns tre olika planeringsnivåer vilka är: strategisk planering, taktisk planering och operationell planering (Buttery & Simpsons 1989). Dessa planeringsnivåer kommer att förklaras i nedanstående stycken.
Den strategiska planeringen innebär att IRF tillsammans med organisationens styrande organ ska diskutera vilka risker organisationen utsätts för och vilka av dessa risker som är mest väsentliga. Detta eftersom IRF ska koncentrera sin internrevision just på de mest väsentliga riskerna. Det är också viktigt att IRF lyssnar på vilka behov både ledningen och styrelsen har vad gäller försäkrans- och konsulttjänster, då IRF finns till för att tillföra organisationen värde och hjälpa den att uppnå sina mål (Swanson 2010; Pickett 2011). Vid den strategiska planeringen bestäms även IRFs mål med internrevisionen, hur funktionen ska struktureras för att uppnå dessa mål, om det finns områden som undantas revision, om det behövs revisorer med specialistkompetens, var i organisationen IRF placeras (centralt eller utspridda på olika
avdelningar), hur internrevisionens samarbete med andra granskningstjänster i företaget ser ut och om IRF ska granska ledningens informationssystem (Buttery & Simpson 1989).
En stor del av den strategiska planeringen formaliseras i ett styrdokument och är specifikt för varje organisation. Detta styrdokument förklarar övergripande vad IRF ägnar sig åt och kommer därför att påverka IRFs formella handlingsinriktning och handlingsutrymme.
Styrdokumentet (även kallat instruktionen för internrevisionen, på engelska: the internal audit charter) definieras enligt IIA som:
Instruktionen för internrevisionen är ett formellt dokument som definierar internrevisionsverksamhetens syfte, befogenheter och ansvar. Instruktionen fastställer internrevisionsverksamhetens placering i organisationen; inkluderande karaktären av revisionschefens funktionsmässiga rapportering till styrelsen; bemyndigar tillgång till information, personal och fysisk egendom som är relevant för genomförandet av uppdraget, samt definierar omfattningen av internrevisionsverksamheten. Instruktionen ska slutligt godkännas av styrelsen. (IPPF 2011)
Styrdokumentet bestämmer IRFs position inom organisationen och tar upp internrevisionens egenskaper och karaktärsdrag, revisionsmål, ramen för internrevision, IRFs ansvar, IRFs auktoritet samt beskrivning av funktionens oberoende. Styrdokumentet kan ses som riktlinjer för den roll IRF har i organisationen och görs på övergripande nivå. Styrdokumentet finns bland annat för att organisationen ska förstå syftet med IRF samt för att kunna förklara för ledningen vad IRFs roll är och vad den innefattar (Pickett 2011). Utformandet av styrdokumentet ska stödja revisionskommitténs skyldigheter i organisationen, då IRF kan betraktas som revisionskommitténs hjälpande hand (Buttery & Simpson 1989; Swanson 2010). Trots att standarderna för internrevision säger att ett styrdokument ska finnas och följas har det i en undersökning som Ernst & Young (2007) tillsammans med IIA gjort påvisats att det inte är alla IRF som arbetar efter ett styrdokument, vilket visar på att standarderna ibland frångås. I deras studie framkom att det var 80 procent av respondenterna som angav att de använde sig av ett sådant dokument vid deras revision.
Efter den strategiska planeringen genomförs en taktisk planering. Den taktiska planeringen görs för tolv månader i taget och syftar till att bedöma den arbetsbörda som den strategiska planeringen fastställt samt fördela resurser till uppgifter, projekt och aktiviteter. Vid den taktiska planeringen tas det i beaktande hur mycket resurser som krävts tidigare för att revidera ett visst område, om det förekommit några oregelbundenheter vid tidigare revidering av området, samt hur tillförlitlig den interna kontrollen över området är. Den taktiska
planeringen ska också bestämma hur frekvent revisionen ska göras (Buttery & Simpson 1989).
Efter den taktiska planeringen görs en operationell planering, vilket är en mer detaljerad planering som innehåller det schemalagda arbetet samt vilka aktiviteter som prioriteras för tillfället (Buttery & Simpson 1989).
Fördelar med att ha en upprättad internrevisionsplan är att IRF kan bevisa att de gör det som ska göras enligt överenskommelse, samt hjälper IRF att motstå ledningens krav på att de ska utföra fler uppgifter än de har resurser till eller andra uppgifter utöver det som är överrenskommet, då de genom styrdokumentet kan visa att de redan har fullt upp. Nackdelen består främst av att revisionen blir mindre flexibel och att det är komplicerat att upprätta en plan och det finns risk att IRF ägnar sig för mycket åt denna aktivitet istället för de aktiviteter som skapar värde i organisationen (Buttery & Simpson 1989).
4 Teori
vårt teorikapitel formulerar vi en egen definition på internrevisonsfunktionens mandat genom att dra kopplingar från studier på företagsledar- och styrelseområdet. Vi utformar en modell över internrevisonsfunktionens mandat vilken visar på att mandatet kan delas upp i två dimensioner: handlingsinriktning och handlingsutrymme. För att förklara dessa dimensioner beskriver vi vilka områden IRF är verksam inom, vilka aktiviteter de utför, djupet av revisionerna samt funktionens oberoende och möjligheter till att påverka den organisation de är verksamma inom. Kapitlet avslutas med hypotesformuleringar där vi diskuterar och redogör för vilka faktorer som kan ha en inverkan på IRFs mandat vilka sedan sammanfattas i en avslutande figur.
4.1 MANDAT
En allmän definition av mandat är ett ”officiellt uppdrag att för någons räkning utföra vissa åtgärder” (Nationalencyklopedin 2013). En liknande definition används även i politiska kretsar där mandat definieras som “ett uppdrag att för någon annans räkning verka för ett på förhand bestämt mål, syfte och handlingsprogram” (Holmberg 1986: 214). Ett mandat står således för huvudmannens och omgivningens föreställningar om någons uppgifter och huvudsakliga insatsområden (Holmberg 1986). Författaren ser mandatet som ett formellt uppdrag, vars gränser sätts av andra aktörer. Kärreman (1999) definierar styrelseledamöters mandat som de uppfattningar, förväntningar, plikter och det ansvar som styrelseledamöter upplever. Kärremans (1999) definition av mandat är tillskillnad mot Holmbergs (1986) mer subjektiv och utgår från hur styrelseledamöter uppfattar och förstår sitt uppdrag och agerar efter detta. Vid utformandet av vår definition av IRFs mandat tog vi inspiration från både Holmbergs (1986) och Kärremans (1999) definitioner tillsammans med den engelska översättningen av mandat.
4.1.1 Förändringsmandat och kontinuitetsmandat
Holmberg (1986) menar att företagsledarmandatet utgörs av den överenskommelse som träffas i samband med den verkställande direktörens anställning. Mandatet avser därmed huvudmannens och företagsledarens uppfattning om västenliga insatsområden på kort och
I
anställningskontraktet som innehåller företagsledarens rättighet och skyldighet samt behörighet och befogenhet. Författaren redogör för att mandatet antingen kan vara i form av ett förändringsmandat eller i form av ett kontinuitetsmandat. Med förändringsmandat menas att företagsledaren koncentrerar sig på förändring av företagets nuvarande inriktning och verksamhet och med kontinuitetsmandat menas att företagsledaren koncentrerar sig på försäkring och upprätthållande av redan dragna riktlinjer. Förändringsmandatet kommer att specificeras och utformas utifrån de åsikter ägarna har samt utifrån den situation företaget står inför. Kontinuitetsmandatet kommer däremot att specificeras och utformas utifrån styrelsens och ledningsgruppens åsikter och diskussioner. Holmberg (1986) menar att ett förändringsmandat kommer att råda i situationer då organisationen har ekonomiska svårigheter medan ett kontinuitetsmandat kommer råda när företaget är lönsamt och framgångsrikt. Förväntningarna är att IRF också kan ha ett förändringsmandat eller ett kontinuitetsmandat. IRFs handlingsinriktning i form av antal aktiviteter kommer att skilja sig åt och koncentrera sig på olika saker beroende på om de ska arbeta för att förändra eller att övervaka organisationens befintliga processer. Handlingsutrymmet kan också påverkas beroende på vad syftet med IRF är då deras tillgång till information kan begränsas så att de bara har tillgång till den information som de antingen behöver för att kunna förespråka förändring eller kontrollera organisationens nuvarande rutiner och riskhantering.
Formellt mandat
Enligt de internationella standarderna för internrevision (IPPF 2012) ska det finnas ett styrdokument som definierar IRFs syfte, auktoritet och ansvar. Styrdokumentet fastställer IRFs formella position i organisationen, hur den administrativa rapporteringen med styrelsen ska utformas, vilken tillgång internrevisionen har till system, personal och tillgångar samt vilka aktiviteter internrevisionen ska ägna sig åt. I internrevisionens fall kan styrdokumentet ses som utgångspunkten för IRFs mandat. Vi ser därför styrdokumentet som IRFs formella mandat. Holmbergs (1986) resonemang om förändringsmandat och kontinuitetsmandat skulle kunna appliceras på internrevisionen och hur deras styrdokument kan skilja sig åt mellan organisationer och beroende på hur lönsamma organisationerna är. Förändringsmandatet bör ses som internrevisionens roll att förändra, där deras uppgifter och aktiviteter kommer inrikta sig på rådgivning och förbättring i verksamheten. Ett kontinuitetsmandat i internrevisionens fall kommer reflekteras som deras försäkrande och övervakande roll.
4.1.2 Ett föränderligt mandat
Holmberg (1986) konstaterar att det inledande mandatet inte är konstant utan att det omformas med tiden, vilket kan innebära att handlingsutrymmet kan öka eller minska.
Företagsledare kan ge mandatet innehåll och konkretion genom sitt handlande, vilket innebär att företagsledare kan påverka sitt handlingsutrymme genom sitt sätt att agera och belysa olika problem och möjligheter. Handlingsutrymmet visar den status företagsledaren besitter och denna status kan förändras genom att relationerna med andra aktörer omformas. För internrevisionen torde det föränderliga mandatet innebära att IRF får vissa behörigheter och befogenheter som delvis kommer att begränsa deras handlingsinriktning, oberoende, möjlighet att påverka och tillgång till information, men att det finns mandatpåverkande faktorer som kommer att inverka och orsaka variationer i mandat över tid, både i bredd och djup.
Figur 1. Bilden illustrerar att mandatet består dels av ett formellt mandat vilket formaliseras i kontrakt eller olika dokument och dels av ett föränderligt mandat vilket omger det formella mandatet.
4.1.3 Två dimensioner av mandat
Vid översättning av mandat till engelska fås förslagen task, authorization och authority (Wordfinder 2013). Den engelska översättningen leder oss in på vår definition av IRFs mandat där det första ordet reflekterar IRFs uppgift medan de sista två orden istället reflekterar internrevisionens bemyndigande, auktoritet och befogenhet. IRFs mandat kommer därför i vårt arbete ses utifrån två dimensioner där den första dimensionen berör mandatets bredd, omfattning eller storlek och kommer praktiskt sett ses som hur många olika kategorier
av uppdrag de har eller hur många olika aktiviteter de utför. Denna dimension fokuserar på hur stort det område är som internrevisionen kan agera på och vilken handlingsinriktning internrevisionen har. Tanken är att IRF som ägnar sig åt många olika aktiviteter eller uppdrag har en status i organisationen eller ett bemyndigande som tillåter dem att göra mycket.
Den andra dimensionen i vår definiering av IRFs mandat berör mandatets djup, styrka eller kraft och därmed IRFs auktoritet och möjlighet att påverka organisationen. Den andra dimensionen kan därmed ses som hur djupt IRF har bemyndigande att gå in på varje område.
Praktiskt sett handlar mandatets djup till stor del om hur oberoende IRF är, hur stor möjlighet de har att påverka andra inom organisationen och hur ingående revisioner IRF kan utföra. Hur ingående revision IRF kan utföra beror på hur mycket information IRF får tillgång till, vilka personer de kan utkräva information eller förklaringar av samt vilken tillgång de har till organisationens system och tillgångar. IRFs auktoritet kommer således avgöra hur stort handlingsutrymme de har och hur omfattande revision de kan göra inom varje område. Den engelska översättningen av mandat har således lett till utformningen av vår definition av mandat, där det engelska ordet task har gett oss dimensionen handlingsinriktning och authorization och authority har gett oss dimensionen handlingsutrymme.
En IRF som begränsas antingen i handlingsinriktning eller i handlingsutrymme, genom att de inte får lov att göra vissa typer av aktiviteter eller får tillgång till den information de behöver, har ett mindre och svagare mandat, och därmed mindre möjligheter att göra påverkan i organisationen. Vikten av detta visar exempelvis Buttery och Simpson (1989) som påpekar att internrevisionen bör vara fri (oberoende) att rapportera och undersöka alla avdelningar i organisationen (handlingsinriktning). Internrevisionen ska fokusera på de mer känsliga områdena, men beslutet om var granskningar behöver göras och hur omfattande dessa ska vara är ett beslut som ska tas av IRF och inte av någon som kan tänkas ha att direkt eller indirekt intresse i granskningen.
